Dienstanbieter

Um Beschäftigten und Studierenden der Hochschulen Baden-Württembergs einen neuen Dienst über bwIDM anbieten zu können, muss der Dienstanbieter als Service Provider (SP) der bwIDM-Föderation beitreten. Drei Schritte sind für die Teilnahme an bwIDM als Dienstanbieter notwendig:

  1. Voraussetzungen: Der Dienstanbieter schafft die Beitrittsvoraussetzungen.
  2. Bewerbung: Der Dienstanbieter bewirbt sich für den Beitritt zu bwIDM.
  3. Beitritt: Der Dienstanbieter kann bwIDM beitreten.

1. Voraussetzungen

1.1 Mitgliedschaft in der DFN-AAI

Da bwIDM eine Subföderation der DFN-AAI ist, ist die Mitgliedschaft in der DFN-AAI eine notwendige Bedingung für eine erfolgreiche Bewerbung für bwIDM. Genauer sind die folgenden beiden Verlässlichkeitsklassen der DFN-AAI relevant:

  • DFN-AAI Test: dient auch innerhalb von bwIDM lediglich Testzwecken.
  • DFN-AAI Advanced: dient innerhalb von bwIDM dem Produktivbetrieb.

Bevor Sie ihren Dienst in die DFN-AAI Advanced einstellen, sollte er zunächst in der DFN-AAI Test getestet worden sein. Prinzipiell ist es möglich, dass Sie ihren Dienst nur Mitgliedern von bwIDM zugänglich machen.

1.2 Technische Voraussetzungen

Die Installation und Konfiguration eines SP wird auf den Seiten der DFN-AAI beispielhaft beschrieben. Im Prinzip ist es jedoch Ihnen überlassen, welche SP-Implementierung Sie auswählen, bspw. Shibboleth SP (mind. Version 2.3.1) oder simpleSAMLphp. Wenn Sie ausschließlich einen web-basierten Dienst anbieten, sind die technischen Voraussetzungen hiermit im Wesentlichen abgeschlossen.

Wenn sie einen nicht web-basierten Dienst anbieten, ist ein SP ebenfalls zwingende Voraussetzung für die Teilnahme an bwIDM, da sie in jedem Fall eine shibboletisierte Registrierungsseite für Ihre Benutzer benötigen. Um einen nicht web-basierten Dienst anzubieten, gibt es drei verschiedene Möglichkeiten:

  • PAM/ECP für Dienste, welche über PAM angesprochen werden könnnen (z.B. SSH)
  • LDAP-Fassade für Dienste, welche die Anbindung über LDAP ermöglichen
  • Enhanced Clients unterstützen direkt ECP

Falls Sie Ihren Dienst ausschließlich Mitgliedern von bwIDM zugänglich machen möchten, so muss der SP die Metadaten entsprechend filtern (vgl. NativeSPEntityMatcher). Hierzu wird ein Shibboleth-SP in mind. Version 2.5 benötigt. Eine beispielhafte Konfiguration in der Konfigurationsdatei shibboleth2.xml wäre:

<MetadataProvider type="XML" uri="https://www.aai.dfn.de/fileadmin/metadata/DFN-AAI-metadata.xml" 
   backingFilePath="/etc/shibboleth/metadata/bwidm-metadata.xml" reloadInterval="7200">
   <MetadataFilter type="Whitelist" matcher="EntityAttributes">
      <saml:Attribute Name="http://aai.dfn.de/attribute/entity/category"
         NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
         <saml:AttributeValue>http://aai.dfn.de/category/bwidm-member</saml:AttributeValue>
      </saml:Attribute>
   </MetadataFilter>
</MetadataProvider>

2. Bewerbung einreichen

Sind alle Voraussetzungen für den Beitritt zu bwIDM erfüllt, so kann der Dienstanbieter den vollständig ausgefüllten und unterschriebenen Aufnahmeantrag bei der Geschäftsstelle einreichen:

Gleichzeitig übermittelt der Dienstanbieter der Geschäftsstelle eine exakte Liste an Attributen, welche zur Diensterbringung notwendig sind. Welche Attribute zur Verfügung stehen, kann hier eingesehen werden: Attributsatz. Diese Liste an Attributen kann dann etwa der Dienstanbieter als Basis für eine Service Access Policy (SAP) verwenden. Die SAP eines Dienstes enthält Anforderungen an die Heimat IdPs um eine Dienstnutzung zu ermöglichen.

Jeder Dienst kann zudem eine Service Provider Policy (SPP) zu spezifizieren, an die er sich selbst hält und die für Nutzer einsehbar ist. Die in der SPP enthaltenen Richtlinien können als Zusicherungen bzw. Informationen des Dienstes an die Nutzer verstanden werden, bspw. zu Lifecycles oder der Datenverwendung.

3. Beitritt

Wurde die Bewerbung angenommen, wird der Dienstanbieter benachrichtigt. Er kann sich nun in einem letzten Schritt in der Metadatenverwaltung mit einem Entity-Kategorie-Eintrag als bwIDM-Mitglied auszeichnen. Weitere Informationen zur Verwendung der entity Attribute im Zusammenhang mit bwIDM finden Sie bei der DFN-AAI.