Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:aai:eduid:spconfig [2024/05/21 16:27] – angelegt Wolfgang Pempe
+++ de:aai:eduid:spconfig [2024/05/28 11:41] (aktuell) – [Anbindung Service-Provider an das DFN edu-ID System] Wolfgang Pempe
@@ Zeile 1: / Zeile 1: @@
 ====== Anbindung Service-Provider an das DFN edu-ID System ======
-Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]].
+Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]]. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.
-===== Freischaltung des SP am edu-ID-System =====
+Weiterhin muss der betreffende Service-Provider das [[https://refeds.org/sirtfi|Security Incident Response Trust Framework for Federated Identity (Sirtfi)]] unterstützen. Siehe hierzu auch unter [[de:aai:incidentresponse|Incident Response]].
-Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]].
-===== Attributfreigabe =====
+<callout type="primary" title="Unterstützung OpenID Connect">
+An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]].
+</callout>
-Folgende Attribute müssen - sofern verfügbar - für die SP-Komponente des edu-ID-System freigegeben werden:
+===== Freischaltung des SP am edu-ID-System =====
+Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben.
-<file xml ./conf/attribute-filter.xml>
+==== Attribute / claims ====
-    <AttributeFilterPolicy id="eduid_proxy">
-        <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
-                          attributeName="http://macedir.org/entity-category"
-                          attributeValue="http://aai.dfn.de/category/dfn-edu-id" />
-        <AttributeRule attributeID="eduPersonAffiliation"          permitAny="true" />
-        <AttributeRule attributeID="samlPairwiseID"                permitAny="true" />
-        <AttributeRule attributeID="givenName"                     permitAny="true" />
-        <AttributeRule attributeID="sn"                            permitAny="true" />
-        <AttributeRule attributeID="displayName"                   permitAny="true" />
-        <AttributeRule attributeID="mail"                          permitAny="true" />
-        <AttributeRule attributeID="schacHomeOrganization"         permitAny="true" />
-        <AttributeRule attributeID="schacCountryOfResidence"       permitAny="true" />
-        <AttributeRule attributeID="schacPlaceOfBirth"             permitAny="true" />
-        <AttributeRule attributeID="schacDateOfBirth"              permitAny="true" />
-        <AttributeRule attributeID="eduPersonAssurance"            permitAny="true" />
-        <AttributeRule attributeID="homePostalAddress"             permitAny="true" />
-        <!-- optionale Attribute: -->
-        <AttributeRule attributeID="schacPersonalUniqueCode"       permitAny="true" />
-        <AttributeRule attributeID="eduPersonEntitlement"          permitAny="true" />
-        <AttributeRule attributeID="o"                             permitAny="true" />
-        <AttributeRule attributeID="eduPersonOrcid"                permitAny="true" />
-   </AttributeFilterPolicy>
-</file>
-==== Attribute Query ====
+Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.
-Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggf. zu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.:
+<datatables paging="false" info="false">
+^ SAML attribute          ^ OIDC claim                 ^ comment                          ^
+| pairwise-id             | sub (pairwise)             |                                  |
+| subject-id              | sub (public)               | optional                         |
+| o                       | org_name                   |                                  |
+| schacHomeOrganization   | org_domain                 |                                  |
+| eduPersonAffiliation    | eduperson_affiliation      |                                  |
+| eduPersonAssurance      | eduperson_assurance        |                                  |
+| mail                    | email                      |                                  |
+| givenName               | given_name                 |                                  |
+| sn                      | family_name                |                                  |
+| displayName             | name                       |                                  |
+| schacCountryOfResidence | schac_country_of_residence |                                  |
+| schacPersonalUniqueCode | schac_personal_unique_code | optional                         |
+| homePostalAddress       | home_postal_address        | optional                         |
+| eduPersonOrcid          | orcid                      | optional                         |
+| eduPersonEntitlement    | eduperson_entitlement      | optional                         |
+</datatables>
-<file xml ./conf/relying-party.xml>
+==== Metadaten (SAML) ====
-  <util:list id="shibboleth.RelyingPartyOverrides">
+Service-Provider müssen die DFN edu-ID-Metadaten importieren: ''https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml''. \\
+**NB:** Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten [[de:metadata|Metadatensätzen]].
-     <bean parent="RelyingPartyByTag">
+**Beispiel für einen Shibboleth SP:**
-        <constructor-arg name="candidates">
-            <list>
-                <bean parent="TagCandidate" c:name="http://macedir.org/entity-category"
-                    p:values="http://aai.dfn.de/category/dfn-edu-id"/>
-            </list>
-        </constructor-arg>
-        <property name="profileConfigurations">
-            <list>
-             <bean parent="SAML2.SSO"
-                   p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" />
-              <ref bean="SAML2.Logout" />
-              <ref bean="SAML2.AttributeQuery" />
-            </list>
-        </property>
-     </bean>
-  </util:list>
+<file xml /etc/shibboleth/shibboleth2.xml>
+   <!-- ... -->
+   <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml"
+       backingFilePath="dfn-aai-eduid-metadata.xml">
+       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/>
+       <MetadataFilter type="EntityRole">
+          <RetainedRole>md:IDPSSODescriptor</RetainedRole>
+       </MetadataFilter>
+   </MetadataProvider>
+   <!-- ... -->
 </file>
-<callout type="danger" title="Wichtiger Hinweis">
-Voraussetzung für das Funktionieren von Attribute Queries ist die Befolgung der [[de:shibidp:config-storage|Richtlinien für das Einrichtung von Server-side Storage sowie der Generierung der persistent und der pairwise Id]]. Der Hashwert einer pairwise Id muss dem der jeweils zugehörigen, in einer Datenbank abgespeicherten persistent Id entsprechen!
-</callout>
-===== Freischaltung des IdP am edu-ID-System =====
-Für die Freischaltung des IdP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei dem IdP das Support-Attribut für die Entity Category http://aai.dfn.de/category/dfn-edu-id zugewiesen.