Um in einer eigenen Webanwendung Shibboleth-Authentifizierung zu nutzen, muss zusätzlich eine Shibboleth-Software installiert werden, die den sog. shibd (Shibboleth Daemon) enthält, außer die Anwendung unterstützt nativ Shibboleth/SAML-Authentifizierung. Siehe hierzu die Anleitung der DFN-AAI:

Shibboleth für Anwendungen der LMU, TUM und BAdW

Aufnahme in die AAI-Föderation

Damit die Identity Provider dem neuen Service Provider vertrauen, müssen dessen Metadaten

in die lokale AAI-Föderation der Heimateinrichtung
oder in die deutschlandweite DFN-AAI-Föderation aufgenommen werden.

Die Metadaten enthalten u.a. das Zertifikat des SPs, die URLs für die Service Endpoints als Schnittstellen zwischen IdP und SP, sowie Kontaktinformationen.

Für die Aufnahme Ihres SPs in eine Föderation geben Sie bitte an den LRZ Servicedesk (Service "Benutzerverwaltung und Authentisierung") folgende Informationen:

Organisatorisches
- Shibboleth EntityID wie im SP konfiguriert (z.B. "https://abstimmung.semesterticket-muenchen.de/shibboleth")
- Anzeigename des Webdiensts (z.B. "Abstimmung über das Semesterticket in München", "TUM Mathematischer Kalender", "LMUcast für iTunesU"), deutsch und englisch
- Kurzbeschreibung des Webdienstes (1-2 Zeilen), deutsch und englisch
- URL zur Informationsseite/Website der Einrichtung, Institution oder Firma, deutsch und englisch
- URL zur Datenschutzerklärung (Privacy Statement) für Ihren Webdienst, deutsch und englisch
- URL zu einem Logo des Webdienstes, 64 bis 240 Pixel breit und 48 bis 180 Pixel hoch, transparenter Hintergrund (wenn möglich)
- Helpdesk-URL- und Mailadresse (z.B. "TUM IT-Support", "LMU IT-Servicedesk")
- Name und Mailadresse je einer Kontaktperson(en) für
  1. die technische Administration des SPs,
  2. für den Support des Webdienstes und
  3. für Security-Fälle
- Angabe des Benutzerkreises:
  - Personen der eigenen Uni?
    - oder auch Benutzende anderer Einrichtungen?
  - Personen mit genauer geprüfter Identität (Beschäftigte mit Arbeitsvertrag, immatrikulierte Studierende)?
    - oder auch Bewerber:innen, Gäste, Kooperationspartner:innen etc. mit einem gültigen Account?
Technik
- URL, von dem die Shibboleth-Metadaten des SPs abgerufen werden können.
  Dieser URL hat typischerweise die Form
  "https://abstimmung.semesterticket-muenchen.de/Shibboleth.sso/Metadata"
  und ist durch die Installation der Shibboleth SP-Software auf Ihrem Webdienst verfügbar.
  -- ODER --
- Server-Zertifikat des Webdienstes und
  Service-Endpoints: Art und URL der vom SP unterstützten Shibboleth NameID- und Assertion-Consumer- und ggf. Single-Logout-Services, z.B.
  urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
  → "https://abstimmung.semesterticket-muenchen.de/Shibboleth.sso/SAML2/POST"
Datenschutz
- Mitteilung, dass der Webdienst auf einem TUM/LMU/BAdW-System betrieben wird und nur anonyme Daten zum Login und zur Zuordnung evtl. vorhandener Profile verwendet (die sog. eduPersonTargetedID).
  - ODER -
- Die Liste der Attribute (personenbezogene Daten), die der Webdienst vom IdP anfordert und die im TUM/LMU/BAdW-IdP für ihren Webdienst freigeben werden sollen,
  (personenbezogen sind u.a. Benutzerkennung/LRZ-Kennung, Name, Mail-Adresse, Einrichtungszugehörigkeit/Affiliation, Geschlecht);
  sowie die Mitteilung, dass für den Webdienst ein Eintrag im Verzeichnis der Verarbeitungstätigkeiten gemäß § 30 Datenschutz-Grundverordnung (DSGVO) Ihrer Organisationseinheit existiert und dieser Eintrag die Verarbeitung dieser Attribute abdeckt.
  Eine Liste der von den IdPs verfügbaren Attribute finden Sie hier:
  - von der DFN-AAI empfohlene Attribute: https://doku.tid.dfn.de/de:common_attributes (davon noch nicht verfügbar eduPersonOrcid und schacUserStatus)
  - Attribute für E-Learning: https://doku.tid.dfn.de/de:elearning_attributes

Serverzertifikat

Für die SAML-Kommunikation mit den IdPs der AAI-Föderation(en) braucht Ihr SP ein Zertifikat. Welche Zertifikate dazu geeignet sind, ist beschrieben auf

https://doku.tid.dfn.de/de:certificates

Sie können dazu das Zertifikat verwenden, das Sie für den Webserver selbst haben, oder auch ein extra Zertifikat für die SAML-Kommunikation.

→ NEU 2022: Es sind auch selbst signierte Zertifikate mit einer max. Gültigkeit von 39 Monaten zugelassen.

Lokale PKIs/Registration Authorities (RA), bei denen Sie ein Zertifikat bekommen können, sind

Idealerweise sollte das Zertifikat das Client-Auth-Flag beinhalten, also nicht als Webserver-, sondern als Shibboleth-IdP/SP-Zertifikat beantragt werden, siehe z.B. http://www.lrz.de/services/pki/wieman/

Nach Aufnahme Ihres SPs in die gewünschte Föderation (Nachricht vom Servicedesk) tragen Sie in shibboleth2.xml als MetadataProvider im Attribut "uri" ein:

für die TUM-lokale Föderation: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-8-metadata.xml
für die LMU-lokale Föderation: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-29-metadata.xml
für die DFN-AAI-Testföderation: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml

Zertifikatstausch

Bevor das Serverzertifikat für die SAML-Kommunikation abläuft, muss es in der SP-Konfiguration und zeitlich koordiniert auch in der AAI-Föderation ausgetauscht werden. Die AAI-Föderation ruft neue Zertifikate nicht automatisch von den Metadaten-URLs der SPs ab. Vielmehr müssen Sie vorab das neue Zertifikat an den LRZ Servicedesk (Service "Benutzerverwaltung und Authentisierung") schicken. Der Zertifikatswechsel kann dann unterbrechungsfrei erfolgen wie beschrieben auf

https://doku.tid.dfn.de/de:certificates#zertifikatstausch

Shibboleth für Anwendungen anderer Einrichtungen

Für die Shibboleth-Anbindung von Webdiensten, die an anderen Einrichtungen als an TUM, LMU oder BAdW betrieben werden, wenden Sie sich bitte an den jeweiligen Ansprechpartner gemäß der Liste

https://tools.aai.dfn.de/entities/

Sollte Ihre Einrichtung dort nicht aufgeführt sein, muss sie zunächst mit dem DFN-Verein einen Vertrag zur DFN-AAI schließen, ggf. auch einen ersten DFN-Rahmenvertrag.