===== OpenID Connect Proxy mit angeschlossenen Diensten =====
(zurück zur [[de:shibidp:config-attributes#haeufig_genutzte_service_provider|Übersicht]])

Der OpenID-Connect-Proxy dient der Anbindung von Diensten an die DFN-AAI, die nicht SAML-fähig sind, dafür aber OpenID Connect unterstützen.

Bei den unten angegebenen Attributen handelt es sich um das Superset, das für die angebundenen Dienste maximal zur Verfügung steht. Der Proxy leitet jedoch nur die Attribute bzw. Claims weiter, die der betreffende Dienst tatsächlich benötigt, mindestens ''sub''.

<file xml ./conf/attribute-filter.xml>
<AttributeFilterPolicy id="dfn_aai_oidc_proxy">
   <PolicyRequirementRule xsi:type="Requester" value="https://oidc-proxy.aai.dfn.de" />
      <AttributeRule attributeID="samlPairwiseID"        permitAny="true" />
      <AttributeRule attributeID="sn"                    permitAny="true" />
      <AttributeRule attributeID="givenName"             permitAny="true" />
      <AttributeRule attributeID="displayName"           permitAny="true" />
      <AttributeRule attributeID="mail"                  permitAny="true" />
      <AttributeRule attributeID="schacHomeOrganization" permitAny="true" />
      <AttributeRule attributeID="o"                     permitAny="true" />
      <AttributeRule attributeID="eduPersonAffiliation"  permitAny="true" />
      <AttributeRule attributeID="eduPersonAssurance"    permitAny="true" />
</AttributeFilterPolicy>
</file>

\\

==== Liste der angeschlossenen Dienste ====

<datatables paging="false" info="false">   
^ Bezeichnung  ^ Beschreibung ^ Dienstanbieter / Firma                                      ^ Kontakt (E-Mail) ^ Link zu Datenschutzinformationen                        ^ Benötigte claims ^
| [[https://rocket-meals.de/homepage/|Rocket Meals]] | Campus App - Studierende können digitale Leistungen der Studierendenwerke nutzen | [[https://baumgartner-software.de|Baumgartner Software UG]] | info@baumgartner-software.de | https://rocket-meals.de/homepage/datenschutzerklaerung/ | sub              |
</datatables>

\\

==== Hinweise für Dienstanbieter ====

**Registrierung**\\
Dynamic Client Registration wird **nicht** unterstützt. Wenden Sie sich zur Registrierung des Clients bzw. der betreffenden Relying-Party-Instanz bitte an das DFN-AAI Team ([[hotline@aai.dfn.de|hotline@aai.dfn.de]]), das - nach Erledigung der vertrags- und datenschutzrechtlichen Fragen - die Registrierung vornimmt und der RP-Instanz eine ''client_id'' sowie ein ''client_secret'' zuweist. Hierfür wird pro Client/RP mindestens ein ''redirect_uri'' benötigt.

**Weitere Angaben:** Bitte teilen Sie im Rahmen der Registrierung die vom betreffenden Dienst benötigten Claims mit - siehe unten. Weiterhin bitten wir um die Angaben für die oben stehende [[de:shibidp:oidc-proxy#liste_der_angeschlossenen_dienste|Liste der angeschlossenen Dienste]].

**OpenID-Provider-Instanzen:**

Für Test- und Produktivbetrieb existieren separate OpenID-Provider-Instanzen:

//Testbetrieb://
  * Issuer: https://oidc-testproxy.aai.dfn.de
  * Konfiguration: https://oidc-testproxy.aai.dfn.de/.well-known/openid-configuration
  * Testuser: In der Einrichtungsauswahl [[de:functionaltest_sp|DFN: Offizieller öffentlicher Test-IdP]] auswählen und mit dem User ''test-all'' anmelden. 
//Produktivbetrieb://
  * Issuer: https://oidc-proxy.aai.dfn.de
  * Konfiguration: https://oidc-proxy.aai.dfn.de/.well-known/openid-configuration
  * Testuser auf Nachfrage (-> DFN-AAI Team)

**Maximal verfügbares Claim-Set:**
  * sub (pairwise)
  * family_name
  * given_name
  * name
  * email
  * schac_home_organization
  * organization_name
  * eduperson_affiliation
  * eduperson_assurance