Formale Voraussetzung ist die Teilnahme an der DFN-AAI. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.
Weiterhin muss der betreffende Service-Provider ab spätestens 1.1.2028 das Security Incident Response Trust Framework for Federated Identity (Sirtfi) unterstützen. Siehe hierzu auch unter Incident Response. Bereits jetzt verpflichtend ist die Angabe eines Security Contacts in den SP-Metadaten.
Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben.
Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.
SAML attribute | OIDC claim | comment |
---|---|---|
pairwise-id | sub (pairwise) | |
subject-id | sub (public) | optional |
o | org_name | |
schacHomeOrganization | org_domain | |
eduPersonAffiliation | eduperson_affiliation | |
eduPersonAssurance | eduperson_assurance | |
givenName | given_name | |
sn | family_name | |
displayName | name | |
schacCountryOfResidence | schac_country_of_residence | |
schacPersonalUniqueCode | schac_personal_unique_code | optional |
homePostalAddress | home_postal_address | optional |
l | locality | optional |
street | street_address | optional |
postalCode | postal_code | optional |
eduPersonOrcid | orcid | optional |
eduPersonEntitlement | eduperson_entitlement | optional |
Service-Provider müssen die DFN edu-ID-Metadaten importieren: https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml
.
NB: Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten Metadatensätzen.
Beispiel für einen Shibboleth SP:
<!-- ... --> <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml" backingFilePath="dfn-aai-eduid-metadata.xml"> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/> <MetadataFilter type="EntityRole"> <RetainedRole>md:IDPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> <!-- ... -->