Dies ist eine alte Version des Dokuments!


Online-Verwaltung / Metadatenverwaltung

Die SAML-Metadaten aller teilnehmenden Identity Provider, Service Provider und Attribute Authorities werden über die Metadatenverwaltung gepflegt. Jede Heimateinrichtung bzw. jeder Dienstanbieter erhält von uns nach Unterzeichnen der Dienstvereinbarung Zugang zur Metadatenverwaltung (siehe hierzu unter Anmeldung). Die Metadatenverwaltung finden Sie unter

Metadata Registration Practice Statement

Einführung einer neuen Metadatenverwaltung im Nov. 2022

Am 9. November 2022 führen wir eine neue Metadatenverwaltung ein. Hier finden Sie Informationen zur Bedienung.

Metadaten-Admins können nur von den in den Vertragsunterlagen festgelegten vertraglichen oder technischen Ansprechpersonen benannt werden. In der Metadatenverwaltung sind diese Personen bei den Vertragsdaten Ihrer Einrichtung aufgelistet.

Wenn Sie als vertragliche oder technische Ansprechperson eine DFN-AAI-Dienstvereinbarung oder ein SP Agreement unterzeichnet haben, benennen Sie neue Metadatenadmins, indem Sie folgende Informationen zu den gewünschten Metadatenadmins per Mail an hotline@aai.dfn.de schicken:

  • Vor- und Nachnamen,
  • die E-Mail-Adresse und
  • die dienstliche Telefonnummer.

Die Einladung wird dann jeweils direkt an die neuen Metadaten-Admins gesendet.

Bitte beachten Sie auch die (ab dem 9. Nov. 2022) neu eingeführte "Subadmin"-Rolle: Alle Metadatenadmins können eigenständig Subadmins einladen und die Metadatenverwaltung einzelner IdPs/SPs an sie delegieren. (Unten finden Sie genauere Informationen zu den Berechtigungen von Subadmins.)

Die Zugangsdaten der alten Metadatenverwaltung können nicht weiterverwendet werden. Sie erhalten eine Einladungsmail an die Adresse, die für Sie bei uns hinterlegt ist. Folgen Sie dem Link in der Einladung, der nur einmal geöffnet werden kann. Sollten Sie dem Link gefolgt sein, ohne dann ein initiales Passwort zu setzen, verwenden Sie bitte den Passwort-Reset-Link.

Die Hinterlegung eines zweiten Faktors ist in der neuen Metadatenverwaltung Pflicht. Nach Ihrem initialen Login werden Sie daher direkt zur Einrichtung eines zweiten Faktors aufgefordert:

  • Sie können sowohl eine TOTP-App auf einem Smartphone, als auch einen Passwort-Manager, der dies unterstützt, verwenden.
  • Schritt 1: Als erstes geben Sie bitte einen Namen für das Gerät ein, etwa „Handy“. Er ist nur für Sie selbst bestimmt und dient der Unterscheidung verschiedener eingerichteter Faktoren. Klicken Sie auf „Gerät für Zwei-Faktor-Authentifizierung hinzufügen“.
    • Scannen Sie im nächsten Schritt den angezeigten QR-Code mit einer Authenticator-App für das Smartphone und bestätigen Sie das Gerät durch die Eingabe eines auf dem Gerät erzeugten Codes.
    • Um statt einer Smartphone-Anwendung einen Passwort-Manager zu verwenden, können Sie den Link unter dem QR-Code verwenden. Bitte beachten Sie, dass ein Passwortmanager, der das Passwort und den zweiten Faktor enthält, weniger Zwei-Faktor ist als ein separat aufbewahrter zweiter Faktor.
  • Schritt 2: Notfallcodes generieren
    • Für den Fall, dass Sie keinen Zugriff mehr auf Ihr Gerät für die 2FA haben, sollten Sie im unteren Teil der 2FA-Seite fünf Notfallcodes generieren lassen. Sie können jeweils einmalig als zweiter Faktor verwendet werden. Heben Sie die Codes an einem sicheren Ort auf.
    • Sollten die Notfallcodes verloren sein, können Sie sie auf dieser Seite auch entwerten.
  • Zu einem späteren Zeitpunkt können Sie zur Einrichtung der Zweifaktor-Authentifizierung zurückkehren, indem Sie oben rechts das Menü unter Ihrer Mailadresse öffnen und den Menüpunkt „2FA“ auswählen:

2FA-Einrichtung beim 2. Login einrichten

Wenn Sie nach Ihrer allerersten Anmeldung an der neuen MDV keinen zweiten Faktor registriert haben, können Sie EINMALIG einen Token per E-Mail anfordern. Gehen Sie dazu zur Loginmaske, füllen Sie Usernamen (also Ihre E-Mailadresse) und Passwort aus und schicken Sie das Formular ab. Die Metadatenverwaltung bietet Ihnen danach an, einen Token per Mail zu erhalten. Wenn Sie sich damit eingeloggt haben, richten Sie bitte umgehend Ihren dauerhaften zweiten Faktor ein.

  • Klappen Sie oben rechts das Menü unterhalb von Ihrer Nutzerkennung auf und wählen Sie den Menüpunkt „Passwort ändern“ aus.
  • Geben Sie 1x Ihr altes und 2x Ihr neues Passwort ein. Beachten Sie die dort aufgelisteten Regeln zu den Zeichen im Passwort.
  • Speichern Sie das neue Passwort mit dem Knopf „Passwort ändern“.

Subadmins sind eine neu eingeführte Rolle in der neuen Metadatenverwaltung. Die Metadaten-Admins einer Organisation können damit eigenständig die Bearbeitung der Metadaten einzelner IdPs oder SPs an Dritte delegieren. Die AAI-Hotline muss nicht in die Vergabe von Zugangsdaten an Subadmins involviert werden. (Metadaten-Admins mit vollen Berechtigungen werden nach wie vor über die Hotline angemeldet.)

Subadmins haben eingeschränkte Rechte. Sie können:

  • die Übersicht mit allen Angaben zu Ihrer Einrichtung inkl. der Ansprechpersonen sehen,
  • die Metadaten aller in Ihrem Account eingepflegten System sehen,
  • Metadaten der ihnen explizit zugewiesenen Systeme editieren,
  • die Versionsgeschichte der ihnen explizit zugewiesenen Systeme einsehen,
  • Logos und Favicons hochladen.

Was Subadmins nicht können:

  • die Angaben zur Institution bearbeiten
  • die Verlässlichkeitsklasse ändern,
  • eigene IdPs oder SPs anlegen,
  • komplette Metadatensätze von Entitäten löschen,
  • Scopes bearbeiten.
  • Gehen Sie auf die Übersichtsseite Ihrer Organisation. Das ist die Seite, die Sie nach dem Login sehen.
  • Klappen Sie den Abschnitt „Benutzer“ auf und klicken Sie auf „Subadmin einladen“.
  • Geben Sie die E-Mail-Adresse der Person ein, der Sie Metadatenzugriff geben möchten, und klicken Sie auf „Benutzer einladen und Berechtigungen verwalten“.
  • Machen Sie im Formular auf der nächsten Seite einige Angaben zu der Person. Neben der E-Mail-Adresse sind der Vorname, der Nachname und die dienstliche Telefonnummer Pflichtangaben.
  • Im Abschnitt „Berechtigungen“ sehen Sie eine Liste Ihrer IdPs und SPs. Hier können Sie dem neuen Subadmin Zuständigkeiten für einzelne Entitäten zuweisen. Andere Systeme kann diese Person nicht bearbeiten.
  • Subadmins können keine eigenen IdPs oder SPs anlegen! Erstellen Sie bitte den grundlegenden Metadatensatz selbst, um dann die Zuständigkeit an jemanden zu delegieren.
  • Speichern Sie die Änderungen.
  • Sie kommen zurück zur Übersicht. In der Liste der Benutzer*innen sehen Sie jetzt auch die neu angelegte Person. Ganz rechts haben Sie Knöpfe zum Bearbeiten oder Entfernen des Accounts.

Wenn Sie sich an der Metadatenverwaltung angemeldet haben, sehen Sie i.d.R. die Übersichtsseite Ihrer Organisation. Wenn Sie Metadatenadmin für mehrere Organisationen sind, sehen Sie die Liste der verwaltbaren Organisationen.

