====== OIDC und DFN-AAI: Besprechung am 29.3.2023 ======

**Thema:** Was kann/soll seitens der DFN-AAI-Metadatenverwaltung (MDV) getan werden, um OIDC zu unterstützen, bevor die Spezifikation für [[https://openid.net/specs/openid-connect-federation-1_0.html|OIDC Federation]] endgültig verabschiedet wird?

[[https://shibboleth.atlassian.net/wiki/spaces/SC/pages/1912406916/OAuthRPMetadataProfile|Shibboleth-Workaround]]: XML-Metadaten-Lösung, um RPs/Clients beim Shib-OP zu registrieren
  * die selben föderationsrelevanten MD-Felder: MDUI Info, Contacts, ...
  * nicht alle im Original-JSON vorgesehenen Felder in XML übernommen, u.a. URL für Backchannel-Logout
  * in Föderationsmetadaten sollte kein shared Client Secret publiziert werden 
  * welcher Client kann mit x509-Zertifikaten umgehen? 
    * mindestens Apache Modul
  * asymmetrische Verschlüsselung über Metadaten (Zertifikate)
    * Clients, die das nicht können: shared Secret müsste außerhalb der MDV verwaltet und ausgetauscht werden
    * Wie könnte die MDV die Verteilung der shared Secrets ermöglichen/unterstützen?
  * Single Page Applications unterstützen nicht den Client Secret-Mechanismus, sondern arbeiten über PKCE
  * Gefühlt die Hälfte aller OIDC-Clients unterstützt ausschließlich PKCE   
  * Idee: Shared Secrets mit public Keys der IdPs verschlüsseln? 
    * Mehrere Keys in Metadaten sind möglich  
    * Steffen redet mit Henri

Early Adopter - welche Anwendungen kommen überhaupt für eine Anbindung an die DFN-AAI in Frage?
  * Beispiele aus Helmholtz AAI oder GWDG?