Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:checklist [2022/04/05 12:37] – Überarbeitet und ergänzt Silke Meyer
+++ de:checklist [2023/04/26 14:01] (aktuell) – [Zertifikate] typo Silke Meyer
@@ Zeile 15: / Zeile 15: @@
 Bitte beherzigen Sie die Punkte dieser Checkliste, bevor Sie Ihren neuen IdP/SP in die Produktivföderation aufnehmen, bevor Sie also diesen Radio-Button klicken:
-{{:de:metadata_admin_tool:keine-foederation.png?600|}}
+{{:de:metadata_admin_tool:keine-foederation-neuemdv.png?800|}}
-  * Wenn beim Auslesen der Metadaten eines neuen IdP die Fehlermeldung **unable to open file** erscheint, dann liefert Ihr Webserver nicht die komplette Zertifikatskette aus. Bitte lesen Sie unter [[https://doku.tid.dfn.de/de:certificates#einrichtung_der_vollstaendigen_zertifikatskette_auf_dem_webserver | Einrichtung der vollständigen Zertifikatskette auf dem Webserver]] nach und korrigieren Sie dies zunächst.
-  * Füllen Sie möglichst alle Felder aus. Wenn rote Warnungen auftauchen, beheben Sie sie zuerst.
+  * Füllen Sie möglichst alle Felder aus. Wenn Warnungen auftauchen, beheben Sie sie zuerst.
   * Verwenden Sie nur Hostnames bzw. URLs, die von außen auflösbar sind. Hausinterne Top-Level-Domains lassen sich nicht speichern.
@@ Zeile 27: / Zeile 27: @@
   * IdP: https://idp.example.org/idp/shibboleth
   * SP: https://sp.example.org/shibboleth
-  *
 **Bemerkungen:** Die Entity ID findet sich bei Shibboleth IdPs in der Datei ''./conf/idp.properties'', bei Shibboleth SPs in der Datei ''/etc/shibboleth/shibboleth2.xml''.
-**Achtung: Eine einmal vergebene Entity ID kann nicht mehr geändert werden!** Das Ändern der Entity ID in dieser Maske führt vielmehr dazu, dass eine neue Entität mit denselben Metadaten angelegt wird. Die bestehende Entität bleibt hierbei unverändert erhalten und muss ggf. gelöscht werden.
+**Achtung: Eine einmal vergebene Entity ID kann nicht mehr geändert werden!** Das Ändern der Entity ID in dieser Maske führt dazu, dass eine neue Entität mit denselben Metadaten angelegt wird. Die bestehende Entität bleibt unverändert erhalten und muss ggf. gelöscht werden.
 ===== Displayname =====
@@ Zeile 84: / Zeile 84: @@
 ===== Zertifikate =====
-Hier tragen Sie das Zertifikat ein, das für die SAML-Kommunikation verwendet werden soll, im PEM-Format. Ausführliche Informationen zu Zertifikaten, Zertifikatstausch und Zertifikatskette sind auf der Seite [[de:certificates|Zertiftikate]].
+Hier tragen Sie das Zertifikat ein, das für die SAML-Kommunikation verwendet werden soll, im PEM-Format. Jeder IdP/SP muss ein Zertifikat **für Signierung und Verschlüsselung** der SAML-Kommunikation publizieren. Dafür kann dasselbe Zertifikat verwendet werden (leerer Verwendungszweck) oder auch zwei verschiedene (Verwendungszweck im Drop-Down-Menü auswählen). Ausführliche Informationen zu Zertifikaten, Zertifikatstausch und Zertifikatskette sind auf der Seite [[de:certificates|Zertifikate]].
-  * Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil "Shibboleth-IdP/-SP" dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|Dokumentation unserer Schweizer Kolleg*innen]] orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type="Query"> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:
+Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil "Shibboleth-IdP/-SP" dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|Dokumentation unserer Schweizer Kolleg*innen]] orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type="Query"> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:
 <code>
@@ Zeile 124: / Zeile 124: @@
 ===== Assertion Consumer Services =====
-Die Endpunkte, an denen ein Service Provider SAML-Assertions entgegennimmt. Beispiele:<code>Location: https://sp.example.org:8443/Shibboleth.sso/SAML2/POST
+Die Endpunkte, an denen der Service Provider SAML-Assertions entgegennimmt. Beispiele:<code>Location: https://sp.example.org:8443/Shibboleth.sso/SAML2/POST
 Binding: urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
 Index: 1</code><code>Location: https://sp.example.org:8443/Shibboleth.sso/SAML2/POST-SimpleSign
@@ Zeile 135: / Zeile 135: @@
 ==== Attribute Consuming Service =====
-Liste der Attribute, die ein Service Provider entgegennimmt.
+Liste der Attribute, die der Service Provider entgegennimmt.
