Shibboleth für eigene Webanwendungen
Um in einer eigenen Webanwendung Shibboleth-Authentifizierung zu nutzen, muss zusätzlich eine Shibboleth-Software installiert werden, die den sog. shibd (Shibboleth Daemon) enthält, außer die Anwendung unterstützt nativ Shibboleth/SAML-Authentifizierung. Siehe hierzu die Anleitung der DFN-AAI:
https://wiki.aai.dfn.de/de:shibsp
Shibboleth für Anwendungen der LMU, TUM und BAdW
Damit die Identity Provider dem neuen Service Provider vertrauen, müssen dessen Metadaten
- in die lokale AAI-Föderation der Heimateinrichtung
- oder in die deutschlandweite DFN-AAI-Föderation aufgenommen werden.
Die Metadaten enthalten u.a. das Zertifikat des SPs, die URLs für die Service Endpoints als Schnittstellen zwischen IdP und SP, sowie Kontaktinformationen.
Aufnahme in die AAI-Föderation von TUM-SPs
Für die Aufnahme Ihres SPs an der TUM in eine Föderation schreiben Sie bitte an den TUM IT-Support gemäß der TUM-Doku:
Aufnahme in die AAI-Födereration von LMU- und LRZ-SPs
Für die Aufnahme Ihres SPs in eine Föderation geben Sie bitte an den LRZ Servicedesk (Service "Benutzerverwaltung und Authentisierung") folgende Informationen:
- Organisatorisches
- Shibboleth EntityID wie im SP konfiguriert (z.B. "https://abstimmung.semesterticket-muenchen.de/shibboleth")
- Anzeigename des Webdiensts (z.B. "Abstimmung über das Semesterticket in München", "TUM Mathematischer Kalender", "LMUcast für iTunesU"), deutsch und englisch
- Kurzbeschreibung des Webdienstes (1-2 Zeilen), deutsch und englisch
- URL zur Informationsseite/Website der Einrichtung, Institution oder Firma, deutsch und englisch
- URL zur Datenschutzerklärung (Privacy Statement) für Ihren Webdienst, deutsch und englisch
- URL zu einem Logo des Webdienstes, 64 bis 240 Pixel breit und 48 bis 180 Pixel hoch, transparenter Hintergrund (wenn möglich)
- Helpdesk-URL- und Mailadresse (z.B. "TUM IT-Support", "LMU IT-Servicedesk")
- Name und Mailadresse je einer Kontaktperson(en) für
1. die technische Administration des SPs,
2. für den Support des Webdienstes und
3. für Security-Fälle - Angabe des Benutzerkreises:
- Personen der eigenen Uni?
- oder auch Benutzende anderer Einrichtungen? - Personen mit genauer geprüfter Identität (Beschäftigte mit Arbeitsvertrag, immatrikulierte Studierende)?
- oder auch Bewerber:innen, Gäste, Kooperationspartner:innen etc. mit einem gültigen Account?
- Personen der eigenen Uni?
- Technik
- URL, von dem die Shibboleth-Metadaten des SPs abgerufen werden können.
Dieser URL hat typischerweise die Form
"https://abstimmung.semesterticket-muenchen.de/Shibboleth.sso/Metadata"
und ist durch die Installation der Shibboleth SP-Software auf Ihrem Webdienst verfügbar.
-- ODER -- - Server-Zertifikat des Webdienstes und
Service-Endpoints: Art und URL der vom SP unterstützten Shibboleth NameID- und Assertion-Consumer- und ggf. Single-Logout-Services, z.B.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
→ "https://abstimmung.semesterticket-muenchen.de/Shibboleth.sso/SAML2/POST"
- URL, von dem die Shibboleth-Metadaten des SPs abgerufen werden können.
- Datenschutz
- Mitteilung, dass der Webdienst auf einem TUM/LMU/BAdW-System betrieben wird und nur anonyme Daten zum Login und zur Zuordnung evtl. vorhandener Profile verwendet (die sog. eduPersonTargetedID).
