highmeducation-member Entity-Category

Anleitung für Service-Provider (SPs)

Projekt

Im Rahmen der Arbeitsgruppe Lehre des HiGHmed-Projekts (Website) werden von verschiedenen Institutionen in Deutschland Online-Lernmodule entwickelt.

Ziel ist es, dass Lernende von allen teilnehmenden Institutionen auf die Lehrangebote der anderen Institutionen zugreifen können. Dafür sind die Lernmanagementsysteme (LMS) per Shibboleth an der DFN AAI angebunden, die Partnerstandorte werden über ihre jeweiligen Identity Provider (IdPs) authentifiziert.

In der Regel gibt ein Identity Provider eines Standorts Attribute der Nutzer nur weiter, wenn

1. der Service Provider (SP, das LMS) auch Teil der Föderation ist (DFN AAI)
2. der Nutzer der Freigabe explizit zustimmt
3. konfiguriert ist, dass dieses Attribut auch an den konkreten SP ausgeliefert werden soll.

Um Teil 3 nicht für jeden Service Provider von Institutionen des HiGHmed-Konsortiums einzeln die Konfiguration anpassen zu müssen, wurde ein minimales Set an Attributen zusammengestellt und eine Entity Category eingeführt. Durch eine Entity Category kann eine virtuelle Subföderation gebildet werden, für die z.B. gemeinsame Attributfreigaben realisiert werden können (siehe auch Dokumentation des DFN).

Notwendige Schritte

Von Seiten der Service-Provider müssen einige Voraussetzungen erfüllt sein.

Integration in die DFN AAI

Ihr Lernmanagementsystem (LMS) muss in die DFN AAI Föderation aufgenommen werden. Dazu ist das notwendig, dass ihr LMS Shibboleth/SAML2 fähig ist. Dies ist beispielsweise bei ILIAS (https://lms.highmed.org/Services/AuthShibboleth/README.SHIBBOLETH.txt) oder Moodle (https://docs.moodle.org/39/de/Shibboleth-Server) gegeben.

Datenschutzerklärung / Nutzungsbedingungen

Da Sie personenbezogene Daten der Teilnehmenden verarbeiten, sollten Sie beim ersten Aufruf auf die aktuell gültige Datenschutzerklärung sowie die Nutzungsbedingungen des Systems hinweisen und durch die Teilnehmenden akzeptieren lassen.

Integration in die HiGHmeducation-Subföderation

Durch die Aufnahme in die HiGHmeducation-Subföderation sollten von den Beteiligten Standorten die entsprechenden Attribute automatisch freigebbar sein (die attribute-filter.xml der IdPs sollte einen entsprechenden Eintrag beinhalten). Dies erfordert bei der ersten Anmeldung trotzdem noch eine entsprechende explizite Freigabe durch den individuellen Nutzer auf Seiten des Identity Providers.

Hinweis: Die freigegebenen Attribute entsprechen denen, die bei der HiGHmed-Lehre Koordinationsabfrage angegeben wurden - diese finden Sie hier.

Falls Ihr Service-Provider zwingend weitere Attribute benötigt, die Sie nicht anhand vorhandener Attribute berechnen können, dann wenden Sie sich bitte an highmeducation-shibboleth@highmed.org. Wir werden dann im Zweifel die Infos für IdPs aktualisieren und diese bitten, die weiteren Attribute freizugeben.

Sollte die Einrichtung mit Hilfe des Shibboleth Service Providers erfolgen (Apache mod_shib), so kann beispielsweise so gefiltert werden, dass Anmeldungen nur von HiGHmedcuation-Standorten möglich ist:

        <MetadataProvider type="XML" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-basic-metadata.xml"
            backingFilePath="dfn-test.xml" reloadInterval="3600" legacyOrgNames="true">
                <MetadataFilter type="Signature" certificate="/etc/shibboleth/dfn-aai.g2.pem"/>
                <MetadataFilter type="Whitelist" matcher="EntityAttributes">
                        <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
                                <saml:AttributeValue>http://aai.dfn.de/category/highmeducation-member</saml:AttributeValue>
                        </saml:Attribute>
                </MetadataFilter>
        </MetadataProvider>

Aufnahme

Um Ihren Service-Provider zur HiGHmeducation-Förderation hinzuzufügen, schreiben Sie bitte eine Mail an highmeducation-shibboleth@highmed.org unter Angabe der folgenden Aspekte:

• Sie möchten einen Service-Provider zur HiGHmeducation-Föderation hinzufügen
• Die EntityID Ihres SPs
• Die Angabe, ob Sie alle Identity Provider der HiGHmeducation-Föderation akzeptieren (über die Entity Category, siehe Beispiel oben, empfohlen)
• Angabe, ob Datenschutzerklärung / Nutzungsbedingungen bereits vorhanden (sinnvollerweise mit Link darauf oder Kopie im Anhang; Verlinkung von HiGHmed-Seite erfolgt erst, falls diese vorhanden ist, zuvor nur zum internen Testen)

Im Anschluss wird Ihr SP zur Föderation hinzugefügt. Sie sollten in der Verwaltungskonsole des DFN AAI eine Checkbox sehen, in der Sie die Entity Category freischalten können:

Screenshot 1

Innerhalb von 24 Stunden sollte dieser Eintrag dann verbreitet sein und die IdPs sollten die Attribute entsprechend freigeben. Sie können gerne eine weitere Mail an highmeducation-shibboleth@highmed.org senden, wir werdem uns gerne als Testnutzer an Ihrem System anmelden.

Anhang

Liste der aktuellen IdPs und SPs (Entity Ids)

https://sso.tu-bs.de
https://studip.tu-braunschweig.de
https://dfnaai.charite.de/idp/shibboleth
https://idp.helmholtz-hzi.de/idp/shibboleth
https://idp.hs-hannover.de/idp/shibboleth
https://idp.hawk.de/idp/shibboleth
https://shibboleth-idp.uni-wuerzburg.de/idp/shibboleth
https://shibboleth.mh-hannover.de/idp/shibboleth
https://idp.uni-heidelberg.de
https://idp.hs-heilbronn.de/idp/shibboleth
https://idp.rrz.uni-koeln.de/idp/shibboleth
https://zividp.uni-muenster.de/idp/shibboleth
https://shibboleth-idp.uni-goettingen.de/uni/shibboleth
https://studip-sp.uni-goettingen.de/shibboleth

Dieses Dokument wurde zuletzt am 2023-08-29T02:03+00:00 aktualisiert. Die PDF-Fassung dieser Dokumentation finden Sie hier: https://highmeducation.pages.gwdg.de/metadata/highmed-sp.pdf.