Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:requirements [2021/03/01 14:43] – [Service Provider] Silke Meyer | de:requirements [2022/05/24 17:11] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
===== Voraussetzungen | ===== Voraussetzungen | ||
==== Allgemeine Voraussetzungen ==== | ==== Allgemeine Voraussetzungen ==== | ||
- | **Die folgenden Voraussetzungen gelten gleichermaßen für Identity Provider (IdP) und Service Provider (SP)** | + | <callout color="# |
+ | Die folgenden | ||
+ | </ | ||
===Formale Kriterien=== | ===Formale Kriterien=== | ||
* Zur Teilnahme an der DFN-AAI ist eine vertragliche Vereinbarung mit dem DFN-Verein erforderlich. Zur Anforderung der Vertragsunterlagen siehe unter [[de: | * Zur Teilnahme an der DFN-AAI ist eine vertragliche Vereinbarung mit dem DFN-Verein erforderlich. Zur Anforderung der Vertragsunterlagen siehe unter [[de: | ||
- | * Heimateinrichtungen / IdP-Betreiber: | + | * Heimateinrichtungen / IdP-Betreiber: |
* Dienstanbieter / SP-Betreiber: | * Dienstanbieter / SP-Betreiber: | ||
* Die aktuell gültigen [[de: | * Die aktuell gültigen [[de: | ||
Zeile 14: | Zeile 16: | ||
* Unterstützung des [[https:// | * Unterstützung des [[https:// | ||
* Die [[de: | * Die [[de: | ||
- | * müssen **mindestens** einmal täglich heruntergeladen werden | + | * müssen **mindestens** einmal täglich heruntergeladen werden. |
- | * die Signatur der Metadaten muss anhand des jeweils gültigen, von der DFN-AAI bereitgestellten Zertifikats validiert werden | + | * Die Signatur der Metadaten muss anhand des jeweils gültigen, von der DFN-AAI bereitgestellten Zertifikats validiert werden. |
* Betriebssicherheit | * Betriebssicherheit | ||
- | * Die eingesetzte Software muss aktuell gehalten und Security Updates/ | + | * Die eingesetzte Software muss aktuell gehalten und Security Updates/ |
- | * Bei der [[de: | + | * Bei der [[de: |
* Zertifikate für die SAML-basierte Kommunikation | * Zertifikate für die SAML-basierte Kommunikation | ||
* Die eingesetzte SAML-Software muss beim Wechsel des Schlüsselmaterials einen unterbrechungsfreien Key Rollover ermöglichen. Informationen und weiterführende Hinweise finden sich unter [[de: | * Die eingesetzte SAML-Software muss beim Wechsel des Schlüsselmaterials einen unterbrechungsfreien Key Rollover ermöglichen. Informationen und weiterführende Hinweise finden sich unter [[de: | ||
+ | * https für Binding URLs | ||
+ | * Sämtliche in den Föderationsmetadaten hinterlegten Endpunkte müssen über TLS abgesichert sein | ||
* Sonstiges | * Sonstiges | ||
* Orientieren Sie sich bitte an den weiteren, unter [[de: | * Orientieren Sie sich bitte an den weiteren, unter [[de: | ||
Zeile 34: | Zeile 38: | ||
* Nutzer*innen haben mit Web-SSO nur noch //eine// Nutzerkennung und //ein// Passwort - nicht eins pro Dienst. | * Nutzer*innen haben mit Web-SSO nur noch //eine// Nutzerkennung und //ein// Passwort - nicht eins pro Dienst. | ||
* Sie sind nach //einem// Login am IdP mit ihrem Browser für einen bestimmten Zeitraum an //allen// angebundenen Diensten angemeldet. | * Sie sind nach //einem// Login am IdP mit ihrem Browser für einen bestimmten Zeitraum an //allen// angebundenen Diensten angemeldet. | ||
- | * Die zentrale Loginseite kann nach aktuellen Standards abgesichert werden. | + | * Die zentrale Loginseite kann von IdP-Betreiber*innen |
- | * Passwörter werden nie an Service Provider übermittelt. | + | * Passwörter werden nie an Service Provider übermittelt, sie bleiben in der Heimateinrichtung. |
