Seite anzeigenÄltere VersionenLinks hierherNach oben Diese Seite ist nicht editierbar. Sie können den Quelltext sehen, jedoch nicht verändern. Kontaktieren Sie den Administrator, wenn Sie glauben, dass hier ein Fehler vorliegt. ====== Anbindung Identity-Provider an das DFN edu-ID System ====== Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]]. Weiterhin muss der betreffende Identity-Provider das [[https://refeds.org/sirtfi|Security Incident Response Trust Framework for Federated Identity (Sirtfi)]] unterstützen. Siehe hierzu auch unter [[de:aai:incidentresponse|Incident Response]]. ===== Attributfreigabe ===== Folgende Attribute müssen - **sofern verfügbar** - für die SP-Komponente des edu-ID-System freigegeben werden: <file xml ./conf/attribute-filter.xml> <AttributeFilterPolicy id="eduid_proxy"> <PolicyRequirementRule xsi:type="EntityAttributeExactMatch" attributeName="http://macedir.org/entity-category" attributeValue="http://aai.dfn.de/category/dfn-edu-id" /> <AttributeRule attributeID="eduPersonAffiliation" permitAny="true" /> <AttributeRule attributeID="samlPairwiseID" permitAny="true" /> <AttributeRule attributeID="givenName" permitAny="true" /> <AttributeRule attributeID="sn" permitAny="true" /> <AttributeRule attributeID="displayName" permitAny="true" /> <AttributeRule attributeID="mail" permitAny="true" /> <AttributeRule attributeID="schacHomeOrganization" permitAny="true" /> <AttributeRule attributeID="schacCountryOfResidence" permitAny="true" /> <AttributeRule attributeID="eduPersonAssurance" permitAny="true" /> <!-- optionale Attribute: --> <AttributeRule attributeID="schacPlaceOfBirth" permitAny="true" /> <AttributeRule attributeID="schacDateOfBirth" permitAny="true" /> <AttributeRule attributeID="eduPersonEntitlement" permitAny="true" /> <AttributeRule attributeID="eduPersonOrcid" permitAny="true" /> <AttributeRule attributeID="l" permitAny="true" /> <AttributeRule attributeID="o" permitAny="true" /> <AttributeRule attributeID="postalCode" permitAny="true" /> <AttributeRule attributeID="schacPersonalUniqueCode" permitAny="true" /> <AttributeRule attributeID="street" permitAny="true" /> </AttributeFilterPolicy> </file> ==== Attribute Query ==== Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggf. zu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.: <file xml ./conf/relying-party.xml> <util:list id="shibboleth.RelyingPartyOverrides"> <bean parent="RelyingPartyByTag"> <constructor-arg name="candidates"> <list> <bean parent="TagCandidate" c:name="http://macedir.org/entity-category" p:values="http://aai.dfn.de/category/dfn-edu-id"/> </list> </constructor-arg> <property name="profileConfigurations"> <list> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> </list> </property> </bean> </util:list> </file> <callout type="danger" title="Wichtiger Hinweis"> Voraussetzung für das Funktionieren von Attribute Queries ist die Befolgung der [[de:shibidp:config-storage|Richtlinien für das Einrichtung von Server-side Storage sowie der Generierung der persistent und der pairwise Id]]. Der Hashwert einer pairwise Id muss dem der jeweils zugehörigen, in einer Datenbank abgespeicherten persistent Id entsprechen! </callout> ===== Freischaltung des IdP am edu-ID-System ===== Für die Freischaltung des IdP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei dem IdP das Support-Attribut für die Entity Category http://aai.dfn.de/category/dfn-edu-id zugewiesen. Zuletzt geändert: vor 8 Wochen Anmelden