Wat is eduGAIN?
Elk lid van de Belnet R&E Federation wordt automatisch opgenomen in eduGAIN, het transcontinentale interfederatieproject dat ontwikkeld is door Géant GÉANT (het pan-Europese onderzoeks- en onderwijsnetwerk) om gebruik te maken van de diensten die aangeboden worden door andere federaties uit de hele wereld. Als u een service provider bent, kunt u uw organisatiediensten ook beschikbaar stellen voor eduGAIN.
eduGAIN verbindt identiteitsfederaties over de hele wereld met elkaar en vereenvoudigt de toegang tot content, diensten en bronnen voor de wereldwijde onderzoeks- en onderwijscommunity.
eduGAIN maakt het mogelijk om identiteits-, authenticatie- en autorisatiegegevens (IAA) betrouwbaar uit te wisselen door elementen van de technische infrastructuur van de federatie te coördineren en een beleidsframework te bieden dat deze informatie-uitwisseling reguleert.
Hier kunt u de lijst met eduGAIN-deelnemers op de eduGAIN-website bekijken hier.
Admin FAQ:
Wat zijn de voordelen van deel uitmaken van eduGAIN?
Worden IdP's/SP's automatisch in eduGAIN opgenomen?
Wat zijn de kosten?
Technical FAQ
Hoe deel te nemen?
Wat heb ik op technisch vlak nodig om me aan te sluiten bij eduGAIN?
Hoe sluit ik me aan bij eduGAIN?
Hoe sluit ik me als IdP (identity provider) aan bij eduGAIN?
Hoe sluit ik me als SP (service provider) aan bij eduGAIN?
Handige links
Meer technische informatie en nuttige links nodig?
Hoe schakel ik de MFA-laag in om de veiligheid van mijn authenticatieprocessen te verbeteren?
Wat zijn de voordelen van deel uitmaken van eduGAIN?
De verbonden federaties bieden hun lid-de IdP's en SP'’s die lid zijn tal van voordelen. SP's kunnen op hun beurt interessante diensten aan alle deelnemers bieden.
Worden IdP's/SP's automatisch in eduGAIN opgenomen?
Nee. Hiervoor moet een specifiek verzoek worden ingediend bij Belnet. Dit ziet u in het structuurdiagram van eduGAIN.
Wat zijn de kosten?
Er zijn er geen! De dienst is gratis voor alle gebruikers.
Wat heb ik op technisch vlak nodig om me aan te sluiten bij eduGAIN?
U moet gewoon bepaalde informatie in uw Shibboleth-configuratiebestanden invullen.
Hoe sluit ik me aan bij eduGAIN?
Metadata registration practice statement Federation name: Belnet Federation Federation operator: Belnet, Belgium Federation web page: http://federation.belnet.be Date of last change: 27 March 2012 Common practices ---------------- The IdPs are Belnet's customers from R&E community, excluding a administrations and ministries of all levels. The SP are any companies that offers a service or content that fulfils the needs of Belnet's R&E community members, respecting the defined policy. All IdP and SP's administrators connect via https and authenticate via Belnet Customer's AAI system with regard to the Belnet Federation's metadata manager [1], where the original information gets checked and stored in the metadata manager's database. It is later used for generating the Belnet federation's metadata. In addition, before the federation operator publishes metadata dedicated to interfederation, an institution has first to declare that its processes are ready for interfederation. Only then will, its IdP and SP administrators be able to declare that their respective entity is also technically ready to participate in interfederation. IdP registration practices -------------------------- An IdP registering with the federation needs to be manually approved by a team member of the federation operator. Such approval requires: - a completed membership service agreement signed by an official representative(s) of the newly participating institution; - elements and attributes to be registered using use a domain name of that institution. The administrators appointed specifically by that institution will receive access to the metadata manager service where they can upload the metadata of the their IdP. After approval, the federation operator publishes and maintains the federation's metadata. Subsequent changes to these elements and attributes do not require re-approval by the federation operator. Only, administrators appointed specifically by that institution can modify the IdP specific information. For interfederation, the entity must ask the