Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:metadata_admin_tool [2022/11/07 11:46] Wolfgang Pempede:metadata_admin_tool [2024/02/21 11:31] (aktuell) – [Unterschiede zwischen alter und neuer Metadatenverwaltung] Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Online-Verwaltung / Metadatenverwaltung ====== ====== Online-Verwaltung / Metadatenverwaltung ======
  
-Die SAML-Metadaten aller teilnehmenden Identity Provider, Service Provider und Attribute Authorities werden über die Metadatenverwaltung gepflegt. Jede Heimateinrichtung bzw. jeder Dienstanbieter erhält von uns nach Unterzeichnen der Dienstvereinbarung Zugang zur Metadatenverwaltung (siehe hierzu unter [[de:registration|Anmeldung]]). Die Metadatenverwaltung finden Sie unter +Die SAML-Metadaten aller teilnehmenden Identity Provider, Service Provider und Attribute Authorities werden über die Metadatenverwaltung gepflegt. Jede Heimateinrichtung bzw. jeder Dienstanbieter erhält von uns nach Unterzeichnen der Dienstvereinbarung Zugang zur Metadatenverwaltung (siehe hierzu unter [[de:registration|Anmeldung]]). Die Metadatenverwaltung finden Sie unter https://mdv.aai.dfn.de
-  * https://www.aai.dfn.de/verwaltung (bis 8.11.2022) \\ **8. November: ab 8:00 kein Login mehr möglich** +
-  * https://mdv.aai.dfn.de (ab 9.11.2022).+
  
 [[https://www.aai.dfn.de/fileadmin/documents/mrps_dfn-aai_1.0.pdf|Metadata Registration Practice Statement]] [[https://www.aai.dfn.de/fileadmin/documents/mrps_dfn-aai_1.0.pdf|Metadata Registration Practice Statement]]
  
-<callout color="#ff9900" title="Einführung einer neuen Metadatenverwaltung im Nov. 2022"> 
-Am 9. November 2022 führen wir eine neue Metadatenverwaltung ein. Hier finden Sie Informationen zur Bedienung. 
-</callout> 
  
 ===== Account und Accounteinstellungen ===== ===== Account und Accounteinstellungen =====
Zeile 24: Zeile 19:
  
 Bitte beachten Sie auch die (ab dem 9. Nov. 2022) neu eingeführte [[de:metadata_admin_tool#neue_rollesubadmin|"Subadmin"]]-Rolle: Alle Metadatenadmins können eigenständig Subadmins einladen und die Metadatenverwaltung einzelner IdPs/SPs an sie delegieren. (Unten finden Sie genauere Informationen zu den Berechtigungen von Subadmins.) Bitte beachten Sie auch die (ab dem 9. Nov. 2022) neu eingeführte [[de:metadata_admin_tool#neue_rollesubadmin|"Subadmin"]]-Rolle: Alle Metadatenadmins können eigenständig Subadmins einladen und die Metadatenverwaltung einzelner IdPs/SPs an sie delegieren. (Unten finden Sie genauere Informationen zu den Berechtigungen von Subadmins.)
-==== So bekommen Sie Ihren initialen Zugang zur neuen MDV ==== +==== So bekommen Sie Ihren initialen Zugang zur MDV ==== 
-Die Zugangsdaten der alten Metadatenverwaltung können //nicht// weiterverwendet werden. Sie erhalten eine Einladungsmail an die Adresse, die für Sie bei uns hinterlegt ist. Folgen Sie dem Link in der Einladung, der nur einmal geöffnet werden kann. Sollten Sie dem Link gefolgt sein, ohne dann ein initiales Passwort zu setzen, verwenden Sie bitte den Passwort-Reset-Link.+Sie erhalten eine Einladungsmail an die Adresse, die für Sie bei uns hinterlegt ist. Folgen Sie dem Link in der Einladung, der nur einmal geöffnet werden kann. Sollten Sie dem Link gefolgt sein, ohne dann ein initiales Passwort zu setzen, verwenden Sie bitte den Passwort-Reset-Link.
  
