Thema: Was kann/soll seitens der DFN-AAI-Metadatenverwaltung (MDV) getan werden, um OIDC zu unterstützen, bevor die Spezifikation für OIDC Federation endgültig verabschiedet wird?
Shibboleth-Workaround: XML-Metadaten-Lösung, um RPs/Clients beim Shib-OP zu registrieren
die selben föderationsrelevanten MD-Felder: MDUI Info, Contacts, …
nicht alle im Original-JSON vorgesehenen Felder in XML übernommen, u.a.
URL für Backchannel-Logout
in Föderationsmetadaten sollte kein shared Client Secret publiziert werden
welcher Client kann mit x509-Zertifikaten umgehen?
asymmetrische Verschlüsselung über Metadaten (Zertifikate)
Clients, die das nicht können: shared Secret müsste außerhalb der MDV verwaltet und ausgetauscht werden
Wie könnte die MDV die Verteilung der shared Secrets ermöglichen/unterstützen?
Single Page Applications unterstützen nicht den Client Secret-Mechanismus, sondern arbeiten über PKCE
Gefühlt die Hälfte aller OIDC-Clients unterstützt ausschließlich PKCE
Idee: Shared Secrets mit public Keys der IdPs verschlüsseln?
Early Adopter - welche Anwendungen kommen überhaupt für eine Anbindung an die DFN-AAI in Frage?