Antrag auf Mitgliedschaft Ihres Service Providers in einer DFN-AAI-Föderation

Name und Beschreibung des Dienstes

Bitte tragen Sie den Namen Dienstes ein, der von Ihrem Service Provider geschützt wird.

Bitte tragen Sie eine kurze Beschreibung des Dienstes ein, der von Ihrem Service Provider geschützt wird.

Kontaktdaten

Verwenden Sie bei der Eingabe der Telefonnummer bitte die Vorwahl der Stadt Konstanz ("07531"), die Vorwahl der Universität ("88"), sowie die Nummer Ihres Dienstanschluss (z.B. "07531 88 4342").

Benutzerkreis bestimmen
Bitte geben Sie den maximalen Benutzerkreis an, wer Ihren Dienst benutzen soll. Sie können den maximalen Benutzerkreis durch die Verwendung von Autorisierungsregeln nachträglich einschränken.
Sollte es sich bei Ihrem SP um ein Testsystem handeln, wählen wir Sie den Benutzerkreis aus, welchen alle Benutzer enthält, die über die Föderation DFN-AAI-Test erreicht werden können.
Metadatengenerator

Die Shibboleth Service Provider ab Version 2.0 bieten die komfortable Funktion eines Metadatengenerators. Durch die Abfrage der Metadaten-URL können die meisten technischen Parameter Ihres Service Providers direkt aus seiner Konfiguration ausgelesen werden. Die URL zum sieht üblicherweise wie folgt aus:

https://example.com/Shibboleth.sso/Metadata

Allerdings funktioniert das Generieren der Metadaten nur, wenn Ihre Firewall die Verbindung vom Webportal der DFN-AAI zum Metadatengenerator Ihres Service Provider auch zulässt. Verwenden Sie für Ihre Firewall-Einstellungen bitte die folgenden Netzwerkadressen der DFN-AAI:

  • 194.95.245.77,
  • 194.95.245.76,
  • 194.95.248.15.
Zugang zu Ihrem Service Provider

Bitte geben Sie eine URL an, mit der wir den Zugang zu Ihrem Service Provider testen können.

Serverzertifikat hochladen

Da die Kommunikation zwischen Ihrem Service Provider und dem IDP der Uni nur verschlüsselt erfolgt, müssen Sie an dieser Stelle das gültige X509-Zertifikat Ihres Service Providers angeben:

Das Serverzertifikat Ihres Service Providers:

  • muss gültig sein,
  • muss von der CA der Uni Konstanz signiert sein,
  • darf also nicht selbstsigniert sein
  • und muss als "Shibboleth IDP SP" ausgezeichnet sein.

Sollte Ihr Serverzertifikat den oben genannten Anforderungen nicht entsprechen oder sollten Sie Ihren Service Provider noch nicht zertifiziert haben, müssen Sie das mit Hilfe der CA der Uni Konstanz nachholen.

Auswahl der Autorisierungsattribute

Wenn die erfolgreiche Anmeldung eines Benutzers am Identity Provider ausreicht, Zugriff auf Ihren Service Provider zu bekommen, brauchen Sie keine Autorisierungsattribute vom Identity Provider anzufordern. Sie können zum Schutz Ihrer Webseiten für Ihren Service Provider Autorisierungsregeln definieren. Der Identity Provider der Uni kann Ihrem Service Provider zu diesem Zweck eine Reihe Autorisierungsattribute übermitteln:

  • Attribute aus dem nativen LDAP-Schema,
  • Attribute aus dem eduPerson-Schema
  • sowie spezielle Attribute für die bwIDM-Subföderation

Eine detailierte Spezifikation der gängigsten LDAP-Attribute finden Sie im RFC-4519. Wenn Sie weitere Fragen zu den LDAP-Attributen haben, wenden Sie sich bitte an den KIM-Support unter Angabe der Betreffzeile "Fragen zur Verwendung von LDAP-Attributen".

eine Spezifikation des eduPerson-Schema finden Sie im Dokument internet2-mace-dir-eduperson-201602. Wenn Sie weitere Fragen zu Verwendung dieser Attribute haben, wenden Sie sich bitte an die Adminstration des IDP.

Wenn Ihr Service Provider Mitglied der bwIDM-Subföderation werden soll, können Sie neben den gängigen Attributen auch das Versenden spezieller bwIDM-Attribute beantragen. Eine Spezifikation dieser Attribute finden Sie auf den Seiten des bwIDM-Projekts. Wenn Sie weitere Fragen zur Verwendung der bwIDM-Attribute haben, kontaktieren Sie bitte die Betreiber der bwIDM-Föderation.

Absenden