====== Anbindung Identity Provider an das DFN edu-ID System ======

Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]].

===== Attributfreigabe =====

Folgende Attribute müssen - sofern verfügbar - für die SP-Komponente des edu-ID-System freigegeben werden:

<file xml ./conf/attribute-filter.xml>
    
    <AttributeFilterPolicy id="eduid_proxy">
        <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
                          attributeName="http://macedir.org/entity-category"
                          attributeValue="http://aai.dfn.de/category/dfn-edu-id" />
        <AttributeRule attributeID="eduPersonAffiliation"          permitAny="true" />
        <AttributeRule attributeID="samlPairwiseID"                permitAny="true" />
        <AttributeRule attributeID="givenName"                     permitAny="true" />
        <AttributeRule attributeID="sn"                            permitAny="true" />
        <AttributeRule attributeID="displayName"                   permitAny="true" />
        <AttributeRule attributeID="mail"                          permitAny="true" />
        <AttributeRule attributeID="schacHomeOrganization"         permitAny="true" />
        <AttributeRule attributeID="schacCountryOfResidence"       permitAny="true" />
        <AttributeRule attributeID="schacPlaceOfBirth"             permitAny="true" />
        <AttributeRule attributeID="schacDateOfBirth"              permitAny="true" />
        <AttributeRule attributeID="eduPersonAssurance"            permitAny="true" />
        <AttributeRule attributeID="homePostalAddress"             permitAny="true" />
        <!-- optionale Attribute: -->
        <AttributeRule attributeID="schacPersonalUniqueCode"       permitAny="true" />
        <AttributeRule attributeID="eduPersonEntitlement"          permitAny="true" />
        <AttributeRule attributeID="o"                             permitAny="true" />
        <AttributeRule attributeID="eduPersonOrcid"                permitAny="true" />
   </AttributeFilterPolicy>
</file>

==== Attribute Query ====

Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggf. zu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.:

<file xml ./conf/relying-party.xml>

  <util:list id="shibboleth.RelyingPartyOverrides">

     <bean parent="RelyingPartyByTag">
        <constructor-arg name="candidates">
            <list>
                <bean parent="TagCandidate" c:name="http://macedir.org/entity-category"
                    p:values="http://aai.dfn.de/category/dfn-edu-id"/>
            </list>
        </constructor-arg>
        <property name="profileConfigurations">
            <list>
             <bean parent="SAML2.SSO" 
                   p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" />
              <ref bean="SAML2.Logout" />
              <ref bean="SAML2.AttributeQuery" />
            </list>
        </property>
     </bean>

  </util:list>

</file> 

<callout type="danger" title="Wichtiger Hinweis">
Voraussetzung für das Funktionieren von Attribute Queries ist die Befolgung der [[de:shibidp:config-storage|Richtlinien für das Einrichtung von Server-side Storage sowie der Generierung der persistent und der pairwise Id]]. Der Hashwert einer pairwise Id muss dem der jeweils zugehörigen, in einer Datenbank abgespeicherten persistent Id entsprechen! 
</callout>