BundID-Integration HISinOne 2025.12

Phase 1

Vorbereitung & Zertifikate

0/7

Erstellung und Import des Schlüsselpaars sowie des BundID-IDP-Zertifikats im HISinOne-Zertifikatsspeicher. → HIS-Wiki: Zertifikatsspeicher

Zertifikatsspeicher anlegen Funktion (Admin) → Zertifikatsspeicher verwalten → Neu anlegen

Admin

Schlüsselpaar erzeugen Algorithmus: RSA · Felder vollständig ausfüllen (Organisation, CN, etc.)

Admin Technisch

BundID-IDP-Zertifikat abrufen Von int.id.bund.de/idp (XML-Metadaten) → Zertifikatsschlüssel zwischen <ds:X509Certificate> Tags kopieren

Achtung: Sonderfall

Zertifikat über samltool.com formatieren Schlüssel in samltool.com/format_x509cert.php einfügen → „Format X.509 Certificate" → Version mit Header kopieren

Achtung: Sonderfall

Zertifikat als .crt-Datei speichern Formatierten Schlüssel inkl. Header im Texteditor speichern mit Endung .crt

Achtung: Sonderfall

BundID-Zertifikat im Zertifikatsspeicher anhängen Grün markiertes Symbol im Zertifikatsspeicher → .crt-Datei auswählen → Hinzufügen

Admin

Zertifikat umgespeichert? (Pflicht!) Das öffentliche IDP-Zertifikat des ITZ-Bund muss vor dem Einbinden umgespeichert werden — sonst schlägt der Import fehl

Kritisch

Erfolgskriterium: Im Zertifikatsspeicher sind Schlüsselpaar und BundID-IDP-Zertifikat sichtbar und gültig (kein Fehlersymbol). Das Ablaufdatum liegt in der Zukunft.

Phase 2

Identity Provider konfigurieren

0/9

Einrichtung des SAML-2.0-basierten Identity Providers in HISinOne inkl. SAML-Extensions (erforderlich seit August 2024). → HIS-Wiki: IdP konfigurieren

Neue IdP-Konfiguration anlegen Funktion (Admin) → Identity Provider konfigurieren → Neue Konfiguration anlegen

Admin

Basisdaten eingeben & Services aktivieren Name, Beschreibung eingeben; gewünschte Services anhaken (Login, Selbstregistrierung, Account-Verknüpfung)

Admin

Speichern → Tab „Konfiguration" öffnen Nach dem Speichern erscheint der Konfigurations-Tab — erst dort kann Protokolltyp gesetzt werden

Admin

Protokolltyp auf SAML setzen Im Tab Konfiguration: Protokolltyp → SAML 2.0 auswählen

Technisch

SAML-Parameter konfigurieren Entity-ID, SSO-URL (Umgebung beachten), Zertifikat aus Phase 1 zuordnen

Technisch

SAML-Extension: Login hinzufügen Typ: SAML-Extension · Name: Login · Wert: gemäß HIS-Wiki Authentifizierungsmethoden · Service: Login

Neu ab Aug 2024 Pflicht

SAML-Extension: Account-Verknüpfung hinzufügen Typ: SAML-Extension · Name: Verknüpfung · Wert: gemäß HIS-Wiki · Service: Account-Verknüpfung

Neu ab Aug 2024 Pflicht

SAML-Extension: Selbstregistrierung hinzufügen Typ: SAML-Extension · Name: Selbstregistrierung · Wert: gemäß HIS-Wiki · Service: Selbstregistrierung

Neu ab Aug 2024 Pflicht

IdP-Konfiguration speichern & prüfen Alle Parameter gespeichert; keine Fehlermeldung; SAML-Extensions sichtbar in der Liste

Admin

Erfolgskriterium: Der IdP erscheint in der Liste mit Status „Aktiv". Alle drei SAML-Extensions (Login, Verknüpfung, Selbstregistrierung) sind konfiguriert. Kein Warnhinweis in der Übersicht.

Phase 3

Globale Konfiguration

0/5

Domain-Einstellungen prüfen und BundID-IdP in der globalen PSV-Konfiguration aktivieren. → HIS-Wiki: Globale Konfiguration

Globale Konfiguration öffnen Funktion (Admin) → Globale Konfiguration bearbeiten

Admin

Trusted Domain prüfen Parameter core.sys.domain.current_trusted_domain → auf korrekte Produktiv-URL prüfen und ggf. anpassen

Technisch

BundID-IdP für Selbstregistrierung aktivieren Parameter core.psv.selfregistration.availableidentityproviders → neu konfigurierten IdP auswählen und in Konfigurationsquelle aktiv schalten

Admin

eID-Stammdaten-Portlets aktivieren (optional) Portlets für Einwilligungsstatus und gespeicherte BundID-Stammdaten in HISinOne einblenden (vgl. Uni Freiburg FAQ)

Optional

Konfiguration speichern Alle Änderungen in der globalen Konfiguration speichern; Neustart oder Cache-Clear ggf. erforderlich

Admin

Erfolgskriterium: current_trusted_domain zeigt die korrekte Domain. BundID-IdP ist in der Liste verfügbarer Identity Provider für die Selbstregistrierung sichtbar und aktiv.