federation operator to publish it for participation in eduGAIN. SP registration practices ------------------------- Each SP must be manually approved by a team member of the federation operator in order to be registered with the federation. Such approval requires: - a completed membership service agreement signed by an official representative(s) of the newly participating service provider; - elements and attributes to be registered using a domain name of that SP. The administrators appointed specifically by that SP will then receive access to the Metadata Manager service where they can upload the metadata of the their SP. After approval, the federation operator publishes and maintains the federation's metadata. Subsequent changes to these elements and attributes do not require re-approval by the federation operator. Only, administrators appointed specifically appointed by that SP can modify the SP specific information. For interfederation, the entity must ask the federation operator to publish it for participation in eduGAIN. Practices regarding metadata modifications ------------------------------------------ In the Belnet Federation, no metadata are modified because the federation operator generates them on behalf of all entities acquired through the metadata manager service. The source for generating federation metadata is the metadata manager database. The details of a registering entity are entered by each IdP/SP administrator providing the necessary metadata. A wizard will parse provided entity metadata to check the SAML2 syntax and the required content. The IdP/SP administrator also has to supply non-technical information such as descriptions or support contacts. All technical and non-technical information is stored on a customer database. This information will be used to generates the access credentials for the metadata manager system. [1] https://federation.belnet.be/re/md-mgmt/
Hoe sluit ik me als IdP (identity provider) aan bij eduGAIN?
Als u lid wilt worden van de eduGAIN-federatie, neemt u de volgende stappen:
1) Neem contact op met onze Belnet Servicedesk via servicedesk@belnet.be. Bent u al klant bij ons? Houd dan uw acroniem bij de hand. De Servicedesk verbindt u door met ons Customer Relations Team. De accountmanager vraagt u om de overeenkomst in te vullen, te ondertekenen en aan ons terug te bezorgen.
2) Pas uw Shibboleth IdP-configuratie aan.
2.1) In [shibboleth directory]/conf/relying-party.xml:
Moet u toestemming geven om metadata van de eduGAIN-service te ontvangen. Daarvoor moet u de volgende regels toevoegen, zoals in het onderstaande voorbeeld:
<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:ChainingMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata">
...
<!-- ******* eduGAIN Federation ******* -->
<metadata:MetadataProvider id="URLMD4" xsi:type="metadata:FileBackedHTTPMetadataProvider"
xmlns="urn:mace:shibboleth:2.0:metadata"
metadataURL="http://mds.edugain.org"
backingFile="/opt/shibboleth-idp/metadata/mds.edugain.org.xml" >
<!-- Using chaining filter to allow us multiple filters to be added -->
<metadata:MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
<!-- Ensure the metadata has a reasonable (1 week) validity period. -->
<!-- <metadata:MetadataFilter xsi:type="RequiredValidUntil" xmlns="urn:mace:shibboleth:2.0:metadata"
maxValidityInterval="P9D" /> -->
<!--
Ensure metadata is signed and use the 'shibboleth.MetadataTrustEngine'
to determine its trustworthiness
-->
<metadata:MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata"
trustEngineRef="eduGAIN.MetadataTrustEngine"
requireSignedMetadata="true" />
</metadata:MetadataFilter>
</metadata:MetadataProvider>
...
Iets verderop in het bestand moeten de volgende regels worden opgenomen om de geldigheid van de handtekening van de eduGAIN-gegevens te verifiëren:
...
<!-- Trust engine used to evaluate the signature on loaded metadata. -->
<security:TrustEngine id="eduGAIN.MetadataTrustEngine" xsi:type="security:StaticExplicitKeySignature">
<security:Credential id="eduGAINCredentials" xsi:type="security:X509Filesystem">
<security:Certificate>/opt/shibboleth-idp/credentials/edugain-mds.cer</security:Certificate>
</security:Credential>
</security:TrustEngine>
...
