Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:metadata_admin_tool [2020/04/23 12:50] – ↷ Links angepasst weil Seiten im Wiki verschoben wurden 188.106.76.64 | de:metadata_admin_tool [2022/11/17 14:19] – Tag entfernt Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Online-Verwaltung / Metadatenverwaltung ====== | ====== Online-Verwaltung / Metadatenverwaltung ====== | ||
- | Über die Metadatenverwaltung werden die SAML-Metadaten der an der DFN-AAI teilnehmenden Entities (Identity Provider, Service Provider, Attribute Authorities) gepflegt und in den von der DFN-AAI verwalteten [[de: | ||
- | Um Zugang zur Metadatenverwaltung | + | Die SAML-Metadaten aller teilnehmenden Identity Provider, Service Provider und Attribute Authorities werden über die Metadatenverwaltung gepflegt. Jede Heimateinrichtung bzw. jeder Dienstanbieter erhält von uns nach Unterzeichnen der Dienstvereinbarung |
- | Die Login-Seite der Metadatenverwaltung findet sich unter diesen URL: https:// | + | [[https:// |
- | Hier ist eine [[de: | ||
- | [[https://www.aai.dfn.de/ | + | ===== Account und Accounteinstellungen ===== |
+ | ==== So bekommen Sie grundsätzlich Zugang zur MDV ==== | ||
+ | **Metadaten-Admins können nur von den in den Vertragsunterlagen festgelegten vertraglichen oder technischen Ansprechpersonen benannt werden.** In der Metadatenverwaltung sind diese Personen bei den Vertragsdaten Ihrer Einrichtung aufgelistet. | ||
+ | |||
+ | Wenn Sie als vertragliche oder technische Ansprechperson eine DFN-AAI-Dienstvereinbarung oder ein SP Agreement unterzeichnet haben, benennen Sie neue Metadatenadmins, | ||
+ | |||
+ | * Vor- und Nachnamen, | ||
+ | * die E-Mail-Adresse und | ||
+ | * die dienstliche Telefonnummer. | ||
+ | |||
+ | Die Einladung wird dann jeweils direkt an die neuen Metadaten-Admins gesendet. | ||
+ | |||
+ | Bitte beachten Sie auch die (ab dem 9. Nov. 2022) neu eingeführte | ||
+ | ==== So bekommen Sie Ihren initialen Zugang zur neuen MDV ==== | ||
+ | Die Zugangsdaten der alten Metadatenverwaltung können | ||
+ | |||
+ | ==== Zwei-Faktor-Authentifizierung ==== | ||
+ | |||
+ | Die Hinterlegung eines zweiten Faktors ist in der neuen Metadatenverwaltung **Pflicht**. Nach Ihrem initialen Login werden Sie daher direkt zur Einrichtung eines zweiten Faktors aufgefordert: | ||
+ | {{: | ||
+ | * Sie können sowohl eine TOTP-App auf einem Smartphone, als auch einen Passwort-Manager, | ||
+ | * Schritt 1: Als erstes geben Sie bitte einen Namen für das Gerät ein, etwa " | ||
+ | * Scannen Sie im nächsten Schritt den angezeigten QR-Code mit einer Authenticator-App für das Smartphone und bestätigen Sie das Gerät durch die Eingabe eines auf dem Gerät erzeugten Codes. | ||
+ | * Um statt einer Smartphone-Anwendung einen Passwort-Manager zu verwenden, können Sie den Link unter dem QR-Code verwenden. Bitte beachten Sie, dass ein Passwortmanager, | ||
+ | * Schritt 2: Notfallcodes generieren | ||
+ | * Für den Fall, dass Sie keinen Zugriff mehr auf Ihr Gerät für die 2FA haben, sollten Sie im unteren Teil der 2FA-Seite fünf Notfallcodes generieren lassen. Sie können jeweils einmalig als zweiter Faktor verwendet werden. Heben Sie die Codes an einem sicheren Ort auf. | ||
+ | * Sollten die Notfallcodes verloren sein, können Sie sie auf dieser Seite auch entwerten. | ||
+ | * Zu einem späteren Zeitpunkt können Sie zur Einrichtung der Zweifaktor-Authentifizierung zurückkehren, | ||
+ | |||
+ | === 2FA-Einrichtung beim 2. Login einrichten === | ||
+ | |||
+ | Wenn Sie nach Ihrer allerersten Anmeldung an der neuen MDV keinen zweiten Faktor registriert haben, können Sie **EINMALIG** einen Token per E-Mail anfordern. Gehen Sie dazu zur Loginmaske, füllen Sie Usernamen (also Ihre E-Mailadresse) und Passwort aus und schicken Sie das Formular ab. Die Metadatenverwaltung bietet Ihnen danach an, einen Token per Mail zu erhalten. Wenn Sie sich damit eingeloggt haben, **richten Sie bitte umgehend Ihren dauerhaften zweiten Faktor ein**. | ||
+ | |||
+ | ==== Passwort-Änderung ==== | ||
