AAI-Freischaltung - Anleitung für Administratoren

Bitte beachten Sie folgende Voraussetzungen bei der Freischaltung Ihres IdPs zur Teilnahme am Dienst DFNconf:

Fehlerbehebung: Übermittlung der Attribute des IdP der Einrichtung

Sollten sich Mitarbeiter eine freigeschalteten Einrichtung nicht anmelden können, empfehlen wir den Aufruf folgende Seiten nach einem fehlerhaften Login:

https://my.conf.dfn.de/Shibboleth.sso/Session

https://webconf.vc.dfn.de/Shibboleth.sso/Session

Kontrollieren Sie die übermittelten Attribute auf Vollständigkeit und Gültigkeit.

Attribut-Freigabe

Voraussetzung ist, dass Ihr IdP die benötigten Attribute (s.o.) aus dem IdM-System ausliest (bei Shibboleth-IdPs wird das in attribute-resolver.xml configuriert).

Diese Attribute werden dann an den DFNconf-SP folgendermassen freigegeben:

...
<AttributeFilterPolicy id="DFNwebconferencing">
  
  <PolicyRequirementRule xsi:type="OR">
    <Rule xsi:type="Requester" value="https://my.conf.dfn.de/shibboleth" />
    <Rule xsi:type="Requester" value="https://self.conf.dfn.de/shibboleth" />
    <Rule xsi:type="Requester" value="https://www.conf.dfn.de/shibboleth" />
    <Rule xsi:type="Requester" value="https://webconf.vc.dfn.de/shibboleth" />
  </PolicyRequirementRule>
   
  <AttributeRule attributeID="givenName" permitAny="true"/>
  <AttributeRule attributeID="surname"   permitAny="true"/>
  <AttributeRule attributeID="mail"      permitAny="true"/>
  <AttributeRule attributeID="organizationName" permitAny="true"/>
 
  <AttributeRule attributeID="eduPersonScopedAffiliation">
    <PermitValueRule xsi:type="OR">
      <Rule xsi:type="Value" value="employee" />
      <Rule xsi:type="Value" value="faculty" />
      <Rule xsi:type="Value" value="staff" />
    </PermitValueRule>
  </AttributeRule>
 
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="Value" value="WERT_ÜBER_DFNVC_HOTLINE_ERHÄLTLICH" />
  </AttributeRule>
 
  <!-- Bitte denken Sie daran auch die persistentId an den Webconf-SP freizugeben!
       Dies wird beim IdP 3.x nicht mehr in attribute-filter.xml
       sondern in ./conf/relying-party.xml eingestellt,
       siehe https://wiki.aai.dfn.de/de:shibidp3storage -->
 
</AttributeFilterPolicy>
...
attribute-filter.xml (Shibboleth IdP 3.x)

WAYFless-URL

Sofern Sie Ihren Nutzern den Zugriff auf unsere DFNconf-Dienste vereinfachen wollen, können Sie dies über folgende WAYFless-URLs für den DFNconf sowie Webkonferenzdienst machen (ersetzen Sie die Beispiel-entityID durch die entityID Ihres IdPs):

<a href="https://my.conf.dfn.de/start-session?entityID=https://idp.hochschule-XY.de/idp/shibboleth&target=https://my.conf.dfn.de">DFNconf</a>
WAYFless URL für DFNConf

<a href="https://webconf.vc.dfn.de/start-session?entityID=https://idp.hochschule-XY.de/idp/shibboleth&target=https://webconf.vc.dfn.de/aai">DFN Webconf</a>

WAYFless URL für DFN-Webconf
aktualisiert: 6. June 2019 12:10