Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:checklist [2022/04/05 13:16] – [Entity ID] Typo Silke Meyer
+++ de:checklist [2022/11/17 14:28] – Infos zur alten MDV entfernt Silke Meyer
@@ Zeile 15: / Zeile 15: @@
 Bitte beherzigen Sie die Punkte dieser Checkliste, bevor Sie Ihren neuen IdP/SP in die Produktivföderation aufnehmen, bevor Sie also diesen Radio-Button klicken:
-{{:de:metadata_admin_tool:keine-foederation.png?600|}}
+{{:de:metadata_admin_tool:keine-foederation-neuemdv.png?800|}}
-  * Wenn beim Auslesen der Metadaten eines neuen IdP die Fehlermeldung **unable to open file** erscheint, dann liefert Ihr Webserver nicht die komplette Zertifikatskette aus. Bitte lesen Sie unter [[https://doku.tid.dfn.de/de:certificates#einrichtung_der_vollstaendigen_zertifikatskette_auf_dem_webserver | Einrichtung der vollständigen Zertifikatskette auf dem Webserver]] nach und korrigieren Sie dies zunächst.
-  * Füllen Sie möglichst alle Felder aus. Wenn rote Warnungen auftauchen, beheben Sie sie zuerst.
+  * Füllen Sie möglichst alle Felder aus. Wenn Warnungen auftauchen, beheben Sie sie zuerst.
   * Verwenden Sie nur Hostnames bzw. URLs, die von außen auflösbar sind. Hausinterne Top-Level-Domains lassen sich nicht speichern.
@@ Zeile 84: / Zeile 84: @@
 ===== Zertifikate =====
-Hier tragen Sie das Zertifikat ein, das für die SAML-Kommunikation verwendet werden soll, im PEM-Format. Ausführliche Informationen zu Zertifikaten, Zertifikatstausch und Zertifikatskette sind auf der Seite [[de:certificates|Zertiftikate]].
+Hier tragen Sie das Zertifikat ein, das für die SAML-Kommunikation verwendet werden soll, im PEM-Format. Jeder IdP/SP muss ein Zertifikat **für Signierung und Verschlüsselung** der SAML-Kommunikation publizieren. Dafür kann dasselbe Zertifikat verwendet werden (leerer Verwendungszweck) oder auch zwei verschiedene (Verwendungszweck im Drop-Down-Menü auswählen). Ausführliche Informationen zu Zertifikaten, Zertifikatstausch und Zertifikatskette sind auf der Seite [[de:certificates|Zertiftikate]].
-  * Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil "Shibboleth-IdP/-SP" dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|Dokumentation unserer Schweizer Kolleg*innen]] orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type="Query"> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:
+Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil "Shibboleth-IdP/-SP" dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|Dokumentation unserer Schweizer Kolleg*innen]] orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type="Query"> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:
 <code>
@@ Zeile 164: / Zeile 164: @@
   * Die Zulassung für die Testföderation und die lokalen Metadaten erfolgt automatisch.
   * Für DFN-AAI bzw. DFN-AAI-Basic erfolgt die Freischaltung nach eingehender Prüfung durch das DFN-AAI Team. Die Freischaltung erfolgt in der Regel am nächsten Werktag, es sei denn, für diese Entität werden in der Verwaltungsoberfläche noch Fehler angezeigt. Diese **Fehler müssen zuvor behoben werden!**
-  * In die internationale Föderation eduGAIN können Sie ein IdP/SP erst aufnehmen, wenn er in DFN-AAI oder DFN-Basic aufgenommen wurde.
+  * In die internationale Föderation eduGAIN können Sie ein IdP/SP erst aufnehmen, wenn er in DFN-AAI oder DFN-AAI-Basic aufgenommen wurde.
   * Hinweise zu den DFN-AAI-Policies finden sich hier im AAI-Wiki. Bei Fragen wenden Sie sich an die AAI-Hotline.
@@ Zeile 179: / Zeile 179: @@
   * Nehmen Sie Ihr System in die **Testföderation** DFN-AAI-Test auf. Nutzen Sie unsere [[de:functionaltest|öffentlichen Testsysteme]], um zu schauen, ob erfolgreich Attribute übertragen werden.
-{{:de:metadata_admin_tool:test-de.png?600|}}
+{{:de:metadata_admin_tool:test-de-neuemdv.png?800|}}
   * Erst, wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation.
-{{:de:metadata_admin_tool:in-bearbeitung.png?600|}}
+{{:de:metadata_admin_tool:in-bearbeitung-neue-mdv.png?600|}}
-{{tag>mdvdoku}}