Anbindung Identity-Provider an das DFN edu-ID System

Formale Voraussetzung ist die Teilnahme an der DFN-AAI.

Weiterhin muss der betreffende Identity-Provider das Security Incident Response Trust Framework for Federated Identity (Sirtfi) unterstützen. Siehe hierzu auch unter Incident Response.

Attributfreigabe

Folgende Attribute müssen - sofern verfügbar - für die SP-Komponente des edu-ID-System freigegeben werden:

./conf/attribute-filter.xml

    <AttributeFilterPolicy id="eduid_proxy">
        <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
                          attributeName="http://macedir.org/entity-category"
                          attributeValue="http://aai.dfn.de/category/dfn-edu-id" />
        <AttributeRule attributeID="eduPersonAffiliation"          permitAny="true" />
        <AttributeRule attributeID="samlPairwiseID"                permitAny="true" />
        <AttributeRule attributeID="givenName"                     permitAny="true" />
        <AttributeRule attributeID="sn"                            permitAny="true" />
        <AttributeRule attributeID="displayName"                   permitAny="true" />
        <AttributeRule attributeID="mail"                          permitAny="true" />
        <AttributeRule attributeID="schacHomeOrganization"         permitAny="true" />
        <AttributeRule attributeID="schacCountryOfResidence"       permitAny="true" />
        <AttributeRule attributeID="schacPlaceOfBirth"             permitAny="true" />
        <AttributeRule attributeID="schacDateOfBirth"              permitAny="true" />
        <AttributeRule attributeID="eduPersonAssurance"            permitAny="true" />
        <AttributeRule attributeID="homePostalAddress"             permitAny="true" />
        <!-- optionale Attribute: -->
        <AttributeRule attributeID="schacPersonalUniqueCode"       permitAny="true" />
        <AttributeRule attributeID="eduPersonEntitlement"          permitAny="true" />
        <AttributeRule attributeID="o"                             permitAny="true" />
        <AttributeRule attributeID="eduPersonOrcid"                permitAny="true" />
   </AttributeFilterPolicy>

Attribute Query

Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggf. zu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.:

./conf/relying-party.xml

  <util:list id="shibboleth.RelyingPartyOverrides">
 
     <bean parent="RelyingPartyByTag">
        <constructor-arg name="candidates">
            <list>
                <bean parent="TagCandidate" c:name="http://macedir.org/entity-category"
                    p:values="http://aai.dfn.de/category/dfn-edu-id"/>
            </list>
        </constructor-arg>
        <property name="profileConfigurations">
            <list>
             <bean parent="SAML2.SSO" 
                   p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" />
              <ref bean="SAML2.Logout" />
              <ref bean="SAML2.AttributeQuery" />
            </list>
        </property>
     </bean>
 
  </util:list>

Wichtiger Hinweis

Voraussetzung für das Funktionieren von Attribute Queries ist die Befolgung der Richtlinien für das Einrichtung von Server-side Storage sowie der Generierung der persistent und der pairwise Id. Der Hashwert einer pairwise Id muss dem der jeweils zugehörigen, in einer Datenbank abgespeicherten persistent Id entsprechen!

Freischaltung des IdP am edu-ID-System

Für die Freischaltung des IdP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de. Unter anderem wird hierbei dem IdP das Support-Attribut für die Entity Category http://aai.dfn.de/category/dfn-edu-id zugewiesen.