+ | * Klappen Sie oben rechts das Menü unterhalb von Ihrer Nutzerkennung auf und wählen Sie den Menüpunkt " | ||
+ | * Geben Sie 1x Ihr altes und 2x Ihr neues Passwort ein. Beachten Sie die dort aufgelisteten Regeln zu den Zeichen im Passwort. | ||
+ | * Speichern Sie das neue Passwort mit dem Knopf " | ||
+ | |||
+ | ==== Neue Rolle: Subadmin ==== | ||
+ | Subadmins sind eine neu eingeführte Rolle in der neuen Metadatenverwaltung. Die Metadaten-Admins einer Organisation können damit eigenständig die Bearbeitung der Metadaten einzelner IdPs oder SPs an Dritte delegieren. Die AAI-Hotline muss nicht in die Vergabe von Zugangsdaten an Subadmins involviert werden. (Metadaten-Admins mit vollen Berechtigungen werden nach wie vor über die Hotline angemeldet.) | ||
+ | |||
+ | Subadmins haben eingeschränkte Rechte. Sie können: | ||
+ | * die Übersicht mit allen Angaben zu Ihrer Einrichtung inkl. der Ansprechpersonen sehen, | ||
+ | * die Metadaten aller in Ihrem Account eingepflegten System sehen, | ||
+ | * Metadaten der ihnen explizit zugewiesenen Systeme editieren, | ||
+ | * die Versionsgeschichte der ihnen explizit zugewiesenen Systeme einsehen, | ||
+ | * Logos und Favicons hochladen. | ||
+ | |||
+ | Was Subadmins nicht können: | ||
+ | * die Angaben zur Institution bearbeiten | ||
+ | * die Verlässlichkeitsklasse ändern, | ||
+ | * eigene IdPs oder SPs anlegen, | ||
+ | * komplette Metadatensätze von Entitäten löschen, | ||
+ | * Scopes bearbeiten. | ||
+ | |||
+ | ==== Subadmins einladen ==== | ||
+ | * Gehen Sie auf die Übersichtsseite Ihrer Organisation. Das ist die Seite, die Sie nach dem Login sehen. | ||
+ | * Klappen Sie den Abschnitt " | ||
+ | * Geben Sie die E-Mail-Adresse der Person ein, der Sie Metadatenzugriff geben möchten, und klicken Sie auf " | ||
+ | * Machen Sie im Formular auf der nächsten Seite einige Angaben zu der Person. Neben der E-Mail-Adresse sind der Vorname, der Nachname und die dienstliche Telefonnummer Pflichtangaben. | ||
+ | * Im Abschnitt " | ||
+ | * Subadmins können keine eigenen IdPs oder SPs anlegen! Erstellen Sie bitte den grundlegenden Metadatensatz selbst, um dann die Zuständigkeit an jemanden zu delegieren. | ||
+ | * Speichern Sie die Änderungen. | ||
+ | * Sie kommen zurück zur Übersicht. In der Liste der Benutzer*innen sehen Sie jetzt auch die neu angelegte Person. Ganz rechts haben Sie Knöpfe zum Bearbeiten oder Entfernen des Accounts.{{ : | ||
+ | |||
+ | |||
+ | ===== Die Übersichtsseite Ihrer Organisation ===== | ||
+ | Wenn Sie sich an der Metadatenverwaltung angemeldet haben, sehen Sie i.d.R. die Übersichtsseite Ihrer Organisation. Wenn Sie Metadatenadmin für mehrere Organisationen sind, sehen Sie die Liste der verwaltbaren Organisationen. | ||
+ | |||
+ | Die Übersicht enthält mehrere Abschnitte, die beim Öffnen der Seite eingeklappt sind: | ||
+ | * **Zertifikatswarnungen: | ||
+ | * **Angaben zur Institution: | ||
+ | * **Verträge und Verlässlichkeitsklasse: | ||
+ | * Hier finden Sie alle Angaben zu Ihrer DFN-AAI-Dienstvereinbarung bzw. Ihrem Service Provider Agreement. **Bitte prüfen Sie von Zeit zu Zeit die Aktualität dieser Daten und melden Sie Änderungen an unsere Hotline!** Insbesondere die Vertragskontakte sind relevant, da nur sie dazu berechtigt sind, voll berechtigte Metadatenadmins zu benennen. ([[de: | ||
+ | * Wenn Ihre Einrichtung einen IdP betreibt, finden Sie unterhalb der Vertragsinformationen (bis Ende 2022) auch die [[de: | ||
+ | * **Lokale Metadaten: | ||
+ | * Unter **Benutzer** können Sie die Liste alle Metadaten-Admins Ihrer Heimateinrichtung bzw. Firma sehen. Es wird unterschieden zwischen Metadatenadmins mit Vollzugriff auf die Organisation und Subadmins, deren Schreibzugriff auf einen oder einzelne IdPs/SPs beschränkt ist. Hier können Sie als Metadatenadmin mit Vollzugriff selbst Subadmins einladen (s.u.). | ||
+ | * Unter **Entitäten** gelangen Sie zu den Identity Providern, Service Providern oder Attribute Authorities Ihrer Einrichtung. | ||
+ | * **Entitätenlisten: | ||