Phase 4

Metadaten-Upload (SSP)

0/7

Hochladen der HISinOne-SP-Metadaten im Self-Service-Portal der BundID (SSP). Achtung: Aktivierung erfolgt immer dienstags. → SSP BundID: Leitfaden & Downloads

SSP BundID aufrufen ssp.id.bund.de im Browser öffnen

Extern

Login / Registrierung im SSP Bei Erstnutzung: Konto registrieren; danach anmelden

Extern

Leistungen → „Upload und Aktualisierung der Metadaten" Im SSP-Menü die entsprechende Leistung aufrufen

Extern

Metadaten-Maske ausfüllen Entity-ID, Assertion Consumer Service URL und weitere SP-Metadaten aus HISinOne eintragen

Extern

X.509-Zertifikat einfügen (Signing + Encryption) Hochschulzertifikat aus dem HISinOne-Zertifikatsspeicher kopieren → primär signing und encryption eintragen

Extern Technisch

Metadaten absenden Formular absenden → Bestätigung durch SSP abwarten

Extern

Wartezeit: Aktivierung bis nächsten Dienstag Die BundID-Infrastruktur aktiviert neue SP-Metadaten ausschließlich dienstags. Einplanung erforderlich!

Timing

Erfolgskriterium: SSP bestätigt erfolgreichen Upload. Nach der Dienstags-Aktivierung sind die SP-Metadaten in der BundID-Infrastruktur registriert und der Dienst antwortet auf SAML-Anfragen.

Phase 5

Test & Verifikation

0/5

Funktionstest der kompletten Integration auf der Testumgebung vor dem Produktivgang. → HIS-Wiki: Testen

Testaccount auf Integrationsumgebung erstellen Testnutzer auf int.id.bund.de anlegen (Benutzername/Passwort für einfache Tests)

Test

Login-Flow testen HISinOne Login → „Mit BundID anmelden" → Weiterleitung zur Testumgebung → erfolgreiche Authentifizierung → Rückkehr zu HISinOne

Test

Selbstregistrierungs-Flow testen Neues Konto über BundID anlegen → Stammdaten-Übernahme prüfen

Test

Account-Verknüpfung testen Bestehendes HISinOne-Konto mit BundID-Konto verknüpfen → Einwilligungsstatus prüfen

Test

eID-Test mit AusweisApp2 (hohes Vertrauensniveau) Test mit eID-Testdaten vom ITZ-Bund (Anforderung erforderlich); AusweisApp2 und Testausweiskarte benötigt

Test Optional

Erfolgskriterium: Login, Selbstregistrierung und Account-Verknüpfung funktionieren fehlerfrei auf der Testumgebung. SAML-Assertions enthalten die erwarteten Attribute. Keine SSL/TLS-Fehler in den Logs.

Phase 6

Produktivgang

0/3

Abschlussarbeiten für den Produktivbetrieb: Umgebungsumschaltung, finale Metadaten und Monitoring.

Umgebung auf Produktiv umschalten IdP-URL von int.id.bund.de auf id.bund.de ändern; Produktiv-Zertifikat einbinden

Kritisch

Produktiv-Metadaten im SSP hochladen Erneuter Upload im SSP mit Produktiv-Zertifikat; Dienstags-Aktivierung einplanen

Extern Timing

Monitoring & Zertifikats-Ablauf überwachen PRTG oder ähnliches Monitoring für Zertifikatsablauf und SAML-Endpoint-Verfügbarkeit einrichten

Betrieb

Gesamterfolg: Alle 36 Schritte abgehakt. BundID-Login auf der Produktivumgebung funktioniert. Nutzer können sich mit BundID (Basisregistrierung bis eID-Vertrauensniveau „hoch") an HISinOne authentifizieren.

HIS-Wiki: Vollständige Dokumentation SSP BundID Portal ITZBund (Betreiber)

BundID-IntegrationSchritt für Schritt

Vorbereitung & Zertifikate

Identity Provider konfigurieren

Globale Konfiguration

Metadaten-Upload (SSP)

Test & Verifikation

Produktivgang

BundID-Integration
Schritt für Schritt