Breaking News:
Neue Webinar-Reihe
Schulung für DFNconf
Wir suchen Testnutzer für große Webinare
Alte MCU-Plattform: Abschaltung Gastzugang Anfang Oktober
Rückblick auf das Nutzertreffen der Adobe Connect Nutzergruppe
22. Workshop "Videokonferenzen im Wissenschaftsnetz" am 13./14.11. 2019

AAI-Freischaltung - Anleitung für Administratoren

Bitte beachten Sie folgende Voraussetzungen bei der Freischaltung Ihres IdPs zur Teilnahme am Dienst DFNconf:

  • Ihr IdP ist für den Dienst DFNconf registriert. Hierzu senden Sie bitte eine signierte E-Mail mit der entityID Ihres IdP an die Adresse anmeldung@conf.dfn.de. Sie erhalten eine Benachrichtigung sobald Ihr IdP freigeschaltet ist.

  • Ihr IdP übermittelt an unsere Service-Provider (entityIDs: https://my.conf.dfn.de/shibboleth und https://webconf.vc.dfn.de/shibboleth) folgende Attribute:
    • givenName
    • sn
    • mail
    • o

    Diese Attribute werden für die Registrierung neuer Meetingveranstalter verwendet. Achtung: Es handelt sich hierbei um datenschutzrechtlich relevante Attribute! Sie müssen Ihre Nutzer vor der Übertragung der Attribute darauf aufmerksam machen, dass hier personenbezogene Informationen an einen externen Anbieter übertragen werden! Wir empfehlen hierfür, das User Consent Modul DSGVO-konform zu konfigurieren. Hinweise dazu finden Sie hier.

  • Zusätzlich übermittelt ihr IdP mindestens eines der folgenden Attribute:
    • eduPersonAffiliation mit einem der drei Werte employee, faculty oder staff
    • eduPersonScopedAffiliation mit einem der drei Werte employee, faculty oder staff vor dem '@'-Zeichen

  • Sollen spezielle Mitarbeiter (externe Dozenten, Studenten, wissenschaftliche Hilfskräfte etc.) für den Dienst zugelassen werden, so ist das über ein Attribut möglich, das nur für das temporäre Freischalten verwendet werden darf:
    • eduPersonEntitlement - Den Wert erhalten Sie nach Rücksprache über unsere Hotline.

  • Damit Änderungen der E-Mail-Adresse oder des Nachnamens eines Nutzers automatisch vom IdM der Einrichtung in den Server des Dienstes DFNconf übernommen werden, muss Ihr IdP die persistentId  des Nutzers an unseren Service-Provider übertragen. Hinweise zur Konfiguration der persistentId finden Sie auf dem DFN-AAI-Portal bzw. direkt im AAI-Wiki.

Fehlerbehebung: Übermittlung der Attribute des IdP der Einrichtung

Sollten sich Mitarbeiter eine freigeschalteten Einrichtung nicht anmelden können, empfehlen wir den Aufruf folgende Seiten nach einem fehlerhaften Login:

https://my.conf.dfn.de/Shibboleth.sso/Session

https://webconf.vc.dfn.de/Shibboleth.sso/Session

Kontrollieren Sie die übermittelten Attribute auf Vollständigkeit und Gültigkeit.

Attribut-Freigabe

Voraussetzung ist, dass Ihr IdP die benötigten Attribute (s.o.) aus dem IdM-System ausliest (bei Shibboleth-IdPs wird das in attribute-resolver.xml configuriert).

Diese Attribute werden dann an den DFNconf-SP folgendermassen freigegeben:

...
<AttributeFilterPolicy id="DFNconf">
  
  <PolicyRequirementRule xsi:type="OR">
    <Rule xsi:type="Requester" value="https://my.conf.dfn.de/shibboleth" />
    <Rule xsi:type="Requester" value="https://self.conf.dfn.de/shibboleth" />
    <Rule xsi:type="Requester" value="https://www.conf.dfn.de/shibboleth" />
    <Rule xsi:type="Requester" value="https://webconf.vc.dfn.de/shibboleth" />
  </PolicyRequirementRule>
   
  <AttributeRule attributeID="givenName" permitAny="true"/>
  <AttributeRule attributeID="surname"   permitAny="true"/>
  <AttributeRule attributeID="mail"      permitAny="true"/>
  <AttributeRule attributeID="organizationName" permitAny="true"/>
 
  <AttributeRule attributeID="eduPersonScopedAffiliation">
    <PermitValueRule xsi:type="OR">
      <Rule xsi:type="Value" value="employee" />
      <Rule xsi:type="Value" value="faculty" />
      <Rule xsi:type="Value" value="staff" />
    </PermitValueRule>
  </AttributeRule>
 
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="Value" value="WERT_ÜBER_DFNconf_HOTLINE_ERHÄLTLICH" />
  </AttributeRule>
 
  <!-- Bitte denken Sie daran auch die persistentId an den Webconf-SP freizugeben!
       Dies wird beim IdP 3.x nicht mehr in attribute-filter.xml
       sondern in ./conf/relying-party.xml eingestellt,
       siehe https://wiki.aai.dfn.de/de:shibidp3storage -->
 
</AttributeFilterPolicy>
...
attribute-filter.xml (Shibboleth IdP 3.x)

WAYFless-URL

Sofern Sie Ihren Nutzern den Zugriff auf unsere DFNconf-Dienste vereinfachen wollen, können Sie dies über folgende WAYFless-URLs für den DFNconf sowie Webkonferenzdienst machen (ersetzen Sie die Beispiel-entityID durch die entityID Ihres IdPs):

<a href="https://my.conf.dfn.de/start-session?entityID=https://idp.hochschule-XY.de/idp/shibboleth&target=https://my.conf.dfn.de">DFNconf</a>
WAYFless URL für DFNConf

<a href="https://webconf.vc.dfn.de/start-session?entityID=https://idp.hochschule-XY.de/idp/shibboleth&target=https://webconf.vc.dfn.de/aai">DFN Webconf</a>

WAYFless URL für DFN-Webconf
updated: 2. September 2019 11:01