Formale Voraussetzung ist die Teilnahme an der DFN-AAI.
Weiterhin muss der betreffende Identity-Provider spätestens ab 01.01.2028 das Security Incident Response Trust Framework for Federated Identity (Sirtfi) unterstützen. Siehe hierzu auch unter Incident Response. Bereits jetzt verpflichtend ist die Angabe eines Security Contacts in den IdP-Metadaten.
Folgende Attribute müssen - sofern verfügbar - für die SP-Komponente des edu-ID-System freigegeben werden:
<AttributeFilterPolicy id="eduid_proxy"> <PolicyRequirementRule xsi:type="EntityAttributeExactMatch" attributeName="http://macedir.org/entity-category" attributeValue="http://aai.dfn.de/category/dfn-edu-id" /> <AttributeRule attributeID="eduPersonAffiliation" permitAny="true" /> <AttributeRule attributeID="samlPairwiseID" permitAny="true" /> <AttributeRule attributeID="givenName" permitAny="true" /> <AttributeRule attributeID="sn" permitAny="true" /> <AttributeRule attributeID="displayName" permitAny="true" /> <AttributeRule attributeID="mail" permitAny="true" /> <AttributeRule attributeID="schacHomeOrganization" permitAny="true" /> <AttributeRule attributeID="schacCountryOfResidence" permitAny="true" /> <AttributeRule attributeID="eduPersonAssurance" permitAny="true" /> <!-- optionale Attribute: --> <AttributeRule attributeID="schacPlaceOfBirth" permitAny="true" /> <AttributeRule attributeID="schacDateOfBirth" permitAny="true" /> <AttributeRule attributeID="eduPersonEntitlement" permitAny="true" /> <AttributeRule attributeID="eduPersonOrcid" permitAny="true" /> <AttributeRule attributeID="l" permitAny="true" /> <AttributeRule attributeID="o" permitAny="true" /> <AttributeRule attributeID="postalCode" permitAny="true" /> <AttributeRule attributeID="schacPersonalUniqueCode" permitAny="true" /> <AttributeRule attributeID="street" permitAny="true" /> </AttributeFilterPolicy>
Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggf. zu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.:
<util:list id="shibboleth.RelyingPartyOverrides"> <bean parent="RelyingPartyByTag"> <constructor-arg name="candidates"> <list> <bean parent="TagCandidate" c:name="http://macedir.org/entity-category" p:values="http://aai.dfn.de/category/dfn-edu-id"/> </list> </constructor-arg> <property name="profileConfigurations"> <list> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> </list> </property> </bean> </util:list>
Für die Freischaltung des IdP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de. Unter anderem wird hierbei dem IdP das Support-Attribut für die Entity Category http://aai.dfn.de/category/dfn-edu-id zugewiesen.