 ===== Artifact Resolution Service =====
@@ Zeile 149: / Zeile 149: @@
 Binding: urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-Simple-Sign
 Location: https://idp.example.org/idp/profile/SAML2/Redirect/SSO
-Binding: urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
+Binding: urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect</code>
 ===== Attribute Services =====
@@ Zeile 163: / Zeile 163: @@
 Hier erfolgt die Zuordnung, in welche Umgebung(en) der IdP/SP aufgenommen werden soll. Dabei gilt:
   * Die Zulassung für die Testföderation und die lokalen Metadaten erfolgt automatisch.
-  * Für DFN-AAI bzw. DFN-AAI-Basic erfolgt die Freischaltung nach eingehender Prüfung durch das DFN-AAI Team. Die Freischaltung erfolgt in der Regel am nächsten Werktag, es sei denn, für diese Entität werden in der Verwaltungsoberfläche noch Fehler angezeigt. Diese **Fehler müssen zuvor behoben werden!**
+  * Für die DFN-AAI Produktivföderation erfolgt die Freischaltung nach eingehender Prüfung durch das DFN-AAI Team. Die Freischaltung erfolgt in der Regel am nächsten Werktag, es sei denn, für diese Entität werden in der Verwaltungsoberfläche noch Fehler angezeigt. Diese **Fehler müssen zuvor behoben werden!**
-  * In die internationale Föderation eduGAIN können Sie ein IdP/SP erst aufnehmen, wenn er in DFN-AAI oder DFN-Basic aufgenommen wurde.
+  * In die internationale Föderation eduGAIN können Sie ein IdP/SP erst aufnehmen, wenn er in DFN-AAI aufgenommen wurde.
   * Hinweise zu den DFN-AAI-Policies finden sich hier im AAI-Wiki. Bei Fragen wenden Sie sich an die AAI-Hotline.
-Hinsichtlich der [[de:degrees_of_reliance|Verlässlichkeitsklassen]] ist Folgendes zu beachten:
+Weiterhin ist Folgendes zu beachten:
 IdP:
-  * Geben Sie an, ob die Kriterien der Verlässlichkeitsklasse DFN-AAI oder DFN-AAI-Basic erfüllt sind.
+  * Zusätzlich zur DFN-AAI Produktivföderation kann ein IdP in der DFN-AAI-Testföderation und den lokalen Metadaten angemeldet sein.
-  * Zusätzlich kann ein IdP in der DFN-AAI-Testföderation und den lokalen Metadaten angemeldet sein. Von einem dauerhaften Verbleib in der Testföderation wird dringend abgeraten!
 SP:
-  * Legen Sie fest, welcher Verlässlichkeitsklasse ein IdP (!) mindestens angehören muss, damit die Nutzenden der betreffenden Einrichtung auf den SP zugreifen dürfen. Hierzu kann, DFN-AAI oder DFN-AAI-Basic ausgewählt werden. Bei ersterem haben nur Nutzende von IdPs Zugriff, welche die Kriterien der Verlässlichkeitsklasse "Advanced" erfüllen, bei letzterem zusätzlich auch Nutzende von IdPs, die nur die Klasse "Basic" erfüllen.
+  * Zusätzlich zur DFN-AAI Produktivföderation kann der SP auch in der DFN-AAI-Testföderation angemeldet sein (für einen produktiv-SP aber nicht empfohlen, um Logins über Test-IdPs unmöglich zu machen).
-  * Zusätzlich kann der SP auch in der DFN-AAI-Testföderation angemeldet sein (für einen produktiv-SP aber nicht empfohlen, um Logins über Test-IdPs unmöglich zu machen).
+  * Der Punkt "lokale Metadaten" kann nur ausgewählt werden, wenn DFN-AAI nicht gewählt ist. Diese Option ist nur für Einrichtungen verfügbar, die eine Dienstvereinbarung abgeschlossen und mindestens einen IdP registriert haben.
-  * Der Punkt "lokale Metadaten" kann nur ausgewählt werden, wenn DFN-AAI und DFN-AAI-Basic nicht gewählt sind. Diese Option ist nur für Einrichtungen verfügbar, die eine Dienstvereinbarung abgeschlossen und mindestens einen IdP registriert haben.
   * Nehmen Sie Ihr System in die **Testföderation** DFN-AAI-Test auf. Nutzen Sie unsere [[de:functionaltest|öffentlichen Testsysteme]], um zu schauen, ob erfolgreich Attribute übertragen werden.
-{{:de:metadata_admin_tool:test-de.png?600|}}
+{{:de:metadata_admin_tool:test-de-neuemdv.png?800|}}
   * Erst, wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation.
-{{:de:metadata_admin_tool:in-bearbeitung.png?600|}}
+{{:de:metadata_admin_tool:in-bearbeitung-neue-mdv.png?600|}}
-{{tag>mdvdoku}}