====== Anbindung Service-Provider an das DFN edu-ID System ======

Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]]. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.

Weiterhin muss der betreffende Service-Provider das [[https://refeds.org/sirtfi|Security Incident Response Trust Framework for Federated Identity (Sirtfi)]] unterstützen. Siehe hierzu auch unter [[de:aai:incidentresponse|Incident Response]].

<callout type="primary" title="Unterstützung OpenID Connect">
An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. 
</callout>

===== Freischaltung des SP am edu-ID-System =====
Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben. 

==== Attribute / claims ====

Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.

<datatables paging="false" info="false">   
^ SAML attribute          ^ OIDC claim                 ^ comment                          ^
| pairwise-id             | sub (pairwise)             |                                  |
| subject-id              | sub (public)               | optional                         |
| o                       | org_name                   |                                  |
| schacHomeOrganization   | org_domain                 |                                  |
| eduPersonAffiliation    | eduperson_affiliation      |                                  |
| eduPersonAssurance      | eduperson_assurance        |                                  |
| mail                    | email                      |                                  |
| givenName               | given_name                 |                                  |
| sn                      | family_name                |                                  |
| displayName             | name                       |                                  |
| schacCountryOfResidence | schac_country_of_residence |                                  |
| schacPersonalUniqueCode | schac_personal_unique_code | optional                         |
| homePostalAddress       | home_postal_address        | optional                         |
| eduPersonOrcid          | orcid                      | optional                         |
| eduPersonEntitlement    | eduperson_entitlement      | optional                         |
</datatables>

==== Metadaten (SAML) ====

Service-Provider müssen die DFN edu-ID-Metadaten importieren: ''https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml''. \\
**NB:** Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten [[de:metadata|Metadatensätzen]].

**Beispiel für einen Shibboleth SP:** 

<file xml /etc/shibboleth/shibboleth2.xml>
   <!-- ... -->
   <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml"
       backingFilePath="dfn-aai-eduid-metadata.xml">
       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/>
       <MetadataFilter type="EntityRole">
          <RetainedRole>md:IDPSSODescriptor</RetainedRole>
       </MetadataFilter>
   </MetadataProvider>
   <!-- ... -->
</file>