Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:aai:eduid:spconfig [2024/05/21 16:51] Wolfgang Pempede:aai:eduid:spconfig [2025/12/09 15:14] (aktuell) – [Attribute / claims] Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Anbindung Service-Provider an das DFN edu-ID System ====== ====== Anbindung Service-Provider an das DFN edu-ID System ======
  
-Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]]. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter für den betreffenden Dienstanbieter.+Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]]. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter. 
 + 
 +Weiterhin muss der betreffende Service-Provider ab spätestens 1.1.2028 das [[https://refeds.org/sirtfi|Security Incident Response Trust Framework for Federated Identity (Sirtfi)]] unterstützen. Siehe hierzu auch unter [[de:aai:incidentresponse|Incident Response]]. Bereits jetzt verpflichtend ist die Angabe eines [[https://refeds.org/metadata/contactType/security|Security Contacts]] in den SP-Metadaten. \\  
 +Da an das edu-ID-System angebundene Service Provider nicht in den regulären Föderationsmetadaten der DFN-AAI registriert sind, werden die Security Contacts dieser SPs auf der Liste edu-id-security@listserv.dfn.de subskribiert. Auf diese Weise ist sichergestellt, dass die SP-Betreiber bei Sicherheitsvorfällen in der DFN-AAI oder in eduGAIN ebenfalls informiert werden. 
  
 <callout type="primary" title="Unterstützung OpenID Connect"> <callout type="primary" title="Unterstützung OpenID Connect">
-An das DFN edu-ID-System können auch OIDC-fähige Relying Party Implementierungen angeschlossen werden. Für Details kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. +An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. 
 </callout> </callout>
  
 ===== Freischaltung des SP am edu-ID-System ===== ===== Freischaltung des SP am edu-ID-System =====
-Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. +Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben
  
-===== Attributfreigabe =====+==== Attribute / claims ====
  
-Folgende Attribute müssen - sofern verfügbar - für die SP-Komponente des edu-ID-System freigegeben werden:+Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.
  
-<file xml ./conf/attribute-filter.xml> +<datatables paging="falseinfo="false">    
-     +^ SAML attribute          ^ OIDC claim                 ^ comment                          
-    <AttributeFilterPolicy id="eduid_proxy"+| pairwise-id             | sub (pairwise)                                              | 
-        <PolicyRequirementRule xsi:type="EntityAttributeExactMatch+| subject-id              | sub (public)               | optional                         | 
-                          attributeName="http://macedir.org/entity-category" +| o                       | org_name                                                    | 
-                          attributeValue="http://aai.dfn.de/category/dfn-edu-id" /> +| schacHomeOrganization   | org_domain                                                  | 
-        <AttributeRule attributeID="eduPersonAffiliation         permitAny="true" /> +eduPersonAffiliation    | eduperson_affiliation      |                                  | 
-        <AttributeRule attributeID="samlPairwiseID"                permitAny="true" /> +| eduPersonAssurance      | eduperson_assurance        |                                  | 
-        <AttributeRule attributeID="givenName                    permitAny="true" /> +| mail                    | email                      |                                  | 
-        <AttributeRule attributeID="sn                           permitAny="true" /> +givenName               | given_name                                                  | 
-        <AttributeRule attributeID="displayName                  permitAny="true" /> +sn                      | family_name                |                                  | 
-        <AttributeRule attributeID="mail"                          permitAny="true" /> +displayName             | name                       | optional                         | 
-        <AttributeRule attributeID="schacHomeOrganization"         permitAny="true" /> +| schacCountryOfResidence | schac_country_of_residence | optional                         | 
-        <AttributeRule attributeID="schacCountryOfResidence"       permitAny="true" /> +| schacPersonalUniqueCode | schac_personal_unique_code | optional                         | 
-        <AttributeRule attributeID="schacPlaceOfBirth"             permitAny="true" /> +| homePostalAddress       | home_postal_address        | optional                         | 
-        <AttributeRule attributeID="schacDateOfBirth"              permitAny="true" /> +| l                       | locality                   | optional                         | 
-        <AttributeRule attributeID="eduPersonAssurance"            permitAny="true" /> +| street                  | street_address             | optional                         | 
-        <AttributeRule attributeID="homePostalAddress"             permitAny="true" /> +| postalCode              | postal_code                | optional                         | 
-        <!-- optionale Attribute: --> +| eduPersonOrcid          | orcid                      | optional                         | 
-        <AttributeRule attributeID="schacPersonalUniqueCode"       permitAny="true" /> +eduPersonEntitlement    | eduperson_entitlement      | optional                         | 
-        <AttributeRule attributeID="eduPersonEntitlement         permitAny="true" /> +</datatables>
-        <AttributeRule attributeID="o"                             permitAny="true" /> +
-        <AttributeRule attributeID="eduPersonOrcid"                permitAny="true" /> +
-   </AttributeFilterPolicy> +
-</file>+
  
-==== Attribute Query ====+==== Metadaten (SAML) ====
  
-Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggfzu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.:+Service-Provider müssen die DFN edu-ID-Metadaten importieren: ''https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml''\\ 
 +**NB:** Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten [[de:metadata|Metadatensätzen]].
  
-<file xml ./conf/relying-party.xml> +**Beispiel für einen Shibboleth SP:** 
- +
-  <util:list id="shibboleth.RelyingPartyOverrides"> +
- +
-     <bean parent="RelyingPartyByTag"> +
-        <constructor-arg name="candidates"> +
-            <list> +
-                <bean parent="TagCandidate" c:name="http://macedir.org/entity-category" +
-                    p:values="http://aai.dfn.de/category/dfn-edu-id"/> +
-            </list> +
-        </constructor-arg> +
-        <property name="profileConfigurations"> +
-            <list> +
-             <bean parent="SAML2.SSO"  +
-                   p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" /> +
-              <ref bean="SAML2.Logout" /> +
-              <ref bean="SAML2.AttributeQuery" /> +
-            </list> +
-        </property> +
-     </bean> +
- +
-  </util:list>+
  
 +<file xml /etc/shibboleth/shibboleth2.xml>
 +   <!-- ... -->
 +   <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml"
 +       backingFilePath="dfn-aai-eduid-metadata.xml">
 +       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/>
 +       <MetadataFilter type="EntityRole">
 +          <RetainedRole>md:IDPSSODescriptor</RetainedRole>
 +       </MetadataFilter>
 +   </MetadataProvider>
 +   <!-- ... -->
 </file>  </file> 
- 
-<callout type="danger" title="Wichtiger Hinweis"> 
-Voraussetzung für das Funktionieren von Attribute Queries ist die Befolgung der [[de:shibidp:config-storage|Richtlinien für das Einrichtung von Server-side Storage sowie der Generierung der persistent und der pairwise Id]]. Der Hashwert einer pairwise Id muss dem der jeweils zugehörigen, in einer Datenbank abgespeicherten persistent Id entsprechen!  
-</callout> 
- 
- 
-===== Freischaltung des IdP am edu-ID-System ===== 
-Für die Freischaltung des IdP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei dem IdP das Support-Attribut für die Entity Category http://aai.dfn.de/category/dfn-edu-id zugewiesen.  
  • Zuletzt geändert: vor 21 Monaten