de:shibidp:oidc-proxy

Inhaltsverzeichnis

OpenID Connect Proxy mit angeschlossenen Diensten
- Liste der angeschlossenen Dienste
- Hinweise für Dienstanbieter

OpenID Connect Proxy mit angeschlossenen Diensten

Der OpenID-Connect-Proxy dient der Anbindung von Diensten an die DFN-AAI, die nicht SAML-fähig sind, dafür aber OpenID Connect unterstützen.

Bei den unten angegebenen Attributen handelt es sich um das Superset, das für die angebundenen Dienste maximal zur Verfügung steht. Der Proxy leitet jedoch nur die Attribute bzw. Claims weiter, die der betreffende Dienst tatsächlich benötigt, mindestens sub.

./conf/attribute-filter.xml

<AttributeFilterPolicy id="dfn_aai_oidc_proxy">
   <PolicyRequirementRule xsi:type="Requester" value="https://oidc-proxy.aai.dfn.de" />
      <AttributeRule attributeID="samlPairwiseID"        permitAny="true" />
      <AttributeRule attributeID="sn"                    permitAny="true" />
      <AttributeRule attributeID="givenName"             permitAny="true" />
      <AttributeRule attributeID="displayName"           permitAny="true" />
      <AttributeRule attributeID="mail"                  permitAny="true" />
      <AttributeRule attributeID="schacHomeOrganization" permitAny="true" />
      <AttributeRule attributeID="o"                     permitAny="true" />
      <AttributeRule attributeID="eduPersonAffiliation"  permitAny="true" />
      <AttributeRule attributeID="eduPersonAssurance"    permitAny="true" />
</AttributeFilterPolicy>

Liste der angeschlossenen Dienste

Bezeichnung	Beschreibung	Dienstanbieter / Firma	Kontakt (E-Mail)	Link zu Datenschutzinformationen	Benötigte claims
Rocket Meals	Campus App - Studierende können digitale Leistungen der Studierendenwerke nutzen	Baumgartner Software UG	info@baumgartner-software.de	https://rocket-meals.de/homepage/datenschutzerklaerung/	sub

Hinweise für Dienstanbieter

Registrierung
Dynamic Client Registration wird nicht unterstützt. Wenden Sie sich zur Registrierung des Clients bzw. der betreffenden Relying-Party-Instanz bitte an das DFN-AAI Team (hotline@aai.dfn.de), das - nach Erledigung der vertrags- und datenschutzrechtlichen Fragen - die Registrierung vornimmt und der RP-Instanz eine client_id sowie ein client_secret zuweist. Hierfür wird pro Client/RP mindestens ein redirect_uri benötigt.

Weitere Angaben: Bitte teilen Sie im Rahmen der Registrierung die vom betreffenden Dienst benötigten Claims mit - siehe unten. Weiterhin bitten wir um die Angaben für die oben stehende Liste der angeschlossenen Dienste.

OpenID-Provider-Instanzen:

Für Test- und Produktivbetrieb existieren separate OpenID-Provider-Instanzen:

Testbetrieb:

Issuer: https://oidc-testproxy.aai.dfn.de
Konfiguration: https://oidc-testproxy.aai.dfn.de/.well-known/openid-configuration
Testuser: In der Einrichtungsauswahl DFN: Offizieller öffentlicher Test-IdP auswählen und mit dem User test-all anmelden.

Produktivbetrieb:

Issuer: https://oidc-proxy.aai.dfn.de
Konfiguration: https://oidc-proxy.aai.dfn.de/.well-known/openid-configuration
Testuser auf Nachfrage (→ DFN-AAI Team)

Maximal verfügbares Claim-Set:

sub (pairwise)
family_name
given_name
name
email
schac_home_organization
organization_name
eduperson_affiliation
eduperson_assurance