Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:aai:eduid:spconfig [2024/05/21 16:27] – angelegt Wolfgang Pempede:aai:eduid:spconfig [2025/12/09 15:14] (aktuell) – [Attribute / claims] Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Anbindung Service-Provider an das DFN edu-ID System ====== ====== Anbindung Service-Provider an das DFN edu-ID System ======
  
-Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]].+Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]]. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.
  
-===== Freischaltung des SP am edu-ID-System ===== +Weiterhin muss der betreffende Service-Provider ab spätestens 1.1.2028 das [[https://refeds.org/sirtfi|Security Incident Response Trust Framework for Federated Identity (Sirtfi)]] unterstützen. Siehe hierzu auch unter [[de:aai:incidentresponse|Incident Response]]. Bereits jetzt verpflichtend ist die Angabe eines [[https://refeds.org/metadata/contactType/security|Security Contacts]] in den SP-Metadaten. \\  
-Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]+Da an das edu-ID-System angebundene Service Provider nicht in den regulären Föderationsmetadaten der DFN-AAI registriert sind, werden die Security Contacts dieser SPs auf der Liste edu-id-security@listserv.dfn.de subskribiert. Auf diese Weise ist sichergestellt, dass die SP-Betreiber bei Sicherheitsvorfällen in der DFN-AAI oder in eduGAIN ebenfalls informiert werden.
  
-===== Attributfreigabe ===== 
  
-Folgende Attribute müssen sofern verfügbar für die SP-Komponente des edu-ID-System freigegeben werden:+<callout type="primary" title="Unterstützung OpenID Connect"> 
 +An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]].  
 +</callout>
  
-<file xml ./conf/attribute-filter.xml> +===== Freischaltung des SP am edu-ID-System ===== 
-     +Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben. 
-    <AttributeFilterPolicy id="eduid_proxy"> +
-        <PolicyRequirementRule xsi:type="EntityAttributeExactMatch" +
-                          attributeName="http://macedir.org/entity-category" +
-                          attributeValue="http://aai.dfn.de/category/dfn-edu-id" /> +
-        <AttributeRule attributeID="eduPersonAffiliation"          permitAny="true" /> +
-        <AttributeRule attributeID="samlPairwiseID"                permitAny="true" /> +
-        <AttributeRule attributeID="givenName"                     permitAny="true" /> +
-        <AttributeRule attributeID="sn"                            permitAny="true" /> +
-        <AttributeRule attributeID="displayName"                   permitAny="true" /> +
-        <AttributeRule attributeID="mail"                          permitAny="true" /> +
-        <AttributeRule attributeID="schacHomeOrganization"         permitAny="true" /> +
-        <AttributeRule attributeID="schacCountryOfResidence"       permitAny="true" /> +
-        <AttributeRule attributeID="schacPlaceOfBirth"             permitAny="true" /> +
-        <AttributeRule attributeID="schacDateOfBirth"              permitAny="true" /> +
-        <AttributeRule attributeID="eduPersonAssurance"            permitAny="true" /> +
-        <AttributeRule attributeID="homePostalAddress"             permitAny="true" /> +
-        <!-- optionale Attribute: --+
-        <AttributeRule attributeID="schacPersonalUniqueCode"       permitAny="true" /> +
-        <AttributeRule attributeID="eduPersonEntitlement"          permitAny="true" /> +
-        <AttributeRule attributeID="o"                             permitAny="true" /> +
-        <AttributeRule attributeID="eduPersonOrcid"                permitAny="true" /> +
-   </AttributeFilterPolicy> +
-</file>+
  
-==== Attribute Query ====+==== Attribute / claims ====
  
-Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggf. zu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.:+Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.
  
-<file xml ./conf/relying-party.xml>+<datatables paging="false" info="false">    
 +^ SAML attribute          ^ OIDC claim                 ^ comment                          ^ 
 +| pairwise-id             | sub (pairwise)                                              | 
 +| subject-id              | sub (public)               | optional                         | 
 +| o                       | org_name                                                    | 
 +| schacHomeOrganization   | org_domain                                                  | 
 +| eduPersonAffiliation    | eduperson_affiliation      |                                  | 
 +| eduPersonAssurance      | eduperson_assurance        |                                  | 
 +| mail                    | email                      |                                  | 
 +| givenName               | given_name                                                  | 
 +| sn                      | family_name                |                                  | 
 +| displayName             | name                       | optional                         | 
 +| schacCountryOfResidence | schac_country_of_residence | optional                         | 
 +| schacPersonalUniqueCode | schac_personal_unique_code | optional                         | 
 +| homePostalAddress       | home_postal_address        | optional                         | 
 +| l                       | locality                   | optional                         | 
 +| street                  | street_address             | optional                         | 
 +| postalCode              | postal_code                | optional                         | 
 +| eduPersonOrcid          | orcid                      | optional                         | 
 +| eduPersonEntitlement    | eduperson_entitlement      | optional                         | 
 +</datatables>
  
-  <util:list id="shibboleth.RelyingPartyOverrides">+==== Metadaten (SAML) ====
  
-     <bean parent="RelyingPartyByTag"> +Service-Provider müssen die DFN edu-ID-Metadaten importieren''https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml''. \\ 
-        <constructor-arg name="candidates"> +**NB:** Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten [[de:metadata|Metadatensätzen]].
-            <list> +
-                <bean parent="TagCandidate" c:name="http://macedir.org/entity-category" +
-                    p:values="http://aai.dfn.de/category/dfn-edu-id"/> +
-            </list> +
-        </constructor-arg> +
-        <property name="profileConfigurations"> +
-            <list> +
-             <bean parent="SAML2.SSO"  +
-                   p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" /> +
-              <ref bean="SAML2.Logout" /> +
-              <ref bean="SAML2.AttributeQuery" /> +
-            </list> +
-        </property> +
-     </bean>+
  
-  </util:list>+**Beispiel für einen Shibboleth SP:** 
  
 +<file xml /etc/shibboleth/shibboleth2.xml>
 +   <!-- ... -->
 +   <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml"
 +       backingFilePath="dfn-aai-eduid-metadata.xml">
 +       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/>
 +       <MetadataFilter type="EntityRole">
 +          <RetainedRole>md:IDPSSODescriptor</RetainedRole>
 +       </MetadataFilter>
 +   </MetadataProvider>
 +   <!-- ... -->
 </file>  </file> 
- 
-<callout type="danger" title="Wichtiger Hinweis"> 
-Voraussetzung für das Funktionieren von Attribute Queries ist die Befolgung der [[de:shibidp:config-storage|Richtlinien für das Einrichtung von Server-side Storage sowie der Generierung der persistent und der pairwise Id]]. Der Hashwert einer pairwise Id muss dem der jeweils zugehörigen, in einer Datenbank abgespeicherten persistent Id entsprechen!  
-</callout> 
- 
- 
-===== Freischaltung des IdP am edu-ID-System ===== 
-Für die Freischaltung des IdP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei dem IdP das Support-Attribut für die Entity Category http://aai.dfn.de/category/dfn-edu-id zugewiesen.  
  • Zuletzt geändert: vor 21 Monaten