2.2) Download het certificaat waarmee de metadata van eduGAIN worden ondertekend:
Link naar eduGAIN-ondertekeningscertificaat om handtekening van metadata te valideren
Installeer het in[shibboleth directory]/credentials/ zoals beschreven in uw relying-party.xml-configuratie.
3) Om aan alle vereisten voor eduGAIN te voldoen, moet u de volgende secties toevoegen aan de metadata van uw IdP (toe te voegen in het gedeelte
xmlns:mdrpi="urn:oasis:names:tc:SAML:metadata:rpi" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" Right after the <EntityDescriptor> part, the following part needs to be included: <Extensions> <mdrpi:RegistrationInfo registrationAuthority="http://federation.belnet.be/" registrationInstant="2012-03-27T12:00:00Z"> <mdrpi:RegistrationPolicy xml:lang="en">http://federation.belnet.be/files/Belnet-metadata-registration-practice-statement.txt</mdrpi:RegistrationPolicy> </mdrpi:RegistrationInfo> </Extensions> In the <IDPSSODescriptor> part, the following needs to be present: <Extensions> <shibmd:Scope regexp="false" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0">[YOUR DOMAIN]</shibmd:Scope> <mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui"> <mdui:DisplayName xml:lang="en">[YOUR INSTITUTION]</mdui:DisplayName> <mdui:Description xml:lang="en">[SMALL DESCRIPTION OF YOUR INSTITUTION]</mdui:Description> <mdui:Logo height="16" width="16">https://anyurlwithyourlogoaccessible/yoursmalllogo.png</mdui:Logo> <mdui:Logo height="75" width="153">https://anyurlwithyourlogoaccessible/yourbiglogo.png</mdui:Logo> </mdui:UIInfo> <mdui:DiscoHints xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui"> <mdui:IPHint>[the IPv4 range you are using 193.190.x.y/mm</mdui:IPHint> <mdui:IPHint>2001:6a8:[your IPV6 range]::/64</mdui:IPHint> <mdui:DomainHint>[YOUR DOMAIN]</mdui:DomainHint> <mdui:GeolocationHint>[YOUR GEO COORDINATES in format like geo:50.825312,4.365471]</mdui:GeolocationHint> </mdui:DiscoHints> </Extensions>
De mduiMDUI: Logo is niet verplicht, maar het ziet er aantrekkelijker uit als dit naast het logo van uw instelling wordt weergegeven in de ontdekkingsdienst van eduGAIN (deze ontdekkingsdienst heet discojuice).
Let op: in vorige versies werd ons gevraagd een ingebed base64-logo in de
4) Wanneer we uw brief hebben ontvangen, publiceren we uw metadata op de Belnet eduGAIN-lijst met metadata die in de globale eduGAIN-metadata wordt geïntegreerd.
Hoe sluit ik me als SP (service provider) aan bij eduGAIN?
Als u lid wilt worden van de eduGAIN-federatie, neemt u contact op met onze Belnet Servicedesk via servicedesk@belnet.be. Bent u al klant bij ons? Houd dan uw acroniem bij de hand. De Servicedesk verbindt u door met ons Customer Relations Team.
De accountmanager vraagt u om de overeenkomst in te vullen, te ondertekenen en aan ons terug te bezorgen.
Wanneer we deze hebben ontvangen, publiceren we uw metadata op de Belnet eduGAIN-lijst met metadata die in de globale eduGAIN-metadata wordt geïntegreerd.
Meer technische informatie en nuttige links nodig?
Website van eduGAIN
XML-bestand met metadata - eduGAIN-deelnemers van Belnet
eduGAIN-ondertekeningscertificaat om de handtekening van metadata te valideren
Hoe schakel ik de MFA-laag in om de veiligheid van mijn authenticatieprocessen te verbeteren?
Bekijk onze documentatie en demovideo's op onze Multi Factor Authentication (MFA) FAQ-pagina.
Vind de verschillende deelnemende partijen terug met de tool ontwikkeld door GÉANT