Die Übersicht enthält mehrere Abschnitte, die beim Öffnen der Seite eingeklappt sind:

  • Zertifikatswarnungen: Wenn bei mindestens einem Ihrer Systeme die Zertifikate für die SAML-Kommunikation innerhalb der nächsten 30 Tage ablaufen oder bereits abgelaufen sind, finden Sie zuoberst einen rot markierten Abschnitt. Klappen Sie ihn auf, können Sie die betroffenen Metadatensätze direkt editieren (Screenshot ist fertig.)
  • Angaben zur Institution: Hier pflegen Sie den Anzeigenamen und die „Information URL“ Ihrer Organisation. Die Angaben werden automatisch im <Organization>-Element Ihrer Metadatensätzen ergänzt. Klicken Sie in die Zeilen für deutsch oder englisch, um die Angaben zu bearbeiten.
  • Verträge und Verlässlichkeitsklasse:
    • Hier finden Sie alle Angaben zu Ihrer DFN-AAI-Dienstvereinbarung bzw. Ihrem Service Provider Agreement. Bitte prüfen Sie von Zeit zu Zeit die Aktualität dieser Daten und melden Sie Änderungen an unsere Hotline! Insbesondere die Vertragskontakte sind relevant, da nur sie dazu berechtigt sind, voll berechtigte Metadatenadmins zu benennen. (Subadmins (LINK) können dagegen auch von Metadatenadmins benannt werden.)
    • Wenn Ihre Einrichtung einen IdP betreibt, finden Sie unterhalb der Vertragsinformationen (bis Ende 2022) auch die Verlässlichkeitsklasse, die Ihr Identity Management zugeordnet ist. Als Metadatenadmin mit vollen Rechten können Sie die Verlässlichkeitsklasse hier editieren. (DOKU VERLINKEN)
  • Lokale Metadaten: Hier finden Sie eine Liste aller Entitäten, die im lokalen Metadatensatz Ihrer Heimateinrichtung eingetragen sind. Darüber hinaus sind hier der Download-Link zu Ihrem einrichtungsspezifischen lokalen Metadatensatz sowie eine Möglichkeit, den Zugriff auf die Datei IP-basiert einzuschränken.
  • Unter Benutzer können Sie die Liste alle Metadaten-Admins Ihrer Heimateinrichtung bzw. Firma sehen. Es wird unterschieden zwischen Metadaten mit Vollzugriff auf die Organisation und Subadmins, deren Schreibzugriff auf einen oder einzelne IdPs/SPs beschränkt ist. Hier können Sie als Metadatenadmin mit Vollzugriff selbst Subadmins einladen (s.u.).
  • Unter Entitäten gelangen Sie zu den Identity Providern, Service Providern oder Attribute Authorities Ihrer Einrichtung.
  • Entitätenlisten: Wenn Sie in der Übersicht hier einen Abschnitt namens Entitätenlisten haben, dann wird bei Ihnen eine Entity Category verwaltet, z.B. eine sog. virtuelle Subföderation für ein Landesprojekt o.ä. In diesem Abschnitt konfigurieren Sie, welche Entitäten dazugehören.
  • Logos und Scopes: Hier hinterlegen Sie alle Logos, Favicons und den oder die Scopes, die Sie für Ihre Entitäten brauchen. Beim Bearbeiten konkreter Entitäten werden sie dann nur noch zugewiesen.

Wenn Sie auf die Übersichtsseite Ihrer Organisation den Abschnitt „Entitäten“ aufklappen, können Sie dort in die Liste der IdPs, Attribute Authorities oder SPs Ihrer Organisation wechseln. In der jeweiligen Liste können Metadatenadmins mit Vollzugriff rechts über die Aktionsschalter folgende Aktionen ausführen:

  1. die Entität bearbeiten,
  2. die Metadaten der Entität einsehen
  3. die Metadaten der Entität herunterladen
  4. die Entität löschen
  5. die Versionsgeschichte der Metadaten dieser Entität ansehen