 ==== Zwei-Faktor-Authentifizierung ==== ==== Zwei-Faktor-Authentifizierung ====
Zeile 34: Zeile 29:
   * Schritt 1: Als erstes geben Sie bitte einen Namen für das Gerät ein, etwa "Handy". Er ist nur für Sie selbst bestimmt und dient der Unterscheidung verschiedener eingerichteter Faktoren. Klicken Sie auf "Gerät für Zwei-Faktor-Authentifizierung hinzufügen".   * Schritt 1: Als erstes geben Sie bitte einen Namen für das Gerät ein, etwa "Handy". Er ist nur für Sie selbst bestimmt und dient der Unterscheidung verschiedener eingerichteter Faktoren. Klicken Sie auf "Gerät für Zwei-Faktor-Authentifizierung hinzufügen".
     * Scannen Sie im nächsten Schritt den angezeigten QR-Code mit einer Authenticator-App für das Smartphone und bestätigen Sie das Gerät durch die Eingabe eines auf dem Gerät erzeugten Codes.     * Scannen Sie im nächsten Schritt den angezeigten QR-Code mit einer Authenticator-App für das Smartphone und bestätigen Sie das Gerät durch die Eingabe eines auf dem Gerät erzeugten Codes.
-    * Um statt einer Smartphone-Anwendung einen Passwort-Manager zu verwenden, können Sie den Link unter dem QR-Code verwenden. Bitte beachten Sie, dass ein Passwortmanager, der das Passwort //und// den zweiten Faktor enthält, weniger Zwei-Faktor ist als ein separat aufbewahrter zweiter Faktor.+    * Um statt einer Smartphone-Anwendung einen Passwort-Manager zu verwenden, können Sie den Link unter dem QR-Code verwenden. Bitte beachten Sie, dass ein Passwortmanager, der das Passwort //und// den zweiten Faktor enthält, weniger Zwei-Faktor ist als ein separat aufbewahrter zweiter Faktor. Bitte achten Sie darauf, dass der Rechner, auf dem die Anwendung installiert ist, seine Uhrzeit mit einem Zeitserver abgleicht. Wenn die Systemzeit von der Systemzeit des Servers abweicht, werden die Tokens nicht anerkannt.
   * Schritt 2: Notfallcodes generieren   * Schritt 2: Notfallcodes generieren
     * Für den Fall, dass Sie keinen Zugriff mehr auf Ihr Gerät für die 2FA haben, sollten Sie im unteren Teil der 2FA-Seite fünf Notfallcodes generieren lassen. Sie können jeweils einmalig als zweiter Faktor verwendet werden. Heben Sie die Codes an einem sicheren Ort auf.     * Für den Fall, dass Sie keinen Zugriff mehr auf Ihr Gerät für die 2FA haben, sollten Sie im unteren Teil der 2FA-Seite fünf Notfallcodes generieren lassen. Sie können jeweils einmalig als zweiter Faktor verwendet werden. Heben Sie die Codes an einem sicheren Ort auf.
Zeile 42: Zeile 37:
 === 2FA-Einrichtung beim 2. Login einrichten === === 2FA-Einrichtung beim 2. Login einrichten ===
  
-Wenn Sie nach Ihrer allerersten Anmeldung an der neuen MDV keinen zweiten Faktor registriert haben, können Sie **EINMALIG** einen Token per E-Mail anfordern. Gehen Sie dazu zur Loginmaske, füllen Sie Usernamen (also Ihre E-Mailadresse) und Passwort aus und schicken Sie das Formular ab. Die Metadatenverwaltung bietet Ihnen danach an, einen Token per Mail zu erhalten. Wenn Sie sich damit eingeloggt haben, **richten Sie bitte umgehend Ihren dauerhaften zweiten Faktor ein**.+Wenn Sie nach Ihrer allerersten Anmeldung an der neuen MDV keinen zweiten Faktor registriert haben, können Sie **EINMALIG** einen Token per E-Mail anfordern. Gehen Sie dazu zur Loginmaske, füllen Sie Usernamen (also Ihre E-Mailadresse) und Passwort aus und schicken Sie das Formular ab. Die Metadatenverwaltung bietet Ihnen danach an, einen Token per Mail zu erhalten. Wenn Sie sich damit eingeloggt haben, **richten Sie bitte umgehend Ihren dauerhaften zweiten Faktor ein** (Notfallcodes nicht vergessen!).
  
 ==== Passwort-Änderung ==== ==== Passwort-Änderung ====
Zeile 49: Zeile 44:
   * Speichern Sie das neue Passwort mit dem Knopf "Passwort ändern".   * Speichern Sie das neue Passwort mit dem Knopf "Passwort ändern".
  
-==== Neue Rolle: Subadmin ====+==== Weitere Rolle: Subadmin ====
 Subadmins sind eine neu eingeführte Rolle in der neuen Metadatenverwaltung. Die Metadaten-Admins einer Organisation können damit eigenständig die Bearbeitung der Metadaten einzelner IdPs oder SPs an Dritte delegieren. Die AAI-Hotline muss nicht in die Vergabe von Zugangsdaten an Subadmins involviert werden. (Metadaten-Admins mit vollen Berechtigungen werden nach wie vor über die Hotline angemeldet.) Subadmins sind eine neu eingeführte Rolle in der neuen Metadatenverwaltung. Die Metadaten-Admins einer Organisation können damit eigenständig die Bearbeitung der Metadaten einzelner IdPs oder SPs an Dritte delegieren. Die AAI-Hotline muss nicht in die Vergabe von Zugangsdaten an Subadmins involviert werden. (Metadaten-Admins mit vollen Berechtigungen werden nach wie vor über die Hotline angemeldet.)
  
