DFNconf: AAI-Freischaltung

Bitte beachten Sie: Diese Anleitung richtet sich ausschließlich an IT-Systemadministratoren teilnehmender Einrichtungen, die ihren lokalen Identity Provider (IdP) konfigurieren wollen, damit er bei DFNconf für den Single Sign-On via DFN-AAI genutzt werden kann.

Zur individuellen Anmeldung zu den Verwaltungsportalen für Meetingräume nutzen Sie bitte den Punkt "Veranstalter-Login" im Menü oben rechts. Finden Sie Ihre Einrichtung nicht in der Liste der teilnehmenden Einrichtungen, wenden Sie sich bitte zunächst an Ihre zuständige IT-Abteilung oder Ihr Hochschulrechenzentrum zur Klärung der Frage, wie der Teilnahmestatus Ihrer Einrichtung bei DFNconf ist.

AAI-Freischaltung - Anleitung für Systemadministratoren

Bitte beachten Sie folgende Voraussetzungen bei der Freischaltung Ihres IdPs zur Teilnahme am Dienst DFNconf:

Ihr Identity-Provider (IdP) nimmt an der DFN-AAI-Föderation mindestens in der Verlässlichkeitsklasse Basic teil.

Ihr IdP ist für den Dienst DFNconf registriert. Hierzu senden Sie bitte eine signierte E-Mail mit der entityID Ihres IdP an die Adresse hotline@conf.dfn.de. Sie erhalten eine Benachrichtigung sobald Ihr IdP freigeschaltet ist.

Ihr IdP übermittelt an unsere Service-Provider (entityIDs: https://my.conf.dfn.de/shibboleth und https://webconf.vc.dfn.de/shibboleth) folgende Attribute:
- givenName
- sn
- mail
- o
Diese Attribute werden für die Registrierung neuer Meetingveranstalter verwendet. Achtung: Es handelt sich hierbei um datenschutzrechtlich relevante Attribute! Sie müssen Ihre Nutzer vor der Übertragung der Attribute darauf aufmerksam machen, dass hier personenbezogene Informationen an einen externen Anbieter übertragen werden! Wir empfehlen hierfür, das User Consent Modul DSGVO-konform zu konfigurieren. Hinweise dazu finden Sie hier.

Zusätzlich übermittelt ihr IdP mindestens eines der folgenden Attribute:
- eduPersonAffiliation mit einem der drei Werte employee, faculty oder staff
- eduPersonScopedAffiliation mit einem der drei Werte employee, faculty oder staff vor dem '@'-Zeichen
Sollen spezielle Mitarbeiter (externe Dozenten, Studenten, wissenschaftliche Hilfskräfte etc.) für den Dienst zugelassen werden, so ist das über ein Attribut möglich, das nur für das temporäre Freischalten verwendet werden darf:
- eduPersonEntitlement - Den Wert erhalten Sie nach Rücksprache über unsere Hotline.
Damit Änderungen der E-Mail-Adresse oder des Nachnamens eines Nutzers automatisch vom IdM der Einrichtung in den Server des Dienstes DFNconf übernommen werden, muss Ihr IdP die persistentId des Nutzers an unseren Service-Provider übertragen. Hinweise zur Konfiguration der persistentId finden Sie auf dem DFN-AAI-Portal bzw. direkt im AAI-Wiki.

Fehlerbehebung: Übermittlung der Attribute des IdP der Einrichtung

Sollten sich Mitarbeiter eine freigeschalteten Einrichtung nicht anmelden können, empfehlen wir den Aufruf folgende Seiten nach einem fehlerhaften Login:

https://my.conf.dfn.de/Shibboleth.sso/Session

https://webconf.vc.dfn.de/Shibboleth.sso/Session

Kontrollieren Sie die übermittelten Attribute auf Vollständigkeit und Gültigkeit.

Attribut-Freigabe

Voraussetzung ist, dass Ihr IdP die benötigten Attribute (s.o.) aus dem IdM-System ausliest (bei Shibboleth-IdPs wird das in attribute-resolver.xml configuriert).

Diese Attribute werden dann an den DFNconf-SP folgendermassen freigegeben:

...
<AttributeFilterPolicy id="DFNconf">
  
  <PolicyRequirementRule xsi:type="OR">
    <Rule xsi:type="Requester" value="https://my.conf.dfn.de/shibboleth" />
    <Rule xsi:type="Requester" value="https://self.conf.dfn.de/shibboleth" />
    <Rule xsi:type="Requester" value="https://www.conf.dfn.de/shibboleth" />
    <Rule xsi:type="Requester" value="https://webconf.vc.dfn.de/shibboleth" />
  </PolicyRequirementRule>
   
  <AttributeRule attributeID="givenName" permitAny="true"/>
  <AttributeRule attributeID="sn"        permitAny="true"/>
  <AttributeRule attributeID="mail"      permitAny="true"/>
  <AttributeRule attributeID="o"         permitAny="true"/>
 
  <AttributeRule attributeID="eduPersonScopedAffiliation">
    <PermitValueRule xsi:type="OR">
      <Rule xsi:type="Value" value="employee" />
      <Rule xsi:type="Value" value="faculty" />
      <Rule xsi:type="Value" value="staff" />
    </PermitValueRule>
  </AttributeRule>
 
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="Value" value="WERT_ÜBER_DFNconf_HOTLINE_ERHÄLTLICH" />
  </AttributeRule>
 
  <!-- Bitte denken Sie daran auch die persistentId an den Webconf-SP freizugeben!
       Siehe https://doku.tid.dfn.de/de:shibidp:config-storage -->
 
</AttributeFilterPolicy>
...

attribute-filter.xml (Shibboleth IdP 4.x)

WAYFless-URL

Sofern Sie Ihren Nutzern den Zugriff auf unsere DFNconf-Dienste vereinfachen wollen, können Sie dies über folgende WAYFless-URLs für den DFNconf sowie Webkonferenzdienst machen (ersetzen Sie die Beispiel-entityID durch die entityID Ihres IdPs):

<a href="https://my.conf.dfn.de/start-session?entityID=https://idp.hochschule-XY.de/idp/shibboleth&target=https://my.conf.dfn.de">DFNconf</a>

WAYFless URL für DFNConf

<a href="https://webconf.vc.dfn.de/start-session?entityID=https://idp.hochschule-XY.de/idp/shibboleth&target=https://webconf.vc.dfn.de/aai">DFN Webconf</a>

WAYFless URL für DFN-Webconf