Technische Informationen zum SSO
Anbindung von Anwendungen - SAML

Zur Anbindung eines SAML 2.0 Service Providers benötigen wir von Ihnen die folgenden Informationen:

  • EntityID
  • Metadaten im XML-Format
  • TU-ID einer Ansprechperson
  • Evtl. Funktions-Kontaktadresse
  • Freizugebende Attribute

Bekannte Software

Einige Softwarelösungen haben die SAML-Funktionalität fest eingebaut.

Darüber hinaus kann man auch bestehende Software über die Konfiguration des Webservers mit SAML Authentifizierung erweitern.

Dazu wurden bereits erfolgreich Service Provider (SP) auf Basis der folgenden Software an unseren Identity Provider (IdP) angebunden:

Shibboleth Service Provider

SimpleSAMLphp

Techniche Informationen des IdP

Wir veröffentlichen die jeweils gültigen Metadaten des IdP in den lokalen Metadaten des DFN. Sie finden diese unter https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-local-312-metadata.xml. Diese URL können Sie auch in ihrem SP eintragen.

Die SAML Kommunikation ist über ein selbstsigniertes Zertifikat nochmals abgesichert. Dieses kann in den Metadaten gefunden werden.

Die EntityID des IdP ist wie folgt:

  • Produktion: https://idp.hrz.tu-darmstadt.de/idp/shibboleth
  • Testumgebung: https://idp-test.hrz.tu-darmstadt.de/idp/shibboleth

Technische Anforderungen

Zum Anschluss eines SAML-SP an unseren IdP muss der SP die folgenden Anforderungen erfüllen.

  • Die EntityID muss mit https://<hostname>/ beginnen.
  • <hostname> muss ein global auflösbarer Hostname sein.
  • In der Test-Umgebung darf <hostname> auch auf „.tu-darmstadt.de.test“ enden.

Der SP muss nicht zwangsläufig vom IdP aus netzwerktechnisch erreichbar sein. In manchen Fällen kann es sogar sinnvoll sein, dass der SP beispielsweise durch eine Firewall abgesichert ist. Dennoch erleichtert eine Erreichbarkeit die Tests erheblich.

Wir empfehlen, selbstsignierte Zertifikate zur Absicherung der SAML-Kommunikation zu verwenden. Die Zertifikate dürfen eine maximale Gültigkeit von drei Jahren haben.

Wir empfehlen, die Metadaten über HTTPS verfügbar zu machen, sodass wir sie dynamisch einbinden können. Dadurch können Sie den Zertifikatswechsel eigenständig durchführen.

Sollte dies beispielsweise aus Firewall-Gründen nicht möglich sein, können Sie uns die Metadaten auch per E-Mail zukommen lassen. Wir werden sie dann direkt einbinden. Bitte beachten Sie jedoch, dass in diesem Fall auch alle Änderungen an den Metadaten auf demselben manuellen Weg erfolgen müssen.