* Die Autorisierung erfolgt aufgrund von standardisierten, | * Die Autorisierung erfolgt aufgrund von standardisierten, | ||
+ | * Nutzer*innen werden vor jeder neuen Freigabe von Attributen an einen Dienst explizit um Zustimmung gebeten. Der Identity Provider kann diese Information speichern. | ||
</ | </ | ||
- | * Ein Service Provider muss eine Möglichkeit zur **[[de: | + | * Ein Service Provider, der mit mehr als einer Heimateinrichtung zusammenarbeitet, |
* Ein Service Provider muss in der Lage sein, **[[de: | * Ein Service Provider muss in der Lage sein, **[[de: | ||
* Die für die Nutzung des Dienstes erforderlichen Attribute müssen **in den Föderationsmetadaten deklariert** werden | * Die für die Nutzung des Dienstes erforderlichen Attribute müssen **in den Föderationsmetadaten deklariert** werden | ||
Zeile 47: | Zeile 52: | ||
* Provisionierung und Deprovisionierung | * Provisionierung und Deprovisionierung | ||
* SP-seitige, d.h. dienstlokale **Nutzerkonten und -Profile** müssen anhand von Attributen erstellt werden, die von den Identity Providern der teilnehmenden Einrichtungen übertragen werden. Provisionierung von Nutzerdaten über andere Kanäle (z.B. CSV-Dateien, | * SP-seitige, d.h. dienstlokale **Nutzerkonten und -Profile** müssen anhand von Attributen erstellt werden, die von den Identity Providern der teilnehmenden Einrichtungen übertragen werden. Provisionierung von Nutzerdaten über andere Kanäle (z.B. CSV-Dateien, | ||
- | * Für die **Deprovisionierung/ | + | * Für die **Deprovisionierung/ |
- | ===== Best Practice | + | **Warum sprechen die IdP-Betreiber*innen von [[de: |
+ | * Sie haben eine Ressource, die nur von //einer// Hochschule oder Forschungseinrichtung genutzt werden soll, mit einer SP-Software geschützt. Dieser SP wird nicht in die große Föderation aufgenommen, | ||
+ | * Es ist zwar technisch möglich, dem IdP die SP-Metadaten als einzelne xml-Datei zu geben und umgekehrt. | ||
+ | * Es ist jedoch für beide Seiten komfortabler, | ||
+ | * Der lokale Metadatensatz lässt sich über die Metadatenverwaltung der DFN-AAI pflegen ([[de: | ||
+ | * Der lokale Metadatensatz wird dann auf dem IdP und den SPs regelmäßig eingelesen. | ||
+ | * Wer Zugriff auf die Metadatenverwaltung hat, kann dort die Metadaten aktualisieren. Steht beim Identity Provider ein Zertifikatswechsel an, dann reicht es, das neue Zertifikat in der Metadatenverwaltung beim IdP einzustellen, | ||
+ | * Die Zertifikate in lokalen Metadatensätzen werden von uns auf das Ablaufdatum hin überwacht. Die technischen Ansprechpersonen und Metadatenadmins bekommen rechtzeitig eine Erinnerung an das Zertifikatsrollover. Diesen Service können wir natürlich nicht bieten, wenn Sie direkt mit der Gegenstelle xml-Dateien austauschen. | ||
+ | ===== Best Practice ===== | ||
* Single Logout | * Single Logout | ||
* Sowohl IdP als auch SP sollten das [[http:// | * Sowohl IdP als auch SP sollten das [[http:// | ||
* Die Session einer von einem SP geschützten Anwendung sollte nach Möglichkeit an die SP-Session gekoppelt werden. Siehe hierzu unter [[de: | * Die Session einer von einem SP geschützten Anwendung sollte nach Möglichkeit an die SP-Session gekoppelt werden. Siehe hierzu unter [[de: | ||
* Im Sinne einer maximalen, auch internationalen Interoperabilität ([[de: | * Im Sinne einer maximalen, auch internationalen Interoperabilität ([[de: |