Inhaltsverzeichnis

Anbindung Service-Provider an das DFN edu-ID System

Formale Voraussetzung ist die Teilnahme an der DFN-AAI. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.

Weiterhin muss der betreffende Service-Provider das Security Incident Response Trust Framework for Federated Identity (Sirtfi) unterstützen. Siehe hierzu auch unter Incident Response.

Unterstützung OpenID Connect

An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de.

Freischaltung des SP am edu-ID-System

Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben.

Attribute / claims

Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.

SAML attribute OIDC claim comment
pairwise-id sub (pairwise)
subject-id sub (public) optional
o org_name
schacHomeOrganization org_domain
eduPersonAffiliation eduperson_affiliation
eduPersonAssurance eduperson_assurance
mail email
givenName given_name
sn family_name
displayName name
schacCountryOfResidence schac_country_of_residence
schacPersonalUniqueCode schac_personal_unique_code optional
homePostalAddress home_postal_address optional
eduPersonOrcid orcid optional
eduPersonEntitlement eduperson_entitlement optional

Metadaten (SAML)

Service-Provider müssen die DFN edu-ID-Metadaten importieren: https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml.
NB: Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten Metadatensätzen.

Beispiel für einen Shibboleth SP:

/etc/shibboleth/shibboleth2.xml
   <!-- ... -->
   <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml"
       backingFilePath="dfn-aai-eduid-metadata.xml">
       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/>
       <MetadataFilter type="EntityRole">
          <RetainedRole>md:IDPSSODescriptor</RetainedRole>
       </MetadataFilter>
   </MetadataProvider>
   <!-- ... -->