Anbindung Identity Provider an das DFN edu-ID System

Formale Voraussetzung ist die Teilnahme an der DFN-AAI.

Attributfreigabe

Folgende Attribute müssen - sofern verfügbar - für die SP-Komponente des edu-ID-System freigegeben werden:

./conf/attribute-filter.xml
    <AttributeFilterPolicy id="eduid_proxy">
        <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
                          attributeName="http://macedir.org/entity-category"
                          attributeValue="http://aai.dfn.de/category/dfn-edu-id" />
        <AttributeRule attributeID="eduPersonAffiliation"          permitAny="true" />
        <AttributeRule attributeID="samlPairwiseID"                permitAny="true" />
        <AttributeRule attributeID="givenName"                     permitAny="true" />
        <AttributeRule attributeID="sn"                            permitAny="true" />
        <AttributeRule attributeID="displayName"                   permitAny="true" />
        <AttributeRule attributeID="mail"                          permitAny="true" />
        <AttributeRule attributeID="schacHomeOrganization"         permitAny="true" />
        <AttributeRule attributeID="schacCountryOfResidence"       permitAny="true" />
        <AttributeRule attributeID="schacPlaceOfBirth"             permitAny="true" />
        <AttributeRule attributeID="schacDateOfBirth"              permitAny="true" />
        <AttributeRule attributeID="eduPersonAssurance"            permitAny="true" />
        <AttributeRule attributeID="homePostalAddress"             permitAny="true" />
        <!-- optionale Attribute: -->
        <AttributeRule attributeID="schacPersonalUniqueCode"       permitAny="true" />
        <AttributeRule attributeID="eduPersonEntitlement"          permitAny="true" />
        <AttributeRule attributeID="o"                             permitAny="true" />
        <AttributeRule attributeID="eduPersonOrcid"                permitAny="true" />
   </AttributeFilterPolicy>

Attribute Query

Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggf. zu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.:

./conf/relying-party.xml
  <util:list id="shibboleth.RelyingPartyOverrides">
 
     <bean parent="RelyingPartyByTag">
        <constructor-arg name="candidates">
            <list>
                <bean parent="TagCandidate" c:name="http://macedir.org/entity-category"
                    p:values="http://aai.dfn.de/category/dfn-edu-id"/>
            </list>
        </constructor-arg>
        <property name="profileConfigurations">
            <list>
             <bean parent="SAML2.SSO" 
                   p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" />
              <ref bean="SAML2.Logout" />
              <ref bean="SAML2.AttributeQuery" />
            </list>
        </property>
     </bean>
 
  </util:list>

Wichtiger Hinweis

Voraussetzung für das Funktionieren von Attribute Queries ist die Befolgung der Richtlinien für das Einrichtung von Server-side Storage sowie der Generierung der persistent und der pairwise Id. Der Hashwert einer pairwise Id muss dem der jeweils zugehörigen, in einer Datenbank abgespeicherten persistent Id entsprechen!
  • Zuletzt geändert: vor 3 Monaten