Seite anzeigenÄltere VersionenLinks hierherNach oben Diese Seite ist nicht editierbar. Sie können den Quelltext sehen, jedoch nicht verändern. Kontaktieren Sie den Administrator, wenn Sie glauben, dass hier ein Fehler vorliegt. ====== Anbindung Service-Provider an das DFN edu-ID System ====== Formale Voraussetzung ist die [[de:join|Teilnahme an der DFN-AAI]]. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter. Weiterhin muss der betreffende Service-Provider das [[https://refeds.org/sirtfi|Security Incident Response Trust Framework for Federated Identity (Sirtfi)]] unterstützen. Siehe hierzu auch unter [[de:aai:incidentresponse|Incident Response]]. <callout type="primary" title="Unterstützung OpenID Connect"> An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. </callout> ===== Freischaltung des SP am edu-ID-System ===== Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter [[support@edu-id.dfn.de|support@edu-id.dfn.de]]. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadaten verschoben. ==== Attribute / claims ==== Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet. <datatables paging="false" info="false"> ^ SAML attribute ^ OIDC claim ^ comment ^ | pairwise-id | sub (pairwise) | | | subject-id | sub (public) | optional | | o | org_name | | | schacHomeOrganization | org_domain | | | eduPersonAffiliation | eduperson_affiliation | | | eduPersonAssurance | eduperson_assurance | | | mail | email | | | givenName | given_name | | | sn | family_name | | | displayName | name | | | schacCountryOfResidence | schac_country_of_residence | | | schacPersonalUniqueCode | schac_personal_unique_code | optional | | homePostalAddress | home_postal_address | optional | | l | locality | optional | | street | street_address | optional | | postalCode | postal_code | optional | | eduPersonOrcid | orcid | optional | | eduPersonEntitlement | eduperson_entitlement | optional | </datatables> ==== Metadaten (SAML) ==== Service-Provider müssen die DFN edu-ID-Metadaten importieren: ''https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml''. \\ **NB:** Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten [[de:metadata|Metadatensätzen]]. **Beispiel für einen Shibboleth SP:** <file xml /etc/shibboleth/shibboleth2.xml> <!-- ... --> <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml" backingFilePath="dfn-aai-eduid-metadata.xml"> <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/> <MetadataFilter type="EntityRole"> <RetainedRole>md:IDPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> <!-- ... --> </file> Zuletzt geändert: vor 5 Wochen Anmelden