Table of Contents

Anbindung Service-Provider an das DFN edu-ID System

Formale Voraussetzung ist die Teilnahme an der DFN-AAI. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.

Weiterhin muss der betreffende Service-Provider ab spätestens 1.1.2028 das Security Incident Response Trust Framework for Federated Identity (Sirtfi) unterstützen. Siehe hierzu auch unter Incident Response. Bereits jetzt verpflichtend ist die Angabe eines Security Contacts in den SP-Metadaten.

Unterstützung OpenID Connect

An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de.

Freischaltung des SP am edu-ID-System

Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben.

Attribute / claims

Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.

SAML attribute OIDC claim comment
pairwise-id sub (pairwise)
subject-id sub (public) optional
o org_name
schacHomeOrganization org_domain
eduPersonAffiliation eduperson_affiliation
eduPersonAssurance eduperson_assurance
mail email
givenName given_name
sn family_name
displayName name
schacCountryOfResidence schac_country_of_residence
schacPersonalUniqueCode schac_personal_unique_code optional
homePostalAddress home_postal_address optional
l locality optional
street street_address optional
postalCode postal_code optional
eduPersonOrcid orcid optional
eduPersonEntitlement eduperson_entitlement optional

Metadaten (SAML)

Service-Provider müssen die DFN edu-ID-Metadaten importieren: https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml.
NB: Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten Metadatensätzen.

Beispiel für einen Shibboleth SP:

/etc/shibboleth/shibboleth2.xml
   <!-- ... -->
   <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml"
       backingFilePath="dfn-aai-eduid-metadata.xml">
       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/>
       <MetadataFilter type="EntityRole">
          <RetainedRole>md:IDPSSODescriptor</RetainedRole>
       </MetadataFilter>
   </MetadataProvider>
   <!-- ... -->