Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:aai:eduid:idpconfig [2024/01/15 13:00] – angelegt Wolfgang Pempede:aai:eduid:idpconfig [2025/02/06 17:59] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
-====== Anbindung Identity Provider an das DFN edu-ID System ======+====== Anbindung Identity-Provider an das DFN edu-ID System ====== 
 + 
 +Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]]. 
 + 
 +Weiterhin muss der betreffende Identity-Provider das [[https://refeds.org/sirtfi|Security Incident Response Trust Framework for Federated Identity (Sirtfi)]] unterstützen. Siehe hierzu auch unter [[de:aai:incidentresponse|Incident Response]].
  
 ===== Attributfreigabe ===== ===== Attributfreigabe =====
  
-Folgende Attribute müssen - sofern verfügbar - für die SP-Komponente des edu-ID-System freigegeben werden:+Folgende Attribute müssen - **sofern verfügbar** - für die SP-Komponente des edu-ID-System freigegeben werden:
  
 <file xml ./conf/attribute-filter.xml> <file xml ./conf/attribute-filter.xml>
Zeile 19: Zeile 23:
         <AttributeRule attributeID="schacHomeOrganization"         permitAny="true" />         <AttributeRule attributeID="schacHomeOrganization"         permitAny="true" />
         <AttributeRule attributeID="schacCountryOfResidence"       permitAny="true" />         <AttributeRule attributeID="schacCountryOfResidence"       permitAny="true" />
-        <AttributeRule attributeID="schacPlaceOfBirth"             permitAny="true" /> 
-        <AttributeRule attributeID="schacDateOfBirth"              permitAny="true" /> 
         <AttributeRule attributeID="eduPersonAssurance"            permitAny="true" />         <AttributeRule attributeID="eduPersonAssurance"            permitAny="true" />
-        <AttributeRule attributeID="homePostalAddress"             permitAny="true" /> 
         <!-- optionale Attribute: -->         <!-- optionale Attribute: -->
-        <AttributeRule attributeID="schacPersonalUniqueCode      permitAny="true" />+        <AttributeRule attributeID="schacPlaceOfBirth            permitAny="true" /> 
 +        <AttributeRule attributeID="schacDateOfBirth"              permitAny="true" />
         <AttributeRule attributeID="eduPersonEntitlement"          permitAny="true" />         <AttributeRule attributeID="eduPersonEntitlement"          permitAny="true" />
-        <AttributeRule attributeID="o"                             permitAny="true" /> 
         <AttributeRule attributeID="eduPersonOrcid"                permitAny="true" />         <AttributeRule attributeID="eduPersonOrcid"                permitAny="true" />
 +        <AttributeRule attributeID="l"                             permitAny="true" />
 +        <AttributeRule attributeID="o"                             permitAny="true" />
 +        <AttributeRule attributeID="postalCode"                    permitAny="true" />
 +        <AttributeRule attributeID="schacPersonalUniqueCode"       permitAny="true" />
 +        <AttributeRule attributeID="street"                        permitAny="true" />
    </AttributeFilterPolicy>    </AttributeFilterPolicy>
 </file> </file>
 +
 +==== Attribute Query ====
 +
 +Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggf. zu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.:
 +
 +<file xml ./conf/relying-party.xml>
 +
 +  <util:list id="shibboleth.RelyingPartyOverrides">
 +
 +     <bean parent="RelyingPartyByTag">
 +        <constructor-arg name="candidates">
 +            <list>
 +                <bean parent="TagCandidate" c:name="http://macedir.org/entity-category"
 +                    p:values="http://aai.dfn.de/category/dfn-edu-id"/>
 +            </list>
 +        </constructor-arg>
 +        <property name="profileConfigurations">
 +            <list>
 +             <bean parent="SAML2.SSO" 
 +                   p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" />
 +              <ref bean="SAML2.Logout" />
 +              <ref bean="SAML2.AttributeQuery" />
 +            </list>
 +        </property>
 +     </bean>
 +
 +  </util:list>
 +
 +</file> 
 +
 +<callout type="danger" title="Wichtiger Hinweis">
 +Voraussetzung für das Funktionieren von Attribute Queries ist die Befolgung der [[de:shibidp:config-storage|Richtlinien für das Einrichtung von Server-side Storage sowie der Generierung der persistent und der pairwise Id]]. Der Hashwert einer pairwise Id muss dem der jeweils zugehörigen, in einer Datenbank abgespeicherten persistent Id entsprechen! 
 +</callout>
  
  
 +===== Freischaltung des IdP am edu-ID-System =====
 +Für die Freischaltung des IdP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei dem IdP das Support-Attribut für die Entity Category http://aai.dfn.de/category/dfn-edu-id zugewiesen. 
  • Zuletzt geändert: vor 15 Monaten