Checkliste für das Ausfüllen der Metadaten

Bitte beherzigen Sie die Punkte dieser Checkliste, bevor Sie Ihren neuen IdP/SP in die Produktivföderation aufnehmen, bevor Sie also diesen Radio-Button klicken:

  • Wenn beim Auslesen der Metadaten eines neuen IdP die Fehlermeldung unable to open file erscheint, dann liefert Ihr Webserver nicht die komplette Zertifikatskette aus. Bitte lesen Sie unter Einrichtung der vollständigen Zertifikatskette auf dem Webserver nach und korrigieren Sie dies zunächst.
  • Füllen Sie möglichst alle Felder aus. Wenn rote Warnungen auftauchen, beheben Sie sie zuerst.
  • Verwenden Sie nur Hostnames bzw. URLs, die von außen auflösbar sind. Hausinterne Top-Level-Domains lassen sich nicht speichern.
  • Displayname: der Name Ihrer Einrichtung, Institution oder Firma
  • Beschreibung: Kurzbeschreibung, z.B. „Identity Provider der Universität XY“
  • Information URL: Website der Einrichtung, Institution oder Firma
  • Privacy Statement URL: Hinterlegen Sie hier den Link zu Ihrer Datenschutzerklärung. Das Feld ist für Service Provider Pflicht. Wenn Sie nur eine deutschsprachige Datenschutzerklärung haben, können Sie das Feld „Privacy Statement URL (englisch)“ leer lassen und umgekehrt.
  • Die Logos werden im Discovery Service (Favicons der IdPs) bzw. in Loginmasken eingeblendet. Deshalb haben sie fest definierte Größen bzw. Maximalgrößen. Skalieren Sie Ihre Logos so, dass sie dort hineinpassen. Die Logos (groß) sind zwischen 64 und 240 Pixel breit und max. 180 Pixel hoch sein. Die Favicons (Logo klein) sind 16 mal 16 Pixel groß. Für Service Provider wird kein kleines Logo/Favicon benötigt
  • Für jedes System werden mindestens 4 Kontaktadressen hinterlegt: Administrativer Kontakt, technischer Kontakt, Supportkontakt und Sicherheitskontakt. Grundsätzlich sollten hier Funktionsadressen angegeben werden, insbesondere beim Sicherheitskontakt (z.B. die Ihres CERTs). Wenn Ihre Einrichtung bzw. Firma nicht über eine solche Stelle verfügt, verwenden Sie die Adresse derjenigen, die bei Sicherheitsvorfällen ansprechbar sind. Achten Sie bitte darauf, dass die in der Metadatenverwaltung hinterlegten E-Mail-Adressen aktuell gehalten werden!
  • Halten Sie Ihr X.509-Zertifikat für die SAML-basierte Kommunikation bereit. Die vollständigen Informationen zu diesen Zertifikaten finden Sie hier: https://doku.tid.dfn.de/de:certificates. Das Wichtigste in Kürze:
    • IdPs verwenden Zertifikate der DFN-PKI. Ab Juli gelten nur noch Zertifikate der 2. Generation der DFN-PKI.
    • SPs dürfen DFN-PKI-Zertifikate (falls berechtigt), Zertifikate einer etablierten kommerziellen CA oder selbstsignierte Zertifikate verwenden.
    • Die SSL-Zertifikate dürfen eine Gültigkeit von 39 Monaten nicht überschreiten.
    • Zertifikate, die mit dem Signaturalgorithmus sha1 erstellt wurden, akzeptieren wir aus Sicherheitsgründen nicht mehr. So können Sie dies am Beispiel von openssl prüfen:
openssl x509 -in example.org.crt.pem -noout -text | grep "Signature Algorithm" | uniq
  • Für Service Provider: Damit Ihr SP Attribute Queries und Artifact Queries ausführen kann, sollten SP-Zertifikate mit dem Client-Attribut ausgestattet sein. Bei der DFN-PKI sorgt das Profil „Shibboleth-IdP/-SP“ dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der Dokumentation unserer Schweizer Kolleg*innen orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type=„Query“> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:
openssl x509 -in example.org.crt.pem -noout -text | grep -A 1 "X509v3 Extended Key Usage"
            X509v3 Extended Key Usage:
                TLS Web Client Authentication, TLS Web Server Authentication
  • Nehmen Sie Ihr System in die Testföderation DFN-AAI-Test auf. Nutzen Sie unsere öffentlichen Testsysteme, um zu schauen, ob erfolgreich Attribute übertragen werden.

  • Wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation.

  • Zuletzt geändert: vor 4 Wochen