  • Gehen Sie auf die Übersichtsseite Ihrer Organisation und klappen Sie den Abschnitt „Entitäten“ auf. Klicken Sie dort auf „Identity Provider“ bzw. „Service Provider“.
  • Wenn Sie bereits andere Entitäten hinterlegt haben, sehen Sie hier eine Liste.
  • Über der Liste sind zwei Knöpfe:
  • „Eine Entität aus vorhandenen Metadaten erzeugen“:
    • Kopieren Sie die xml-Metadaten Ihres IdPs bzw. SPs in das Textfeld und klicken Sie auf „Hochladen“.
    • Der neue Metadatensatz ist jetzt angelegt worden.
    • Bei Bedarf können Sie im Formular gleich noch Änderungen vornehmen. Klicken Sie dann auf „Änderungen überprüfen“.
  • „Identity Provider anlegen“ bzw. „Service Provider anlegen“:
    • Hier erhalten Sie ein leeres Formular, in das Sie selbst alle Angaben eintragen müssen.
  • Gehen Sie auf die Übersichtsseite Ihrer Organisation und klappen Sie den Abschnitt „Entitäten“ auf. Klicken Sie dort auf „Identity Provider“ bzw. „Service Provider“.
  • In der Liste der IdPs/SPs wechseln Sie mit dem ersten der Aktionsknöpfe in den Bearbeitungsmodus.
  • Jeder Abschnitt enthält kurze Hilfetexte zum Ausfüllen, die Sie auch hier im Wiki finden, z.B. in unserer Checkliste.
  • Um eine Änderung zu speichern, klicken Sie unten auf „Änderungen überprüfen“. Prüfen Sie das angezeigte Diff und bestätigen oder ändern Sie Ihre Eingabe.
  • Aus Sicherheitsgründen holt unsere neue Metadatenverwaltung keine (neuen) Logos mehr aus dem Netz. Alle neuen Logos müssen Sie in die Metadatenverwaltung hochladen, die sie dann ausliefert.
  • Auf der Übersichtsseite Ihrer Organisation finden Sie ganz unten den Abschnitt „Logos und Scopes“. Klappen Sie ihn auf und wählen Sie „Logos & Favicons“.
  • In der nächsten Ansicht wählen Sie den Reiter „Logos“ oder den Reiter „Favicons“ aus.
  • Jeder Reiter präsentiert Ihnen die Liste bereits hochgeladener Logos bzw. Favicons, einschließlich ihrer Verwendung in Metadatensätzen.
  • Klicken Sie auf „Neues Logo hochladen“ bzw. „Neues Favicon hochladen“, um zur Upload-Maske zu gelangen.
  • Wählen Sie die gewünschte Datei von Ihrem Computer aus und geben Sie Ihr einen aussagekräftigen Namen für die Übersichtstabelle.
  • Wenn Ihre Datei nicht den maximal darstellbaren Bildmaßen entspricht, können Sie sie automatisch skalieren lassen, indem Sie das Häkchen bei „Autoscale“ setzen. Die Metadatenverwaltung akzeptiert keine Logos oder Favicons, die zu groß der zu klein sind. Lehnen Sie das automatische Skalieren ab, so müssen Sie selbst dafür sorgen, dass die Dateien die korrekten Maße haben.

alt neu
nur Passwort-Login Einrichtung von 2FA ist verpflichtend
Selbstsignierte Zertifikate mussten bei der Hotline eingereicht werden. Selbstsignierte Zertifikate können ohne Interaktion mit der Hotline verwendet werden.
Alle Metadatenadmins hatten dieselben Rechte, konnten innerhalb des Organisationsaccounts auf alles zugreifen. Metadatenadmins können eigenständig Subadmins einladen und die Zuständigkeit für bestimmte IdPs/SPs an sie delegieren.
Logos/Favicons wurden als externe URLs zu den Logos/Favicons in den Metadaten publiziert. Es war möglich, Bilder mit falschen Größen einzubinden. (Neue) Logos/Favicons werden in die Metadatenverwaltung hochladen und von ihr ausgeliefert. Dateien werden beim Upload auf die richtige Größe skaliert oder abgelehnt
Neue IdP- bzw. SP-Metadatensätze konnten von einer externen URL in die Metadatenverwaltung eingelesen werden. Neue IdP- bzw. SP-Metadatensätze können als xml hochgeladen werden.
Scopes wurden im IdP-Formular eingeben. Scopes werden als übergeordnete Informationen betrachtet, die auf Organisationsebene gepflegt und dann einzelnen IdPs zugewiesen werden.
  • Zuletzt geändert: vor 17 Monaten