OIDC und DFN-AAI: Besprechung am 29.3.2023

Thema: Was kann/soll seitens der DFN-AAI-Metadatenverwaltung getan werden, um OIDC zu unterstützen, bevor die Spezifikation für OIDC Federation endgültig verabschiedet wird?

* Shibboleth-Workaround: XML-Metadaten-Lösung, um RPs/Clients beim Shib-OP zu registrieren

• die selben föderationsrelevanten MD-Felder: mdui, Contacts
• nicht alle im Original-JSON vorgesehenen Felder in XML übernommen, u.a. URL für Backchannel-Logout
• in Föderationen sollte kein shared Client Secret publiziert werden
• welcher Client kann mit x509-Zertifikaten umgehen?
  • mindestens Apache Modul
• asymmetrische Verschlüsselung über Metadaten (Zertifikate)
  • Clients, die das nicht können: shared secret müsste außerhalb der MDV(?) verwaltet und ausgetauscht werden
  • kann die MDV die Verteilung der shared secrets ermöglichen/unterstützen?
• Single-Page Applications unterstützen kein Client Secret, sondern arbeiten über PKCE
• Gefühlt die Hälfte aller OIDC-Clients unterstützt ausschließlich PKCE
• Idee: Shared Secret mit public Key der IdPs verschlüsseln?
  • Mehrere Keys in Metadaten sind möglich.
  • Steffen redet mit Henri

Early Adopter? - Beispiel Helmholtz AAI? - Beispiel GWDG?