Dies ist eine alte Version des Dokuments!
Anbindung Service-Provider an das DFN edu-ID System
Formale Voraussetzung ist die Teilnahme an der DFN-AAI. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.
Unterstützung OpenID Connect
An das DFN edu-ID-System können auch OIDC-fähige Relying Party Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de.Freischaltung des SP am edu-ID-System
Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de.
Attributfreigabe
Folgende Attribute müssen - sofern verfügbar - für die SP-Komponente des edu-ID-System freigegeben werden:
- ./conf/attribute-filter.xml
<AttributeFilterPolicy id="eduid_proxy"> <PolicyRequirementRule xsi:type="EntityAttributeExactMatch" attributeName="http://macedir.org/entity-category" attributeValue="http://aai.dfn.de/category/dfn-edu-id" /> <AttributeRule attributeID="eduPersonAffiliation" permitAny="true" /> <AttributeRule attributeID="samlPairwiseID" permitAny="true" /> <AttributeRule attributeID="givenName" permitAny="true" /> <AttributeRule attributeID="sn" permitAny="true" /> <AttributeRule attributeID="displayName" permitAny="true" /> <AttributeRule attributeID="mail" permitAny="true" /> <AttributeRule attributeID="schacHomeOrganization" permitAny="true" /> <AttributeRule attributeID="schacCountryOfResidence" permitAny="true" /> <AttributeRule attributeID="schacPlaceOfBirth" permitAny="true" /> <AttributeRule attributeID="schacDateOfBirth" permitAny="true" /> <AttributeRule attributeID="eduPersonAssurance" permitAny="true" /> <AttributeRule attributeID="homePostalAddress" permitAny="true" /> <!-- optionale Attribute: --> <AttributeRule attributeID="schacPersonalUniqueCode" permitAny="true" /> <AttributeRule attributeID="eduPersonEntitlement" permitAny="true" /> <AttributeRule attributeID="o" permitAny="true" /> <AttributeRule attributeID="eduPersonOrcid" permitAny="true" /> </AttributeFilterPolicy>
Attribute Query
Um es an das edu-ID-System angeschlossenen Diensten zu ermöglichen, Nutzendendaten zu aktualisieren und Nutzende ggf. zu deprovisionieren, muss das Attribute Query Profile für die SP-Komponente des edu-ID-Systems freigeschaltet werden, z.B.:
- ./conf/relying-party.xml
<util:list id="shibboleth.RelyingPartyOverrides"> <bean parent="RelyingPartyByTag"> <constructor-arg name="candidates"> <list> <bean parent="TagCandidate" c:name="http://macedir.org/entity-category" p:values="http://aai.dfn.de/category/dfn-edu-id"/> </list> </constructor-arg> <property name="profileConfigurations"> <list> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> </list> </property> </bean> </util:list>
Wichtiger Hinweis
Voraussetzung für das Funktionieren von Attribute Queries ist die Befolgung der Richtlinien für das Einrichtung von Server-side Storage sowie der Generierung der persistent und der pairwise Id. Der Hashwert einer pairwise Id muss dem der jeweils zugehörigen, in einer Datenbank abgespeicherten persistent Id entsprechen!Freischaltung des IdP am edu-ID-System
Für die Freischaltung des IdP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de. Unter anderem wird hierbei dem IdP das Support-Attribut für die Entity Category http://aai.dfn.de/category/dfn-edu-id zugewiesen.