You are located in service: Identity Management

Restricting the Selection of Identity Providers

Restricting the Selection of Identity Providers

 Detailinformation

Mit der Aktualisierung auf den Identity Provider 3.3 fällt der RWTH Aachen zentrale Discovery Service (DS) weg. Um auch in Zukunft die Auswahl an Identity Providern einzuschränken, können Sie den Shibboleth Embedded Discovery Service (EDS) benutzen.

Embedded Discovery Service (EDS)

Beim EDS handelt es sich um einen Satz von Java Scripts, der sich in beliebige HTML-Seiten einbetten lässt und der mit dem vom Shibboleth SP ab Version 2.4 generierten Discovery Feed arbeitet (/Shibboleth.sso/DiscoFeed). Hierbei handelt es sich um (IdP-)Daten im JSON-Format, die aus den über ein oder mehrere MetadataProvider-Elemente verfügbaren Metadaten generiert werden - nach Anwendung etwaiger MetadataFilter, z.B. einer Whitelist von Entity IDs zugriffsberechtigter IdPs oder einer EntityCategory. Auf diese Weise lässt sich mit geringem Aufwand eine Einrichtungsauswahl realisieren, die ausschließlich IdPs von Einrichtungen enthält, deren NutzerInnen Zugriff auf den vom Service provider (SP) geschützten Dienst erhalten sollen.

Die offizielle Dokumentation zum EDS befindet sich im Shibboleth Wiki.

Hier eine kleine Anleitung, wie man den EDS selbst installiert:

Konfiguration des Service Providers (üblicherweise unter /etc/shibblet/shibboleth2.xml):

<SSO discoveryProtocol="SAMLDS" discoveryURL="https://sp.uni-beispiel.de/ds/index.html">
  SAML2
</SSO>
  
<!-- i.d.R. in Kombination mit einem MetadataFilter: -->
  
<MetadataProvider type="Chaining">
   <MetadataProvider type="XML"
         uri="https://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-Basic-metadata.xml"
         backingFilePath="DFN-AAI-Basic-metadata.xml"
         minRefreshDelay="240" reloadInterval="300">
      <MetadataFilter type="RequireValidUntil" maxValidityInterval="604800"/>
      <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" />
      <MetadataFilter type="Whitelist">
         <Include>https://idp.uni-beispiel1.de/idp/shibboleth</Include>
         <Include>https://idp.uni-beispiel2.de/idp/shibboleth</Include>
         <Include>https://idp.uni-beispiel3.de/idp/shibboleth</Include>
      </MetadataFilter>
   </MetadataProvider>
   <!-- hier ggf. weitere MetadataProvider-Elemente -->
</MetadataProvider>

Konfiguration des Webservers

In die VHost Konfiguration einfügen:

Alias /ds /var/www/html/
<Location /ds>
  Require all granted
</Location>

last changed on 01/29/2021

How did this content help you?

Creative Commons Lizenzvertrag
This work is licensed under a Creative Commons Attribution - Share Alike 3.0 Germany License