Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:aai:oidc_230329 [2023/04/13 12:38] – angelegt Wolfgang Pempede:aai:oidc_230329 [2023/04/13 12:47] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== OIDC und DFN-AAI: Besprechung am 29.3.2023 ====== ====== OIDC und DFN-AAI: Besprechung am 29.3.2023 ======
  
-**Thema:** Was kann/soll seitens der DFN-AAI-Metadatenverwaltung getan werden, um OIDC zu unterstützen, bevor die Spezifikation für [[https://openid.net/specs/openid-connect-federation-1_0.html|OIDC Federation]] endgültig verabschiedet wird?+**Thema:** Was kann/soll seitens der DFN-AAI-Metadatenverwaltung (MDV) getan werden, um OIDC zu unterstützen, bevor die Spezifikation für [[https://openid.net/specs/openid-connect-federation-1_0.html|OIDC Federation]] endgültig verabschiedet wird?
  
-[[https://shibboleth.atlassian.net/wiki/spaces/SC/pages/1912406916/OAuthRPMetadataProfile|Shibboleth-Workaround]]: XML-Metadaten-Lösung, um RPs/Clients beim Shib-OP zu registrieren +[[https://shibboleth.atlassian.net/wiki/spaces/SC/pages/1912406916/OAuthRPMetadataProfile|Shibboleth-Workaround]]: XML-Metadaten-Lösung, um RPs/Clients beim Shib-OP zu registrieren 
-  * die selben föderationsrelevanten MD-Felder: mdui, Contacts+  * die selben föderationsrelevanten MD-Felder: MDUI Info, Contacts, ...
   * nicht alle im Original-JSON vorgesehenen Felder in XML übernommen, u.a. URL für Backchannel-Logout   * nicht alle im Original-JSON vorgesehenen Felder in XML übernommen, u.a. URL für Backchannel-Logout
-  * in Föderationen sollte kein shared Client Secret publiziert werden +  * in Föderationsmetadaten sollte kein shared Client Secret publiziert werden 
   * welcher Client kann mit x509-Zertifikaten umgehen?    * welcher Client kann mit x509-Zertifikaten umgehen? 
     * mindestens Apache Modul     * mindestens Apache Modul
   * asymmetrische Verschlüsselung über Metadaten (Zertifikate)   * asymmetrische Verschlüsselung über Metadaten (Zertifikate)
-    * Clients, die das nicht können: shared secret müsste außerhalb der MDV(?) verwaltet und ausgetauscht werden +    * Clients, die das nicht können: shared Secret müsste außerhalb der MDV verwaltet und ausgetauscht werden 
-    * kann die MDV die Verteilung der shared secrets ermöglichen/unterstützen? +    * Wie könnte die MDV die Verteilung der shared Secrets ermöglichen/unterstützen? 
-  * Single-Page Applications unterstützen kein Client Secret, sondern arbeiten über PKCE+  * Single Page Applications unterstützen nicht den Client Secret-Mechanismus, sondern arbeiten über PKCE
   * Gefühlt die Hälfte aller OIDC-Clients unterstützt ausschließlich PKCE      * Gefühlt die Hälfte aller OIDC-Clients unterstützt ausschließlich PKCE   
-  * Idee: Shared Secret mit public Key der IdPs verschlüsseln?  +  * Idee: Shared Secrets mit public Keys der IdPs verschlüsseln?  
-    * Mehrere Keys in Metadaten sind möglich +    * Mehrere Keys in Metadaten sind möglich  
     * Steffen redet mit Henri     * Steffen redet mit Henri
  
-Early Adopter? +Early Adopter - welche Anwendungen kommen überhaupt für eine Anbindung an die DFN-AAI in Frage
-- Beispiel Helmholtz AAI+  * Beispiele aus Helmholtz AAI oder GWDG?
-- Beispiel GWDG?+
  
  • Zuletzt geändert: vor 2 Jahren