Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:checklist [2021/03/01 10:51] – Silke Meyer | de:checklist [2023/03/27 10:53] – [Föderationen] Hinweis zu Betrieb v. Test-IdP in DFN-AAI-Test entfernt Silke Meyer | ||
---|---|---|---|
Zeile 8: | Zeile 8: | ||
Die Zugangsdaten werden dann jeweils direkt an die neuen Metadaten-Admins gesendet. | Die Zugangsdaten werden dann jeweils direkt an die neuen Metadaten-Admins gesendet. | ||
</ | </ | ||
+ | |||
+ | ===== Allgemeines ===== | ||
Beachten Sie bitte auch die aktuell gültige Fassung des [[de: | Beachten Sie bitte auch die aktuell gültige Fassung des [[de: | ||
Zeile 13: | Zeile 15: | ||
Bitte beherzigen Sie die Punkte dieser Checkliste, bevor Sie Ihren neuen IdP/SP in die Produktivföderation aufnehmen, bevor Sie also diesen Radio-Button klicken: | Bitte beherzigen Sie die Punkte dieser Checkliste, bevor Sie Ihren neuen IdP/SP in die Produktivföderation aufnehmen, bevor Sie also diesen Radio-Button klicken: | ||
- | {{: | + | {{: |
- | * Wenn beim Auslesen der Metadaten eines neuen IdP die Fehlermeldung **unable to open file** erscheint, dann liefert Ihr Webserver nicht die komplette Zertifikatskette aus. Bitte lesen Sie unter [[https:// | + | |
- | * Füllen Sie möglichst alle Felder aus. Wenn rote Warnungen auftauchen, beheben Sie sie zuerst. | + | * Füllen Sie möglichst alle Felder aus. Wenn Warnungen auftauchen, beheben Sie sie zuerst. |
* Verwenden Sie nur Hostnames bzw. URLs, die von außen auflösbar sind. Hausinterne Top-Level-Domains lassen sich nicht speichern. | * Verwenden Sie nur Hostnames bzw. URLs, die von außen auflösbar sind. Hausinterne Top-Level-Domains lassen sich nicht speichern. | ||
- | * Displayname: | ||
- | * Beschreibung: | ||
- | * Information URL: Website der Einrichtung, | ||
- | * **Privacy Statement URL**: Hinterlegen Sie hier den Link zu Ihrer **Datenschutzerklärung**. Das Feld ist **für Service Provider Pflicht**. Wenn Sie nur eine deutschsprachige Datenschutzerklärung haben, können Sie das Feld " | ||
- | * Die **Logos** werden im Discovery Service (Favicons der IdPs) bzw. in Loginmasken eingeblendet. Deshalb haben sie fest definierte Größen bzw. **Maximalgrößen**. Skalieren Sie Ihre Logos so, dass sie dort hineinpassen. Die Logos (groß) sind zwischen 64 und 240 Pixel breit und max. 180 Pixel hoch sein. Die Favicons (Logo klein) sind 16 mal 16 Pixel groß. Für Service Provider wird //kein// kleines Logo/ | ||
- | * Für jedes System werden mindestens 4 **Kontaktadressen** hinterlegt: Administrativer Kontakt, technischer Kontakt, Supportkontakt und Sicherheitskontakt. Grundsätzlich sollten hier Funktionsadressen angegeben werden, insbesondere beim Sicherheitskontakt (z.B. die Ihres CERTs). Wenn Ihre Einrichtung bzw. Firma nicht über eine solche Stelle verfügt, verwenden Sie die Adresse derjenigen, die bei Sicherheitsvorfällen ansprechbar sind. Achten Sie bitte darauf, dass die in der Metadatenverwaltung hinterlegten E-Mail-Adressen aktuell gehalten werden! | ||
- | * Halten Sie Ihr X.509-Zertifikat für die SAML-basierte Kommunikation bereit. Die vollständigen Informationen zu diesen Zertifikaten finden Sie hier: [[https:// | ||
- | * IdPs verwenden Zertifikate der DFN-PKI. | ||
- | * SPs dürfen DFN-PKI-Zertifikate (falls berechtigt), | ||
- | * Die SSL-Zertifikate dürfen eine **Gültigkeit von 39 Monaten** nicht überschreiten. | ||
- | * CA-Zertifikate, | ||
- | < | + | ===== Entity ID ===== |
- | openssl x509 -in example.org.crt.pem -noout -text | grep " | + | Ein eindeutiger String, der diese Entität weltweit von anderen Entitäten unterscheidet. Die Entity ID ist ein absoluter URL im https-Schema. Die teilnehmende Organisation gewährleistet, |
