eduGAIN / Interfederation

Um föderationsübergreifende Single-Sign-On Lösungen im Forschungs- und Bildungsbereich zu ermöglichen, wurde im Rahmen des GÉANT2 Projekts der Dienst eduGAIN („GÉANT Authorisation INfrastructure for the research and education community“) entwickelt. 2011 wurde der Dienst in den Produktivbetrieb überführt und steht seitdem neben den europäischen Föderationen auch außereuropäischen Teilnehmern offen.

Dokumentationen und Einführungen:

Technisch gesehen handelt es sich bei eduGAIN um einen Metadaten-Aggregator, d.h. die von den teilnehmenden Föderationen bereitgestellten Metadaten werden in einem zentral gepflegten Metadatensatz gesammelt, der dann die Grundlage für die Kommunikation der Entities untereinander bildet. Das Verfahren zur Teilnahme in eduGAIN ist zweistufig: Zunächst muss die jeweilige Föderation an eduGAIN teilnehmen. Den entsprechenden Vertrag hat der DFN als eines der ersten europäischen Forschungsnetze unterzeichnet. Provider, die in der teilnehmenden Föderation registriert sind, können sich im Fall der DFN-AAI nun entscheiden, zusätzlich in die von eduGAIN gepflegten und bereitgestellten Metadaten aufgenommen zu werden („Opt-In“).

Damit sichergestellt ist, dass eine reibungslose Kommunikation stattfindet, müssen die von den jeweiligen Föderationen an eduGAIN gelieferten Metadaten dem von eduGAIN vorgeschriebenen Metadatenprofil entsprechen.

Die von den Föderationen bereitgestellten Metadaten (Upstream Metadata) werden in regelmäßigen Intervallen vom eduGAIN Metadata Service (MDS) abgerufen, validiert, zum o.g. zentralen Metadatensatz zusammengeführt und signiert. Für die Nutzung seitens ihrer Teilnehmer stellt die DFN-AAI jeweils für IdPs und SPs einen signierten Metadatensatz zur Verfügung (Downstream Metadata), aus dem aus Konsistenzgründen jene Entities, die bereits in der DFN-AAI registriert sind, herausgefiltert werden. Diese Metadaten müssen deshalb zusätzlich zu den DFN-AAI- und ggf. lokalen Metadaten beim jeweiligen IdP oder SP referenziert werden. Siehe hierzu auch die unter Produktivbetrieb aufgeführten Konfigurationsbeispiele.

Für eine Übersicht über die via eduGAIN verfügbaren Service- und Identity-Provider siehe das entsprechende Verzeichnis sowie die eduGAIN Entities Database.

Die Policies, die für die Teilnahme in eduGAIN verpflichtend sind, bilden notwendigerweise den kleinsten gemeinsamen Nenner der Policies der beteiligten Föderationen, sind also vergleichsweise lax. Insofern empfiehlt es sich, sich vor einem Opt-In mit den aktuellen diesbezüglichen Dokumenten zu befassen.

Zum Thema Datenschutz siehe Data Protection Code of Conduct, zur Implementierung in der DFN-AAI sei auf Entity Categories verwiesen.

Sind die o.g. Voraussetzungen erfüllt und ist die betreffende Entity bereits in der DFN-AAI Produktivföderation registriert, sind zur Teilnahme in eduGAIN noch folgende Schritte erforderlich:

  1. Metadatenverwaltung: IdP/SP auswählen, auf das Werkzeugzeichen klicken und in der Metadaten-Ansicht im Abschnitt „Föderationen“ die entsprechende Checkbox aktivieren. (Der IdP/SP muss bereits an der DFN-AAI teilnehmen, sonst ist der eduGAIN-Knopf noch ausgegraut.)

  1. MetadataProvider konfigurieren: Siehe hierzu die Beispiele unter Produktivbetrieb.

Siehe auch unter Metadaten.

  • Zuletzt geändert: vor 4 Wochen