Shibboleth für eigene Webanwendungen
Um in einer eigenen Webanwendung Shibboleth-Authentifizierung zu nutzen, muss zusätzlich eine Shibboleth-Software installiert werden, die den sog. shibd (Shibboleth Daemon) enthält, außer die Anwendung unterstützt nativ Shibboleth/SAML-Authentifizierung. Siehe hierzu die Anleitung der DFN-AAI:
https://wiki.aai.dfn.de/de:shibsp
Shibboleth für Anwendungen der LMU, TUM und BAdW
Aufnahme in die AAI-Föderation
Damit die Identity Provider dem neuen Service Provider vertrauen, müssen dessen Metadaten
- in die lokale AAI-Föderation der Heimateinrichtung
- oder in die deutschlandweite DFN-AAI-Föderation aufgenommen werden.
Die Metadaten enthalten u.a. das Zertifikat des SPs, die URLs für die Service Endpoints als Schnittstellen zwischen IdP und SP, sowie Kontaktinformationen.
Für die Aufnahme Ihres SPs in eine Föderation geben Sie bitte an den LRZ Servicedesk (Service "Benutzerverwaltung und Authentisierung") folgende Informationen:
- Organisatorisches
- Shibboleth EntityID wie im SP konfiguriert (z.B. "https://abstimmung.semesterticket-muenchen.de/shibboleth")
- Anzeigename des Webdiensts (z.B. "Abstimmung über das Semesterticket in München", "TUM Mathematischer Kalender", "LMUcast für iTunesU"), deutsch und englisch
- Kurzbeschreibung des Webdienstes (1-2 Zeilen), deutsch und englisch
- URL zur Informationsseite/Website der Einrichtung, Institution oder Firma, deutsch und englisch
- URL zur Datenschutzerklärung (Privacy Statement) für Ihren Webdienst, deutsch und englisch
- URL zu einem Logo des Webdienstes, 64 bis 240 Pixel breit und 48 bis 180 Pixel hoch, transparenter Hintergrund (wenn möglich)
- Helpdesk-URL- und Mailadresse (z.B. "TUM IT-Support", "LMU IT-Servicedesk")
- Name und Mailadresse je einer Kontaktperson(en) für
1. die technische Administration des SPs,
2. für den Support des Webdienstes und
3. für Security-Fälle - Angabe des Benutzerkreises:
- Personen der eigenen Uni?
- oder auch Benutzende anderer Einrichtungen? - Personen mit genauer geprüfter Identität (Beschäftigte mit Arbeitsvertrag, immatrikulierte Studierende)?
- oder auch Bewerber:innen, Gäste, Kooperationspartner:innen etc. mit einem gültigen Account?
- Personen der eigenen Uni?
- Technik
- URL, von dem die Shibboleth-Metadaten des SPs abgerufen werden können.
Dieser URL hat typischerweise die Form
"https://abstimmung.semesterticket-muenchen.de/Shibboleth.sso/Metadata"
und ist durch die Installation der Shibboleth SP-Software auf Ihrem Webdienst verfügbar.
-- ODER -- - Server-Zertifikat des Webdienstes und
Service-Endpoints: Art und URL der vom SP unterstützten Shibboleth NameID- und Assertion-Consumer- und ggf. Single-Logout-Services, z.B.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
→ "https://abstimmung.semesterticket-muenchen.de/Shibboleth.sso/SAML2/POST"
- URL, von dem die Shibboleth-Metadaten des SPs abgerufen werden können.
- Datenschutz
- Mitteilung, dass der Webdienst auf einem TUM/LMU/BAdW-System betrieben wird und nur anonyme Daten zum Login und zur Zuordnung evtl. vorhandener Profile verwendet (die sog. eduPersonTargetedID).
