Anbindung Service-Provider an das DFN edu-ID System
Formale Voraussetzung ist die Teilnahme an der DFN-AAI. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.
Weiterhin muss der betreffende Service-Provider ab spätestens 1.1.2028 das Security Incident Response Trust Framework for Federated Identity (Sirtfi) unterstützen. Siehe hierzu auch unter Incident Response. Bereits jetzt verpflichtend ist die Angabe eines Security Contacts in den SP-Metadaten.
Unterstützung OpenID Connect
An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de.Freischaltung des SP am edu-ID-System
Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben.
Attribute / claims
Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.
SAML attribute | OIDC claim | comment |
---|---|---|
pairwise-id | sub (pairwise) | |
subject-id | sub (public) | optional |
o | org_name | |
schacHomeOrganization | org_domain | |
eduPersonAffiliation | eduperson_affiliation | |
eduPersonAssurance | eduperson_assurance | |
givenName | given_name | |
sn | family_name | |
displayName | name | |
schacCountryOfResidence | schac_country_of_residence | |
schacPersonalUniqueCode | schac_personal_unique_code | optional |
homePostalAddress | home_postal_address | optional |
l | locality | optional |
street | street_address | optional |
postalCode | postal_code | optional |
eduPersonOrcid | orcid | optional |
eduPersonEntitlement | eduperson_entitlement | optional |
Metadaten (SAML)
Service-Provider müssen die DFN edu-ID-Metadaten importieren: https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml
.
NB: Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten Metadatensätzen.
Beispiel für einen Shibboleth SP:
- /etc/shibboleth/shibboleth2.xml
<!-- ... --> <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml" backingFilePath="dfn-aai-eduid-metadata.xml"> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/> <MetadataFilter type="EntityRole"> <RetainedRole>md:IDPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> <!-- ... -->