Technische Informationen zum SSO
Anbindung von Anwendungen - SAML

Zur Anbindung eines SAML 2.0 Service Providers benötigen wir von Ihnen die folgenden Informationen:

  • EntityID
  • Metadaten im XML-Format
  • TU-ID einer Ansprechperson
  • Evtl. Funktions-Kontaktadresse
  • Freizugebende Attribute

Bekannte Software

Einige Software hat die SAML-Funktionalität fest eingebaut.

Darüber hinaus kann man auch bestehende Software über die Konfiguration des Webservers mit SAML Authentizierung erweitern.

Dazu wurden schon erfolgreich SP auf Basis der folgenden Software an unseren IdP angebunden:

Shibboleth Service Provider

SimpleSAMLphp

Techniche Informationen des IdP

Wir veröffentlichen die jeweils gültigen Metadaten des IdP in den lokalen Metadaten des DFN. Sie finden diese unter https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-312-metadata.xml. Diese URL können Sie auch in ihrem SP eintragen.

Die SAML Kommunikation ist über ein selbsigniertes Zertifikat nochmals abgesichert.

Die EntityID des IdP ist wie folgt:

  • Produktion: https://idp.hrz.tu-darmstadt.de/idp/shibboleth
  • Entwicklung: https://idp-dev.hrz.tu-darmstadt.de/idp/shibboleth

Technische Anforderungen

Zum Anschluss eines SAML-SP an unseren IdP muss der SP die folgenden Anforderungen erfüllen.

  • Die EntityID muss mit https://<hostname>/ beginnen.
  • <hostname> muss ein global auflößbarer Hostname sein.
  • In der Test-Umgebung darf <hostname> auch auf „.tu-darmstadt.de.test“ enden.

Der SP muss nicht zwangsläufig vom IdP netzwerktechnisch erreichbar sein. In manchen Fällen kann es durchaus sinnvoll sein, dass der SP z.B. durch eine Firewall abgesichert ist. Dennoch macht es das Testen durchaus einfacher.

Wir empfehlen selbst signierte Zertifikate zur Absicherung der SAML-Kommunikation zu verwenden. Die Zertifikate dürfen maximal 3 Jahre gültig sein.

Wir empfehlen, die Metadaten über https verfügbar zu machen sodass wir diese dynamisch einbinden können. Das ermöglicht Ihnen den Zertifikatswechsel selbständig durchzuführen.
Sollte das, z.B. aus Firewall-gründen, nicht möglich sein, können Sie uns die Metadaten auch per Mail zukommen lassen. Wir werden sie dann direkt einbinden. Bitte beachten Sie aber, dass dann auch alle Änderungen dieser Metadaten diesen manuellen Weg gehen müssen.