Dies ist eine alte Version des Dokuments!

Anbindung Service-Provider an das DFN edu-ID System

Formale Voraussetzung ist die Teilnahme an der DFN-AAI. Ergänzend zum Service-Provider-Agreement wird ein Auftragsverarbeitungsvertrag (AVV) mit dem DFN-Verein geschlossen. Der DFN-Verein agiert in diesem Kontext als Auftragsverarbeiter (data processor) für den betreffenden Dienstanbieter.

Unterstützung OpenID Connect

An das DFN edu-ID-System können auch OIDC-fähige Relying Party (RP) Implementierungen angeschlossen werden. Für die Details der technischen Anbindung kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de.

Freischaltung des SP am edu-ID-System

Für die Freischaltung des SP kontaktieren Sie bitte das edu-ID-Support Team unter support@edu-id.dfn.de. Unter anderem wird hierbei der Service-Provider aus den DFN-AAI-Metadaten in die DFN edu-ID-Metadateb verschoben.

Attribute / claims

Folgende Attribute bzw. claims sind grundsätzlich verfügbar und werden bei Bedarf am edu-ID-System für die betreffende SP-/RP-Instanz freigeschaltet.

FIXME

Metadaten (SAML)

Service-Provider müssen die DFN edu-ID-Metadaten importieren: https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml.
NB: Das Zertifikat zur Signaturvalidierung ist das selbe wie bei den anderen von der DFN-AAI publizierten Metadatensätzen.

Beispiel für einen Shibboleth SP:

/etc/shibboleth/shibboleth2.xml
   <!-- ... -->
   <MetadataProvider type="XML" url="https://www.aai.dfn.de/metadata/dfn-aai-eduid-metadata.xml"
       backingFilePath="dfn-aai-eduid-metadata.xml" minRefreshDelay="240" reloadInterval="300">
       <MetadataFilter type="Signature" certificate="/etc/ssl/aai/dfn-aai.pem" verifyBackup="false"/>
       <MetadataFilter type="EntityRole">
          <RetainedRole>md:IDPSSODescriptor</RetainedRole>
       </MetadataFilter>
   </MetadataProvider>
   <!-- ... -->
  • Zuletzt geändert: vor 5 Wochen