- ODER - - Die Liste der Attribute (personenbezogene Daten), die der Webdienst vom IdP anfordert und die im TUM/LMU/BAdW-IdP für ihren Webdienst freigeben werden sollen,
(personenbezogen sind u.a. Benutzerkennung/LRZ-Kennung, Name, Mail-Adresse, Einrichtungszugehörigkeit/Affiliation, Geschlecht);
sowie die Mitteilung, dass für den Webdienst ein Eintrag im Verzeichnis der Verarbeitungstätigkeiten gemäß § 30 Datenschutz-Grundverordnung (DSGVO) Ihrer Organisationseinheit existiert und dieser Eintrag die Verarbeitung dieser Attribute abdeckt.
Eine Liste der von den IdPs verfügbaren Attribute finden Sie hier:- von der DFN-AAI empfohlene Attribute: https://doku.tid.dfn.de/de:common_attributes (davon noch nicht verfügbar eduPersonOrcid und schacUserStatus)
- Attribute für E-Learning: https://doku.tid.dfn.de/de:elearning_attributes
- Mitteilung, dass der Webdienst auf einem TUM/LMU/BAdW-System betrieben wird und nur anonyme Daten zum Login und zur Zuordnung evtl. vorhandener Profile verwendet (die sog. eduPersonTargetedID).
Serverzertifikat
Für die SAML-Kommunikation mit den IdPs der AAI-Föderation(en) braucht Ihr SP ein Zertifikat. Welche Zertifikate dazu geeignet sind, ist beschrieben auf
https://doku.tid.dfn.de/de:certificates
Sie können dazu das Zertifikat verwenden, das Sie für den Webserver selbst haben, oder auch ein extra Zertifikat für die SAML-Kommunikation.
→ NEU 2022: Es sind auch selbst signierte Zertifikate mit einer max. Gültigkeit von 39 Monaten zugelassen.
Lokale PKIs/Registration Authorities (RA), bei denen Sie ein Zertifikat bekommen können, sind
- für die TUM: http://www.it.tum.de/faq/it-dienste/zertifikate/
https://pki.pca.dfn.de/tum-ca-g2/pub - für die LMU: https://pki.pca.dfn.de/uni-muenchen-ca/cgi-bin/pub/pki?cmd=pkcs10_req;id=1;menu_item=2;RA_ID=100
Idealerweise sollte das Zertifikat das Client-Auth-Flag beinhalten, also nicht als Webserver-, sondern als Shibboleth-IdP/SP-Zertifikat beantragt werden, siehe z.B. http://www.lrz.de/services/pki/wieman/
Nach Aufnahme Ihres SPs in die gewünschte Föderation (Nachricht vom Servicedesk) tragen Sie in shibboleth2.xml als MetadataProvider im Attribut "uri" ein:
- für die TUM-lokale Föderation: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-8-metadata.xml
- für die LMU-lokale Föderation: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-29-metadata.xml
- für die DFN-AAI-Testföderation: https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml
Zertifikatstausch
Bevor das Serverzertifikat für die SAML-Kommunikation abläuft, muss es in der SP-Konfiguration und zeitlich koordiniert auch in der AAI-Föderation ausgetauscht werden. Die AAI-Föderation ruft neue Zertifikate nicht automatisch von den Metadaten-URLs der SPs ab. Vielmehr müssen Sie vorab das neue Zertifikat an den LRZ Servicedesk (Service "Benutzerverwaltung und Authentisierung") schicken. Der Zertifikatswechsel kann dann unterbrechungsfrei erfolgen wie beschrieben auf
https://doku.tid.dfn.de/de:certificates#zertifikatstausch
Shibboleth für Anwendungen anderer Einrichtungen
Für die Shibboleth-Anbindung von Webdiensten, die an anderen Einrichtungen als an TUM, LMU oder BAdW betrieben werden, wenden Sie sich bitte an den jeweiligen Ansprechpartner gemäß der Liste
https://tools.aai.dfn.de/entities/
Sollte Ihre Einrichtung dort nicht aufgeführt sein, muss sie zunächst mit dem DFN-Verein einen Vertrag zur DFN-AAI schließen, ggf. auch einen ersten DFN-Rahmenvertrag.