OIDC und DFN-AAI: Besprechung am 29.3.2023

Thema: Was kann/soll seitens der DFN-AAI-Metadatenverwaltung (MDV) getan werden, um OIDC zu unterstützen, bevor die Spezifikation für OIDC Federation endgültig verabschiedet wird?

Shibboleth-Workaround: XML-Metadaten-Lösung, um RPs/Clients beim Shib-OP zu registrieren

  • die selben föderationsrelevanten MD-Felder: MDUI Info, Contacts, …
  • nicht alle im Original-JSON vorgesehenen Felder in XML übernommen, u.a. URL für Backchannel-Logout
  • in Föderationsmetadaten sollte kein shared Client Secret publiziert werden
  • welcher Client kann mit x509-Zertifikaten umgehen?
    • mindestens Apache Modul
  • asymmetrische Verschlüsselung über Metadaten (Zertifikate)
    • Clients, die das nicht können: shared Secret müsste außerhalb der MDV verwaltet und ausgetauscht werden
    • Wie könnte die MDV die Verteilung der shared Secrets ermöglichen/unterstützen?
  • Single Page Applications unterstützen nicht den Client Secret-Mechanismus, sondern arbeiten über PKCE
  • Gefühlt die Hälfte aller OIDC-Clients unterstützt ausschließlich PKCE
  • Idee: Shared Secrets mit public Keys der IdPs verschlüsseln?
    • Mehrere Keys in Metadaten sind möglich
    • Steffen redet mit Henri

Early Adopter - welche Anwendungen kommen überhaupt für eine Anbindung an die DFN-AAI in Frage?

  • Beispiele aus Helmholtz AAI oder GWDG?
  • Zuletzt geändert: vor 20 Monaten