+ | * Die Liste und die zugehörige Entity Category müssen vom [[hotline@aai.dfn.de,|DFN-AAI]] Team initial eingerichtet werden | ||
+ | * Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins | ||
+ | * **Logos und Scopes**: Hier hinterlegen Sie alle Logos, Favicons und den oder die Scopes, die Sie für Ihre Entitäten brauchen. Beim Bearbeiten konkreter Entitäten werden sie dann nur noch zugewiesen. | ||
+ | |||
+ | |||
+ | ===== Die Liste der Entitäten ===== | ||
+ | Wenn Sie auf die Übersichtsseite Ihrer Organisation den Abschnitt " | ||
+ | - die Entität bearbeiten, | ||
+ | - die Metadaten der Entität einsehen | ||
+ | - die Metadaten der Entität herunterladen | ||
+ | - die Entität löschen | ||
+ | - die Versionsgeschichte der Metadaten dieser Entität ansehen | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | ==== Einen IdP oder SP einpflegen ==== | ||
+ | * Gehen Sie auf die Übersichtsseite Ihrer Organisation und klappen Sie den Abschnitt " | ||
+ | * Wenn Sie bereits andere Entitäten hinterlegt haben, sehen Sie hier eine Liste. | ||
+ | * Über der Liste sind zwei Knöpfe: | ||
+ | * "Eine Entität aus vorhandenen Metadaten erzeugen": | ||
+ | * Kopieren Sie die xml-Metadaten Ihres IdPs bzw. SPs in das Textfeld und klicken Sie auf " | ||
+ | * Der neue Metadatensatz ist jetzt angelegt worden. | ||
+ | * Bei Bedarf können Sie im Formular gleich noch Änderungen vornehmen. Klicken Sie dann auf " | ||
+ | * " | ||
+ | * Hier erhalten Sie ein leeres Formular, in das Sie selbst alle Angaben eintragen müssen. | ||
+ | |||
+ | ==== Einen IdP oder SP bearbeiten ==== | ||
+ | * Gehen Sie auf die Übersichtsseite Ihrer Organisation und klappen Sie den Abschnitt " | ||
+ | * In der Liste der IdPs/SPs wechseln Sie mit dem ersten der Aktionsknöpfe in den Bearbeitungsmodus. | ||
+ | * Jeder Abschnitt enthält kurze Hilfetexte zum Ausfüllen, die Sie auch hier im Wiki finden, z.B. in unserer [[https://doku.tid.dfn.de/ | ||
+ | * Um eine Änderung zu speichern, klicken Sie unten auf " | ||
+ | |||
+ | ==== Logos und Favicons ==== | ||
+ | * Aus Sicherheitsgründen holt unsere neue Metadatenverwaltung keine (neuen) Logos mehr aus dem Netz. Alle neuen Logos müssen Sie in die Metadatenverwaltung hochladen, die sie dann ausliefert. | ||
+ | * Auf der Übersichtsseite Ihrer Organisation finden Sie ganz unten den Abschnitt "Logos und Scopes" | ||
+ | * In der nächsten Ansicht wählen Sie den Reiter " | ||
+ | * Jeder Reiter präsentiert Ihnen die Liste bereits hochgeladener Logos bzw. Favicons, einschließlich ihrer Verwendung in Metadatensätzen. | ||
+ | * Klicken Sie auf "Neues Logo hochladen" | ||
+ | * Wählen Sie die gewünschte Datei von Ihrem Computer aus und geben Sie Ihr einen aussagekräftigen Namen für die Übersichtstabelle. | ||
+ | * Wenn Ihre Datei nicht den maximal darstellbaren Bildmaßen entspricht, können Sie sie automatisch skalieren lassen, indem Sie das Häkchen bei " | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | ===== Unterschiede zwischen alter und neuer Metadatenverwaltung ===== | ||
+ | |||
+ | ^ alt ^ neu ^ | ||
+ | | nur Passwort-Login | Einrichtung von **2FA** ist verpflichtend | | ||
+ | | Selbstsignierte Zertifikate mussten bei der Hotline eingereicht werden. | **Selbstsignierte Zertifikate** können ohne Interaktion mit der Hotline verwendet werden. | | ||
+ | | Alle Metadatenadmins hatten dieselben Rechte, konnten innerhalb des Organisationsaccounts auf alles zugreifen. | Metadatenadmins können eigenständig **Subadmins** einladen und die Zuständigkeit für bestimmte IdPs/SPs an sie delegieren. | | ||
+ | | Logos/ | ||
+ | | Neue IdP- bzw. SP-Metadatensätze konnten von einer externen URL in die Metadatenverwaltung eingelesen werden. | Neue IdP- bzw. SP-Metadatensätze können **als xml** hochgeladen werden. | | ||
+ | | Scopes wurden im IdP-Formular eingeben. | **Scopes** werden als übergeordnete Informationen betrachtet, die auf Organisationsebene gepflegt und dann einzelnen IdPs zugewiesen werden. | | ||
- | **Nächster Schritt:** [[de: | ||
- | {{tag> |