Ablauf der Anbindung eines neuen Shibboleth Service Providers (kurz: SP)


Shibboleth Testsystem der RWTH Aachen

Neben dem Shibboleth Produktivsystem bietet das IT Center der RWTH Aachen ein Testsystem an, um die Funktionalität testen zu können bzw. als Hilfe für die Implementierung.

Auf Anfrage kann dort ein Testbenutzer für Ihr Implementierungsvorhaben bereitgestellt und mit den entsprechenden Attributen versehen werden.

Erstellen eines Request for Change (RFC)

Zusammen mit dem IdM-Team füllt der Kunde einen RFC aus.

 Die Spezifikation im RFC enthält u.a.:
  • Authentifizierter Personenkreis
  • Anzahl zu authentifizierender Nutzer (ca.)
  • Ansprechpartner
  • URL(s) zu den geschützen Anwendungen
  • EntityID des Shibboleth Service Providers (SP)
  • URL zur SP-Metadatenseite

  • Genutzte Attribute

siehe auch Attribute in der DFN-AAI

Abstimmung des Request for Change (RFC)

Die finale Version dieses RFC legt der Kunde dem Datenschutzbeauftragten der RWTH Aachen zur Einsicht und Genehmigung vor. Eine Korrektur ist nur in begründeten Ausnahmefällen noch möglich und bedarf einer erneuten Genehmigung durch das IdM-Team sowie des Datenschutzbeauftragten

Der Kunde richtet den Service Provider gemäß den Spezifikationen im RFC ein.

Beantragung eines Server Zertifikats

Für die RWTH-Föderation akzeptieren wir i.d.R. nur Zertifikate der RWTH-CA. Eine Anleitung zur Erstellung und Beantragung des Server Zertifikats finden sie im RWTH-DFN Zertifizierungsportal.

Installation des Service Provider (SP)

 Linux (rpm-Paket)

Unterstützt werden derzeit:

  • Red Hat Enterprise und CentOS 6, 7
  • SUSE Linux Enterprise Server 11-SP3, 11SP4, 12SP2, 12SP3

Unter https://shibboleth.net/downloads/service-provider/latest/RPMS/  das entsprechende OS auswählen und den Text nach /etc/yum.repos.d/shibboleth.repo kopieren (sofern das System yum nutzt)


Nun kann Shibboleth installiert werden.

Danach ist der Shibboleth SP installiert.

Weitere Installationsanleitungen sind entweder auf den Seiten des DFN oder bei Switch einsehbar.

Konfiguration des ServiceProvider

Nach der Installation des ServiceProvider muss dieser noch konfiguriert werden.

  • Den generierten Private Key und das Zertifikat (siehe Punkt Beantragung eines Server Zertifikats beantragen) auf dem Server speichern und Speicherort merken
  • /etc/shibboleth/shibboleth2.xml bearbeiten:
    • In den ApplicationDefaults die entityID setzen

    • SSO eintragen

    • Die Zeile <Handler type="MetadataGenerator" Location="/Metadata" signing="false"/> mit folgendem Ersetzen

      Hier die gewünschten Informationen eintragen

    • Metadaten Provider Eintragen

    • Im Credential Resolver die Zertifikate eintragen

       Zertifikat für SignatureMetadataFilter der RWTH (oben: sso.pem)
    • Prüfen, ob die Konfiguration geladen werden kann

    • Den Shibboleth neustarten

Beispiel shibboleth2.xml:

shibboleth2.xml  Quelle erweitern