Damit die IT-Abteilung Ihrer Einrichtung das Meta-Videoportal-Projekt freischalten kann, können Sie den Link auf diese FAQ an die für Sie zuständige Kontaktperson an Ihrer Einrichtung weiterleiten. Diese können Sie auf der Seite des DFN über die Schaltfläche "Identity Providers" in der Spalte "Contacts" einsehen. Schreiben Sie präferiert an die dort für Ihre Einrichtung angegebene "Support"-Adresse. Setzen Sie
Technische Informationen zur Freischaltung des Meta-Videoportals für Ihre Einrichtung:
Das Meta-Videoportal besteht aus kooperierenden Videoportalen (Service Providern innerhalb der DFN). Um eine Zugriffsberechtigung für die Nutzer*innen Ihrer Einrichtung erfolgreich prüfen zu können, werden verschiedene Attribute für die DFN Entity Category metavideoportal-member benötigt. Somit ist gewährleistet, dass die Freigaben stets nur für die Service Provider gelten, die aktuell Mitglieder des Metaportal-Kooperationsprojektes sind. Über eine Attribute Authority in der DFN kann die Berechtigung bei Login durch einen Nutzer an einem beteiligten Videoportal überprüft werden. Dieses Verfahren ist durch einen Kooperations- sowie auch Rahmenvertrag im Projektverbund ermöglicht. Die DSGVO-konforme Konfiguration des User Consents an den IDPs erlaubt eine datenschutzrechtlich konforme Lösung, die auf der freiwilligen Einwilligung zur Datenweitergabe bei Login an den einzelnen Service Providern beruht, welche jeweils eine Datenschutzerklärung ausweisen. Zusätzlich wird darüber hinaus erneut ein Einverständnis zur Datenverarbeitung bei der notwendigen Registrierung am Meta-Videoportal eingeholt.
Freischaltung der DFN Entity Category metavideoportal-member:
Für die Entity-Category werden folgende standardisierte Attribute benötigt:
- subject-id (SAML 2.0) = urn:oasis:names:tc:SAML:attribute:subject-id
Sofern noch keine subject-id an ihrem Dienst vorliegt, übermitteln Sie:- eduPersonPrincipalName (eppn) = urn:oid:1.3.6.1.4.1.5923.1.1.1.6
und möglichst zusätzlich die - persistente SAML2 NameID
Bestandsfreischaltungen: Hinweis im Falle bereits bestehender Freischaltungen
Haben Sie bereits zu einem früheren Zeitpunkt den eduPersonPrincipalName an die Entity Category übermittelt, so sollte dieser nach Freigabe der subject-id möglichst ebenfalls über einen längeren Zeitraum zusätzlich weiterhin übermittelt werden, damit die Dienste nahtlos auf das neuere Attribut migrieren können, ohne dass die Zugänglichkeit zum eigenen Konto für Nutzende verloren geht. - eduPersonPrincipalName (eppn) = urn:oid:1.3.6.1.4.1.5923.1.1.1.6
- Vorname (givenName) = urn:oid:2.5.4.42
Nachname (sn/surname) = urn:oid:2.5.4.4
und
Angezeigter Name (displayName) = urn:oid:2.16.840.1.113730.3.1.241 - E-Mail (mail) = urn:oid:0.9.2342.19200300.100.1.3
- Verlässlichkeit der Identität (eduPersonAssurance) = urn:oid:1.3.6.1.4.1.5923.1.1.1.11
Nach Ablösung der Verlässlichkeitsklassen "basic" und "advanced" innerhalb der DFN-AAI fungiert dieses Attribut seit dem 12. Januar 2023 als Ersatz zur Kommunikation von Verlässlichkeiten bzgl. Identitäten (vgl. DFN:Identity Assurance). Die Erfüllung der Konformitätskriterien des REFEDS Assurance Frameworks stellt eine Voraussetzung innerhalb der DFN-AAI dar. Da dieses Attribut keine personenbezogenen Daten enthält, wird empfohlen, dieses grundsätzlich an alle Service Provider zu übertragen (vgl. DFN:Assurance IDP - Attributfreigabe). - Studienabschluss (dfnEduPersonFinalDegree) (optional, jedoch empfohlen - sofern vorliegend) = urn:oid:1.3.6.1.4.1.22177.400.1.1.3.6
Mit diesem eLearning Attribut der DFN können Lehramtsstudierende automatisch autorisiert werden, so dass manuelle Autorisationsprozesse entfallen.
Begründung der Anforderung:
- Der eduPersonPrincipalName (und zukünftig subject-id) wird für die Herstellung der Funktionalität der Attribute Authority benötigt (Zugriffsberechtigung in verteilten Diensten).
- Durch die Zusicherung des Vor- wie Nachnamens sowie ggf. des Studienabschlusses können (u.a. von der Person erbrachte) Berechtigungsnachweise geprüft werden.
- Die E-Mail-Adresse ist notwendig zur Kommunikation mit den Nutzer*innen. Die Anforderung erspart Tippfehler sowie Validierungsschritte der E-Mail-Adresse, ebenso ist das Verfahren schneller und verlässlicher.
- Die vollständigen Hinweise zur Datenverarbeitung können der Datenschutzerklärung entnommen werden.
- Die angeforderten Attribute entsprechen im Wesentlichen den Erfordernissen und Nutzungsszenarien, die auch bei der gängigen REFEDS Entity Category Research&Scholarship 1.3 und der "REFEDS Personalized Access Entity Category" vorliegen, so dass hier eine Kompatibilität zu diesen Spezifikationen gewahrt wird.
Um eine Freischaltung an Ihrem Shibboleth IDP vorzunehmen, fügen Sie beispielsweise folgende Regel ein:
attribute-filter.xml:
<AttributeFilterPolicy id="metavideoportal-member">
<PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
attributeName="http://macedir.org/entity-category"
attributeValue="http://aai.dfn.de/category/metavideoportal-member" />
<AttributeRule attributeID="eduPersonPrincipalName" permitAny="true"/>
<AttributeRule attributeID="samlSubjectID" permitAny="true"/>
<AttributeRule attributeID="displayName" permitAny="true"/>
<AttributeRule attributeID="givenName" permitAny="true"/>
<AttributeRule attributeID="sn" permitAny="true"/>
<AttributeRule attributeID="mail" permitAny="true"/>
<AttributeRule attributeID="eduPersonAssurance" permitAny="true"/>
<!-- Optional, if available, for resource authorization -->
<AttributeRule attributeID="dfnEduPersonFinalDegree" permitAny="true"/>
</AttributeFilterPolicy>Bitte prüfen Sie die Regel zuvor auf Korrektheit für den IDP Ihrer Einrichtung. Insbesondere muss die „attributeID“ des jeweiligen hier gelisteten Attributs mit der ID der Definition des standardisierten Attributs im Attribute Resolver Ihres Identity Providers (attribute-resolver.xml) übereinstimmen.
Bitte benachrichtigen Sie uns nach der Freischaltung unter
Sie können die Freischaltung und die Attributübermittlung auf dieser Seite testen.