Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:checklist [2022/05/23 16:55] – [Föderationen] Screenshot neue MDV Hinzufügen zu Test-Föd. Silke Meyerde:checklist [2022/11/17 14:25] – alte Version wiederhergestellt (2022/11/01 08:37) Silke Meyer
Zeile 22: Zeile 22:
  
  
-  * Wenn beim Auslesen der Metadaten eines neuen IdP die Fehlermeldung **unable to open file** erscheint, dann liefert Ihr Webserver nicht die komplette Zertifikatskette aus. Bitte lesen Sie unter [[https://doku.tid.dfn.de/de:certificates#einrichtung_der_vollstaendigen_zertifikatskette_auf_dem_webserver | Einrichtung der vollständigen Zertifikatskette auf dem Webserver]] nach und korrigieren Sie dies zunächst.+  * Nur in der alten Metadatenverwaltung: Wenn beim Auslesen der Metadaten eines neuen IdP die Fehlermeldung **unable to open file** erscheint, dann liefert Ihr Webserver nicht die komplette Zertifikatskette aus. Bitte lesen Sie unter [[https://doku.tid.dfn.de/de:certificates#einrichtung_der_vollstaendigen_zertifikatskette_auf_dem_webserver | Einrichtung der vollständigen Zertifikatskette auf dem Webserver]] nach und korrigieren Sie dies zunächst.
   * Füllen Sie möglichst alle Felder aus. Wenn rote Warnungen auftauchen, beheben Sie sie zuerst.   * Füllen Sie möglichst alle Felder aus. Wenn rote Warnungen auftauchen, beheben Sie sie zuerst.
   * Verwenden Sie nur Hostnames bzw. URLs, die von außen auflösbar sind. Hausinterne Top-Level-Domains lassen sich nicht speichern.   * Verwenden Sie nur Hostnames bzw. URLs, die von außen auflösbar sind. Hausinterne Top-Level-Domains lassen sich nicht speichern.
Zeile 89: Zeile 89:
  
 ===== Zertifikate ===== ===== Zertifikate =====
-Hier tragen Sie das Zertifikat ein, das für die SAML-Kommunikation verwendet werden soll, im PEM-Format. Ausführliche Informationen zu Zertifikaten, Zertifikatstausch und Zertifikatskette sind auf der Seite [[de:certificates|Zertiftikate]].+Hier tragen Sie das Zertifikat ein, das für die SAML-Kommunikation verwendet werden soll, im PEM-Format. Jeder IdP/SP muss ein Zertifikat **für Signierung und Verschlüsselung** der SAML-Kommunikation publizieren. Dafür kann dasselbe Zertifikat verwendet werden (leerer Verwendungszweck) oder auch zwei verschiedene (Verwendungszweck im Drop-Down-Menü auswählen). Ausführliche Informationen zu Zertifikaten, Zertifikatstausch und Zertifikatskette sind auf der Seite [[de:certificates|Zertiftikate]].
  
 Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil "Shibboleth-IdP/-SP" dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|Dokumentation unserer Schweizer Kolleg*innen]] orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type="Query"> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl: Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil "Shibboleth-IdP/-SP" dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|Dokumentation unserer Schweizer Kolleg*innen]] orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type="Query"> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:
Zeile 194: Zeile 194:
   * Erst, wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation.   * Erst, wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation.
  
 +**aktuelle/alte Metadatenverwaltung:**\\
 {{:de:metadata_admin_tool:in-bearbeitung.png?600|}} {{:de:metadata_admin_tool:in-bearbeitung.png?600|}}
 +
 +**zukünftige/neue Metadatenverwaltung:**\\
 +{{:de:metadata_admin_tool:in-bearbeitung-neue-mdv.png?600|}}
 +
  
 {{tag>mdvdoku}} {{tag>mdvdoku}}
  • Zuletzt geändert: vor 14 Monaten