Screenshot 1
Anleitung für IdP-Betreiber
Diese Dokumentation soll eine kurze Einführung über das Projekt sowie über die notwendigen Schritte geben.
Im Rahmen der Arbeitsgruppe Lehre des HiGHmed-Projekts (Website) werden von verschiedenen Institutionen in Deutschland Online-Lernmodule entwickelt.
Ziel ist es, dass Lernende von allen teilnehmenden Institutionen auf die Lehrangebote der anderen Institutionen zugreifen können. Dafür sind die Lernmanagementsysteme (LMS) per Shibboleth an der DFN AAI angebunden, die Partnerstandorte werden über ihre jeweiligen Identity Provider (IdPs) authentifiziert.
In der Regel gibt ein Identity Provider eines Standorts Attribute der Nutzer nur weiter, wenn
Um Teil 3 nicht für jeden Service Provider von Institutionen des HiGHmed-Konsortiums einzeln die Konfiguration anpassen zu müssen, wurde ein minimales Set an Attributen zusammengestellt und eine Entity Category eingeführt. Durch eine Entity Category kann eine virtuelle Subföderation gebildet werden, für die z.B. gemeinsame Attributfreigaben realisiert werden können (siehe auch Dokumentation des DFN).
Sie sollten prüfen, ob Ihr IdP bereits die Berechtigung hat, sich als Teil der Subförderation auszugeben. Die berechtigten EntityIds befinden sich am Ende dieser Anleitung. Falls dies der Fall ist, dann können Sie mit Schritt 2 fortfahren, ansonsten schreiben Sie bitte eine kurze Mail an highmeducation-shibboleth@highmed.org.
Sie sollten aktivieren, dass sich Ihr IdP als Teil der HiGHmed-Subförderation ausgibt.
Dafür können Sie auf der Verwaltungswebsite des DFN AAI eine entsprechende Checkbox setzen.
Dazu wählen Sie dort Ihren IdP aus und setzen die entsprechende Checkbox (siehe Screenshot):
Screenshot 1
Im Anschluss sollten das Set von Attributen an die Teilnehmer der HiGHmeducation-Subföderation freigegeben werden.
Dies wird im folgenden Anhand einer Beispielkonfiguration von Shibboleth 3.4 dargestellt.
Die Konfiguration kann folgendermaßen gedeutet werden: Falls für ein Service Provider die Entity-Category mit dem Wert "highmeducation-member" vorhanden ist, dann wird es erlaubt, die Werte von mail, sn, givenName, ... freizugeben.
Im folgenden Beispiel ist die Benennung der attributeIDs werden nach der Konvention des DFN AAI vorgenommen (siehe hier) und muss evtl. an die eigene Konfiguration angepasst werden.
Ergänzung der attribute-filter.xml-Konfigurationsdatei:
<!-- HiGHmed Lehre - Freigabe an Entity Category -->
<AttributeFilterPolicy id="releaseAttributesToHighmeducation">
<PolicyRequirementRule xsi:type="EntityAttributeExactMatch" attributeName="http://macedir.org/entity-category" attributeValue="http://aai.dfn.de/category/highmeducation-member"/>
<AttributeRule attributeID="eduPersonEntitlement">
<PermitValueRule xsi:type="ValueRegex" regex="^http://highmed\.org/entitlement/.*$"/>
</AttributeRule>
<AttributeRule attributeID="persistent-id" permitAny="true"/>
<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
<AttributeRule attributeID="mail" permitAny="true"/>
<AttributeRule attributeID="surname" permitAny="true"/>
<AttributeRule attributeID="givenName" permitAny="true"/>
</AttributeFilterPolicy>Ihre Institution soll einschränken können, welche Angehörigen die HiGHmed-Service-Provider nutzen dürfen. Dafür wurde das Entitlement http://highmed.org/entitlement/education eingeführt, das den berechtigten Angehörigen verliehen werden soll. Der Standortverantwortliche (von HiGHmed-Seite) sollte Ihnen diese Information mitgeteilt haben.
Nach Anpassen der Konfiguration sollte die Konfiguration des IdPs entsprechend neu geladen werden.
https://sso.tu-bs.de
https://studip.tu-braunschweig.de
https://dfnaai.charite.de/idp/shibboleth
https://idp.helmholtz-hzi.de/idp/shibboleth
https://idp.hs-hannover.de/idp/shibboleth
https://idp.hawk.de/idp/shibboleth
https://shibboleth-idp.uni-wuerzburg.de/idp/shibboleth
https://shibboleth.mh-hannover.de/idp/shibboleth
https://idp.uni-heidelberg.de
https://idp.hs-heilbronn.de/idp/shibboleth
https://idp.rrz.uni-koeln.de/idp/shibboleth
https://zividp.uni-muenster.de/idp/shibboleth
https://shibboleth-idp.uni-goettingen.de/uni/shibboleth
https://studip-sp.uni-goettingen.de/shibbolethDieses Dokument wurde zuletzt am 2023-08-29T02:03+00:00 aktualisiert. Die PDF-Fassung dieser Dokumentation finden Sie hier: https://highmeducation.pages.gwdg.de/metadata/highmed.pdf.