Anbindung Service-Provider an das DFN edu-ID System
Formale Voraussetzung ist die Teilnahme an der DFN-AAI. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.
Weiterhin muss der betreffende Service-Provider das Security Incident Response Trust Framework for Federated Identity (Sirtfi) unterstützen. Siehe hierzu auch unter Incident Response.
Unterstützung OpenID Connect
An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de.Freischaltung des SP am edu-ID-System
Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben.
Attribute / claims
Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.
| SAML attribute | OIDC claim | comment |
|---|---|---|
| pairwise-id | sub (pairwise) | |
| subject-id | sub (public) | optional |
| o | org_name | |
| schacHomeOrganization | org_domain | |
| eduPersonAffiliation | eduperson_affiliation | |
| eduPersonAssurance | eduperson_assurance | |
| givenName | given_name | |
| sn | family_name | |
| displayName | name | |
| schacCountryOfResidence | schac_country_of_residence | |
| schacPersonalUniqueCode | schac_personal_unique_code | optional |
| homePostalAddress | home_postal_address | optional |
| eduPersonOrcid | orcid | optional |
| eduPersonEntitlement | eduperson_entitlement | optional |
Metadaten (SAML)
Service-Provider müssen die DFN edu-ID-Metadaten importieren: https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml.
NB: Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten Metadatensätzen.
Beispiel für einen Shibboleth SP:
- /etc/shibboleth/shibboleth2.xml
<!-- ... --> <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml" backingFilePath="dfn-aai-eduid-metadata.xml"> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/> <MetadataFilter type="EntityRole"> <RetainedRole>md:IDPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> <!-- ... -->