DFN-AAI - Authentifikations- und Autorisierungs-Infrastruktur

Die DFN-AAI-Föderation ist ein Dienst des DFN-Vereins für wissenschaftliche Einrichtungen (Universitäten, Institute) und Anbieter (kommerziell und nicht kommerziell). Sie schafft das notwendige Vertrauensverhältnis sowie einen organisatorischen und technischen Rahmen für den Austausch von Benutzerinformationen zwischen Einrichtungen und Anbietern. Anwendungen, welche die DFN-AAI nutzen sind z.B. Recherche-Datenbanken, Grid-Computing (z.B. D-Grid), Portale (z.B. ReDI), DFG-Nationallizenzen, Verwaltungssysteme, e-Science und e-Learning-Systeme.

Zu den Hauptaufgaben der DFN-AAI zählen der technische Betrieb (Lokalisierungsdienst, Testumgebung, Web-Portal mit Informationen), das Erstellen von Richtlinien für die Mitgliedschaft, Vertragsgestaltung und -abschluss und Schulungen. Die DFN-AAI übernimmt keine Lizenzverträge zwischen Einrichtungen und Anbietern, dies erfolgt in der Regel über Konsortien oder bilateral zwischen den Einrichtungen und den Anbietern. Die DFN-AAI wurde in Zusammenarbeit mit der Albert-Ludwigs-Universität Freiburg ab Januar 2006 aufgebaut und ist seit Oktober 2007 offiziell in Betrieb.

Wichtig: DFN-AAI und das Ende der Generation 1 der DFN-PKI

Bitte beachten Sie, dass am 9. Juli 2019 (um 23:59 UTC bzw. am 10. Juli um 1:59 CEST) die erste Generation der DFN-PKI-Zertifikate abläuft! Bereits ab dem 23. Mai 2019 werden die Föderationsmetadaten ausschließlich mit der Zertifikatskette der 2. Generation signiert.

Die entsprechende Ankündigung im PKI-Blog finden Sie hier.

Für die Teilnahme an der DFN-AAI ist das Ablaufen der G1-Zertifikate an folgenden Stellen relevant:

Konfiguration der SAML-basierten Kommunikation am IdP bzw. SP

Prüfen Sie bitte die Zertifikate, die Ihre IdPs und SPs verwenden, um miteinander über SAML zu kommunizieren. Hier finden Sie Konfigurationsbeispiele für Shibboleth IdP bzw. SP.

Denken Sie daran, diese Zertifikate auch rechtzeitig in der in den Föderationsmetadaten zu veröffentlichen! Die betroffenen Metadatensätze sollten mindestens 24 Stunden vor dem eigentlichen Zertifikatswechsel ergänzt werden. Lesen Sie hier mehr zum Zertifikatswechsel.

Ob Ihr IdP oder Ihre SPs betroffen sind, können Sie in dieser Liste nachsehen, die täglich um 11:30 Uhr aktualisiert wird. Sollten Sie noch Zertifikate der ersten Generation verwenden, planen Sie bitte rechtzeitig die entsprechenden Zertifikatswechsel ein, um den reibungslosen Weiterbetrieb Ihrer IdPs und SPs zu gewährleisten.

Signaturvalidierung der Föderationsmetadaten am IdP bzw. SP

Die Föderationsmetadaten werden bereits ab dem 23. Mai 2019 ausschließlich mit einem Schlüssel unterschrieben, der zu einem Zertifikat der 2. Generation gehört. Bitte prüfen Sie daher, ob die Signaturvalidierung auf Ihren IdPs/SPs auf die zweite Generation eingestellt ist. Die URLs zum Download der Föderationsmetadaten und des Zertifikats zur Signaturvalidierung sowie der SHA-256-Fingerprint des G2-Zertifikates sind unter https://wiki.aai.dfn.de/de:metadata dokumentiert. Hier finden Sie Konfigurationsbeispiele für die korrekte Validierung der Metadaten an IdP bzw. SP. Für lokale Metadaten finden sich ebenfalls Beispiele im Wiki.

Die Föderationsmetadaten gelten stets für 5 Tage. Sollten Sie am Dienstag, dem 28. Mai Validierungsprobleme bemerken, überprüfen Sie bitte zunächst Ihre Konfiguration.

Anbindung des Nutzerverzeichnisses

Wenn Sie auch an Ihrem Nutzerverzeichnis ein Zertifikat der DFN-PKI im Einsatz haben, prüfen Sie bitte, ob es ebenfalls aktualisiert werden muss (Dokumentation).

Webserver-Konfiguration

Darüber hinaus kann auch Ihre Webserver-Konfiguration betroffen sein. Bitte achten Sie hier insbesondere auf die korrekte Konfiguration der Zertifikatskette! In unserem Wiki finden Sie Informationen zur Webserver-Konfiguration bzw. zur Konfiguration der Zertifikatskette.

Bei Fragen wenden Sie sich bitte an hotline@aai.dfn.de.

Obacht: IdPs und SPs mit abgelaufenen Zertifikaten werden wie immer automatisch aus der DFN-AAI entfernt.