- ODER - - Die Liste der Attribute (personenbezogene Daten), die der Webdienst vom IdP anfordert und die im TUM/LMU/BAdW-IdP für ihren Webdienst freigeben werden sollen,
(personenbezogen sind u.a. Benutzerkennung/LRZ-Kennung, Name, Mail-Adresse, Einrichtungszugehörigkeit/Affiliation, Geschlecht);
sowie die Mitteilung, dass für den Webdienst ein Eintrag im Verzeichnis der Verarbeitungstätigkeiten gemäß § 30 Datenschutz-Grundverordnung (DSGVO) Ihrer Organisationseinheit existiert und dieser Eintrag die Verarbeitung dieser Attribute abdeckt.
Eine Liste der von den IdPs verfügbaren Attribute finden Sie hier:- von der DFN-AAI empfohlene Attribute: https://doku.tid.dfn.de/de:common_attributes (davon noch nicht verfügbar eduPersonOrcid und schacUserStatus)
- Attribute für E-Learning: https://doku.tid.dfn.de/de:elearning_attributes
- Mitteilung, dass der Webdienst auf einem TUM/LMU/BAdW-System betrieben wird und nur anonyme Daten zum Login und zur Zuordnung evtl. vorhandener Profile verwendet (die sog. eduPersonTargetedID).
Serverzertifikat
Für die SAML-Kommunikation mit den IdPs der AAI-Föderation(en) braucht Ihr SP ein Zertifikat. Welche Zertifikate dazu geeignet sind, ist beschrieben auf
https://doku.tid.dfn.de/de:certificates
Sie können dazu das Zertifikat verwenden, das Sie für den Webserver selbst haben, oder auch ein extra Zertifikat für die SAML-Kommunikation.
→ NEU 2022: Es sind auch selbst signierte Zertifikate mit einer max. Gültigkeit von 39 Monaten zugelassen.
Lokale PKIs/Registration Authorities (RA), bei denen Sie ein Zertifikat bekommen können, sind
- für die TUM: http://www.it.tum.de/faq/it-dienste/zertifikate/
https://pki.pca.dfn.de/tum-ca-g2/pub - für die LMU: https://pki.pca.dfn.de/uni-muenchen-ca/cgi-bin/pub/pki?cmd=pkcs10_req;id=1;menu_item=2;RA_ID=100
Idealerweise sollte das Zertifikat das Client-Auth-Flag beinhalten, also nicht als Webserver-, sondern als Shibboleth-IdP/SP-Zertifikat beantragt werden, siehe z.B. http://www.lrz.de/services/pki/wieman/
Nach Aufnahme Ihres SPs in die gewünschte Föderation (Nachricht vom Servicedesk) tragen Sie in shibboleth2.xml als MetadataProvider im Attribut "uri" ein:
- für die TUM-lokale Föderation: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-8-metadata.xml
- für die LMU-lokale Föderation: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-29-metadata.xml
- für die DFN-AAI-Testföderation: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml
Zertifikatstausch
Bevor das Serverzertifikat für die SAML-Kommunikation abläuft, muss es in der SP-Konfiguration und zeitlich koordiniert auch in der AAI-Föderation ausgetauscht werden. Die AAI-Föderation ruft neue Zertifikate nicht automatisch von den Metadaten-URLs der SPs ab. Vielmehr müssen Sie vorab das neue Zertifikat an den LRZ Servicedesk (Service "Benutzerverwaltung und Authentisierung") schicken. Der Zertifikatswechsel kann dann unterbrechungsfrei erfolgen wie beschrieben auf
https://doku.tid.dfn.de/de:certificates#zertifikatstausch
Shibboleth für Anwendungen anderer Einrichtungen
Für die Shibboleth-Anbindung von Webdiensten, die an anderen Einrichtungen als an TUM, LMU oder BAdW betrieben werden, wenden Sie sich bitte an den jeweiligen Ansprechpartner gemäß der Liste
https://tools.aai.dfn.de/entities/
Sollte Ihre Einrichtung dort nicht aufgeführt sein, muss sie zunächst mit dem DFN-Verein einen Vertrag zur DFN-AAI schließen, ggf. auch einen ersten DFN-Rahmenvertrag.