- | </ | + | |
- | | + | **Beispiele: |
+ | * IdP: https:// | ||
+ | * SP: https:// | ||
+ | |||
+ | **Bemerkungen: | ||
+ | |||
+ | **Achtung: Eine einmal vergebene Entity ID kann nicht mehr geändert werden!** Das Ändern der Entity ID in dieser Maske führt dazu, dass eine neue Entität mit denselben Metadaten angelegt wird. Die bestehende Entität bleibt unverändert erhalten und muss ggf. gelöscht werden. | ||
+ | |||
+ | ===== Displayname ===== | ||
+ | |||
+ | Das Element ''< | ||
+ | |||
+ | ===== Description ===== | ||
+ | |||
+ | Eine kurze Beschreibung des Providers für das öffentliche DFN-AAI-Verzeichnis und andere Dienste, die menschenlesbare Informationen aus Föderationsmetadaten extrahieren. Beispiel: " | ||
+ | |||
+ | ===== Information URL ===== | ||
+ | |||
+ | Ein Link zu einer Seite, die weitere Informationen zum Dienst bzw. bei IdPs zur Einrichtung enthält. | ||
+ | |||
+ | ===== Privacy Statement URL ===== | ||
+ | Ein Link zur Datenschutzerklärung des jeweiligen IdP oder SP. Das Feld ist **für Service Provider Pflicht**. Wenn Sie nur eine deutschsprachige Datenschutzerklärung haben, können Sie das Feld " | ||
+ | |||
+ | ===== Logo ===== | ||
+ | Link zu Logo und Favicon der Einrichtung bzw. des Dienstanbieters. Ein IdP-Favicon wird von den meisten Discovery Services bei der Einrichtungsauswahl angezeigt. Ein SP-Logo wird auf der Login-Seite des IdP eingeblendet. Für Service Provider wird *kein* Favicon benötigt. | ||
+ | Vorgaben und Empfehlungen: | ||
+ | * Neue Logos und Favicons müssen in die Metadatenverwaltung hochgeladen werden und werden von ihr ausgeliefert. Logos müssen 64 bis 240 Pixel breit und 48 bis 180 Pixel hoch sein. | ||
+ | * Favicons sollten eine Größe von 16 mal 16 Pixel haben | ||
+ | * Transparenter Hintergrund | ||
+ | Vgl. hierzu auch die Empfehlungen im [[https:// | ||
+ | |||
+ | ===== Helpdesk ===== | ||
+ | |||
+ | Kontaktinformationen wie E-Mail-Adresse und Telefonnummer ihres User-Helpdesks für das öffentliche DFN-AAI-Verzeichnis. | ||
+ | |||
+ | ===== Entity Category ===== | ||
+ | Zu Entity Attributes bzw. Entity Categories schauen Sie bitte [[de: | ||
+ | |||
+ | ===== Entity Category Support ===== | ||
+ | Anhand dieses Entity Attributs signalisiert ein Identity Provider, dass er grundsätzlich die in der entsprechenden Entity Category definierten Attribute an die betreffenden Service Provider überträgt. | ||
+ | |||
+ | ===== Kontakte ===== | ||
+ | |||
+ | Pro Entität sollten Kontaktadressen für folgende Funktionen angegeben werden (nach Möglichkeit keine persönlichen E-Mail-Adressen): | ||
+ | * administrativ: | ||
+ | * technisch: betriebliche Belange (z.B. für die Behebung technischer Störungen) | ||
+ | * support: Anlaufstelle für Endnutzer*innen | ||
+ | * security: Kontakt zur Meldung und Bearbeitung von Sicherheitsvorfällen, | ||
+ | |||
+ | ===== Scope ===== | ||
+ | |||
+ | Gültigkeitsbereich des IdP, meist die Domain der Einrichtung. SPs überprüfen die von einem IdP übermittelten ' | ||
+ | |||
+ | ===== Request Initiator ===== | ||
+ | URL zum Initialisieren eines Anmeldeprozesses beim SP. | ||
+ | |||
+ | ===== Discovery Response ===== | ||
+ | URL zum Starten des IdP-Discovery Mechanismus am SP. | ||
+ | |||
+ | ===== Zertifikate ===== | ||
+ | Hier tragen Sie das Zertifikat ein, das für die SAML-Kommunikation verwendet werden soll, im PEM-Format. Jeder IdP/SP muss ein Zertifikat **für Signierung und Verschlüsselung** der SAML-Kommunikation publizieren. Dafür kann dasselbe Zertifikat verwendet werden (leerer Verwendungszweck) oder auch zwei verschiedene (Verwendungszweck im Drop-Down-Menü auswählen). Ausführliche Informationen zu Zertifikaten, | ||
+ | |||
+ | Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil " | ||
< | < | ||
- | openssl x509 -in example.org.crt.pem -noout -text | grep -A 1 " | + | openssl x509 -in sp.example.org.crt.pem -noout -text | grep -A 1 " |
X509v3 Extended Key Usage: | X509v3 Extended Key Usage: | ||
TLS Web Client Authentication, | TLS Web Client Authentication, | ||
</ | </ | ||
+ | |||
+ | ===== Single Logout Services ===== | ||
+ | |||
+ | Identity und Service Provider mit Single Logout-Unterstützung müssen hier die entsprechenden Endpunkte publizieren. | ||
+ | |||
+ | Beispiel-Endpunkte für Shibboleth-IdPs:< | ||
+ | urn: | ||
+ | |||
+ | https:// | ||
+ | urn: | ||
+ | |||
+ | https:// | ||
+ | urn: | ||
+ | |||
+ | https:// | ||
+ | urn: | ||
+ | |||
+ | Beispiel-Endpunkte für Shibboleth-SPs:< | ||
+ | urn: | ||
+ | |||
+ | https:// | ||
+ | urn: | ||
+ | |||
+ | https:// | ||
+ | urn: | ||
+ | |||
+ | https:// | ||
+ | urn: | ||
+ | |||
+ | ===== Assertion Consumer Services ===== | ||
+ | |||
+ | Die Endpunkte, an denen der Service Provider SAML-Assertions entgegennimmt. Beispiele:< | ||
+ | Binding: urn: | ||
+ | Index: 1</ | ||
+ | Binding: urn: | ||
+ | Index: 2</ | ||
+ | Binding: urn: | ||
+ | Index: 3</ | ||
+ | Binding: urn: | ||
+ | Index: 4</ | ||
+ | |||
+ | ==== Attribute Consuming Service ===== | ||
+ | Liste der Attribute, die der Service Provider entgegennimmt. | ||
+ | |||
+ | ===== Artifact Resolution Service ===== | ||
+ | Beispiel:< | ||
+ | Binding: urn: | ||
+ | Index: 1</ | ||
+ | |||
+ | ===== Single Sign On Services ===== | ||
+ | |||
+ | Single Sign On-Endpunkte eines IdPs. Beispiele:< | ||
+ | Binding: urn: | ||
+ | Location: https:// | ||
+ | Binding: urn: | ||
+ | Location: https:// | ||
+ | Binding: urn: | ||
+ | |||
+ | ===== Attribute Services ===== | ||
+ | IdP-Endpunkte für Attribute Queries über SOAP-Requests. Beispiel:< | ||
+ | Location: https:// | ||
+ | Binding: urn: | ||
+ | |||
+ | ===== NameID-Formate ===== | ||
+ | Die NameID-Formate, | ||
+ | |||
+ | ===== Föderationen ===== | ||
+ | |||
+ | Hier erfolgt die Zuordnung, in welche Umgebung(en) der IdP/SP aufgenommen werden soll. Dabei gilt: | ||
+ | * Die Zulassung für die Testföderation und die lokalen Metadaten erfolgt automatisch. | ||
+ | * Für die DFN-AAI Produktivföderation erfolgt die Freischaltung nach eingehender Prüfung durch das DFN-AAI Team. Die Freischaltung erfolgt in der Regel am nächsten Werktag, es sei denn, für diese Entität werden in der Verwaltungsoberfläche noch Fehler angezeigt. Diese **Fehler müssen zuvor behoben werden!** | ||
+ | * In die internationale Föderation eduGAIN können Sie ein IdP/SP erst aufnehmen, wenn er in DFN-AAI aufgenommen wurde. | ||
+ | * Hinweise zu den DFN-AAI-Policies finden sich hier im AAI-Wiki. Bei Fragen wenden Sie sich an die AAI-Hotline. | ||
+ | |||
+ | Weiterhin ist Folgendes zu beachten: | ||
+ | |||
+ | IdP: | ||
+ | * Zusätzlich zur DFN-AAI Produktivföderation kann ein IdP in der DFN-AAI-Testföderation und den lokalen Metadaten angemeldet sein. | ||
+ | |||
+ | SP: | ||
+ | * Zusätzlich zur DFN-AAI Produktivföderation kann der SP auch in der DFN-AAI-Testföderation angemeldet sein (für einen produktiv-SP aber nicht empfohlen, um Logins über Test-IdPs unmöglich zu machen). | ||
+ | * Der Punkt " | ||
+ | |||
* Nehmen Sie Ihr System in die **Testföderation** DFN-AAI-Test auf. Nutzen Sie unsere [[de: | * Nehmen Sie Ihr System in die **Testföderation** DFN-AAI-Test auf. Nutzen Sie unsere [[de: | ||
- | {{: | ||
- | * Wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation. | ||
- | {{: | + | {{: |
+ | |||
+ | |||
+ | * Erst, wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation. | ||
+ | |||
+ | {{: | ||