Bitte beachten Sie: Diese Anleitung richtet sich ausschließlich an IT-Systemadministratoren teilnehmender Einrichtungen, die ihren lokalen Identity Provider (IdP) konfigurieren wollen, damit er bei DFNconf für den Single Sign-On via DFN-AAI genutzt werden kann.
Zur individuellen Anmeldung zu den Verwaltungsportalen für Meetingräume nutzen Sie bitte den Punkt "Veranstalter-Login" im Menü oben rechts. Finden Sie Ihre Einrichtung nicht in der Liste der teilnehmenden Einrichtungen, wenden Sie sich bitte zunächst an Ihre zuständige IT-Abteilung oder Ihr Hochschulrechenzentrum zur Klärung der Frage, wie der Teilnahmestatus Ihrer Einrichtung bei DFNconf ist.
AAI-Freischaltung - Anleitung für Systemadministratoren
Bitte beachten Sie folgende Voraussetzungen bei der Freischaltung Ihres IdPs zur Teilnahme am Dienst DFNconf:
- Ihr Identity-Provider (IdP) nimmt an der DFN-AAI-Föderation mindestens in der Verlässlichkeitsklasse Basic teil.
- Ihr IdP ist für den Dienst DFNconf registriert. Hierzu senden Sie bitte eine signierte E-Mail mit der entityID Ihres IdP an die Adresse hotline@conf.dfn.de. Sie erhalten eine Benachrichtigung sobald Ihr IdP freigeschaltet ist.
- Ihr IdP übermittelt an unsere Service-Provider (entityIDs: https://my.conf.dfn.de/shibboleth und https://webconf.vc.dfn.de/shibboleth) folgende Attribute:
- givenName
- sn
- o
- Zusätzlich übermittelt ihr IdP mindestens eines der folgenden Attribute:
- eduPersonAffiliation mit einem der drei Werte employee, faculty oder staff
- eduPersonScopedAffiliation mit einem der drei Werte employee, faculty oder staff vor dem '@'-Zeichen
- Sollen spezielle Mitarbeiter (externe Dozenten, Studenten, wissenschaftliche Hilfskräfte etc.) für den Dienst zugelassen werden, so ist das über ein Attribut möglich, das nur für das temporäre Freischalten verwendet werden darf:
- eduPersonEntitlement - Den Wert erhalten Sie nach Rücksprache über unsere Hotline.
- Damit Änderungen der E-Mail-Adresse oder des Nachnamens eines Nutzers automatisch vom IdM der Einrichtung in den Server des Dienstes DFNconf übernommen werden, muss Ihr IdP die persistentId des Nutzers an unseren Service-Provider übertragen. Hinweise zur Konfiguration der persistentId finden Sie auf dem DFN-AAI-Portal bzw. direkt im AAI-Wiki.
Fehlerbehebung: Übermittlung der Attribute des IdP der Einrichtung
Sollten sich Mitarbeiter eine freigeschalteten Einrichtung nicht anmelden können, empfehlen wir den Aufruf folgende Seiten nach einem fehlerhaften Login:
Kontrollieren Sie die übermittelten Attribute auf Vollständigkeit und Gültigkeit.
Attribut-Freigabe
Voraussetzung ist, dass Ihr IdP die benötigten Attribute (s.o.) aus dem IdM-System ausliest (bei Shibboleth-IdPs wird das in attribute-resolver.xml configuriert).
Diese Attribute werden dann an den DFNconf-SP folgendermassen freigegeben:
... <AttributeFilterPolicy id="DFNconf"> <PolicyRequirementRule xsi:type="OR"> <Rule xsi:type="Requester" value="https://my.conf.dfn.de/shibboleth" /> <Rule xsi:type="Requester" value="https://self.conf.dfn.de/shibboleth" /> <Rule xsi:type="Requester" value="https://www.conf.dfn.de/shibboleth" /> <Rule xsi:type="Requester" value="https://webconf.vc.dfn.de/shibboleth" /> </PolicyRequirementRule> <AttributeRule attributeID="givenName" permitAny="true"/> <AttributeRule attributeID="sn" permitAny="true"/> <AttributeRule attributeID="mail" permitAny="true"/> <AttributeRule attributeID="o" permitAny="true"/> <AttributeRule attributeID="eduPersonScopedAffiliation"> <PermitValueRule xsi:type="OR"> <Rule xsi:type="Value" value="employee" /> <Rule xsi:type="Value" value="faculty" /> <Rule xsi:type="Value" value="staff" /> </PermitValueRule> </AttributeRule> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="Value" value="WERT_ÜBER_DFNconf_HOTLINE_ERHÄLTLICH" /> </AttributeRule> <!-- Bitte denken Sie daran auch die persistentId an den Webconf-SP freizugeben! Siehe https://doku.tid.dfn.de/de:shibidp:config-storage --> </AttributeFilterPolicy> ...attribute-filter.xml (Shibboleth IdP 4.x)
WAYFless-URL
Sofern Sie Ihren Nutzern den Zugriff auf unsere DFNconf-Dienste vereinfachen wollen, können Sie dies über folgende WAYFless-URLs für den DFNconf sowie Webkonferenzdienst machen (ersetzen Sie die Beispiel-entityID durch die entityID Ihres IdPs):
<a href="https://my.conf.dfn.de/start-session?entityID=https://idp.hochschule-XY.de/idp/shibboleth&target=https://my.conf.dfn.de">DFNconf</a>WAYFless URL für DFNConf
<a href="https://webconf.vc.dfn.de/start-session?entityID=https://idp.hochschule-XY.de/idp/shibboleth&target=https://webconf.vc.dfn.de/aai">DFN Webconf</a>WAYFless URL für DFN-Webconf