Zeile 61: Zeile 56:
 Was Subadmins nicht können: Was Subadmins nicht können:
   * die Angaben zur Institution bearbeiten   * die Angaben zur Institution bearbeiten
-  * die Verlässlichkeitsklasse ändern, 
   * eigene IdPs oder SPs anlegen,   * eigene IdPs oder SPs anlegen,
   * komplette Metadatensätze von Entitäten löschen,   * komplette Metadatensätze von Entitäten löschen,
Zeile 83: Zeile 77:
   * **Zertifikatswarnungen:** Wenn bei mindestens einem Ihrer Systeme die Zertifikate für die SAML-Kommunikation innerhalb der nächsten 30 Tage ablaufen oder bereits abgelaufen sind, finden Sie zuoberst einen rot markierten Abschnitt. Klappen Sie ihn auf, können Sie die betroffenen Metadatensätze direkt editieren.   * **Zertifikatswarnungen:** Wenn bei mindestens einem Ihrer Systeme die Zertifikate für die SAML-Kommunikation innerhalb der nächsten 30 Tage ablaufen oder bereits abgelaufen sind, finden Sie zuoberst einen rot markierten Abschnitt. Klappen Sie ihn auf, können Sie die betroffenen Metadatensätze direkt editieren.
   * **Angaben zur Institution:** Hier pflegen Sie den Anzeigenamen und die "Information URL" Ihrer Organisation. Die Angaben werden automatisch im ''<Organization>''-Element Ihrer Metadatensätzen ergänzt. Klicken Sie in die Zeilen für deutsch oder englisch, um die Angaben zu bearbeiten.   * **Angaben zur Institution:** Hier pflegen Sie den Anzeigenamen und die "Information URL" Ihrer Organisation. Die Angaben werden automatisch im ''<Organization>''-Element Ihrer Metadatensätzen ergänzt. Klicken Sie in die Zeilen für deutsch oder englisch, um die Angaben zu bearbeiten.
-  * **Verträge und Verlässlichkeitsklasse:**+  * **Verträge:**
     * Hier finden Sie alle Angaben zu Ihrer DFN-AAI-Dienstvereinbarung bzw. Ihrem Service Provider Agreement. **Bitte prüfen Sie von Zeit zu Zeit die Aktualität dieser Daten und melden Sie Änderungen an unsere Hotline!** Insbesondere die Vertragskontakte sind relevant, da nur sie dazu berechtigt sind, voll berechtigte Metadatenadmins zu benennen. ([[de:metadata_admin_tool#neue_rollesubadmin|Subadmins]] können dagegen auch von Metadatenadmins benannt werden.)     * Hier finden Sie alle Angaben zu Ihrer DFN-AAI-Dienstvereinbarung bzw. Ihrem Service Provider Agreement. **Bitte prüfen Sie von Zeit zu Zeit die Aktualität dieser Daten und melden Sie Änderungen an unsere Hotline!** Insbesondere die Vertragskontakte sind relevant, da nur sie dazu berechtigt sind, voll berechtigte Metadatenadmins zu benennen. ([[de:metadata_admin_tool#neue_rollesubadmin|Subadmins]] können dagegen auch von Metadatenadmins benannt werden.)
-    * Wenn Ihre Einrichtung einen IdP betreibt, finden Sie unterhalb der Vertragsinformationen (bis Ende 2022) auch die [[de:degrees_of_reliance|Verlässlichkeitsklasse]], die Ihr Identity Management zugeordnet ist. Als Metadatenadmin mit vollen Rechten können Sie die Verlässlichkeitsklasse hier editieren. 
   * **Lokale Metadaten:** Hier finden Sie eine Liste aller Entitäten, die im [[de:metadata_local|lokalen Metadatensatz]] Ihrer Heimateinrichtung eingetragen sind. Darüber hinaus sind hier der Download-Link zu Ihrem einrichtungsspezifischen lokalen Metadatensatz sowie eine Möglichkeit, den Zugriff auf die Datei IP-basiert einzuschränken.   * **Lokale Metadaten:** Hier finden Sie eine Liste aller Entitäten, die im [[de:metadata_local|lokalen Metadatensatz]] Ihrer Heimateinrichtung eingetragen sind. Darüber hinaus sind hier der Download-Link zu Ihrem einrichtungsspezifischen lokalen Metadatensatz sowie eine Möglichkeit, den Zugriff auf die Datei IP-basiert einzuschränken.
   * Unter **Benutzer** können Sie die Liste alle Metadaten-Admins Ihrer Heimateinrichtung bzw. Firma sehen. Es wird unterschieden zwischen Metadatenadmins mit Vollzugriff auf die Organisation und Subadmins, deren Schreibzugriff auf einen oder einzelne IdPs/SPs beschränkt ist. Hier können Sie als Metadatenadmin mit Vollzugriff selbst Subadmins einladen (s.u.).   * Unter **Benutzer** können Sie die Liste alle Metadaten-Admins Ihrer Heimateinrichtung bzw. Firma sehen. Es wird unterschieden zwischen Metadatenadmins mit Vollzugriff auf die Organisation und Subadmins, deren Schreibzugriff auf einen oder einzelne IdPs/SPs beschränkt ist. Hier können Sie als Metadatenadmin mit Vollzugriff selbst Subadmins einladen (s.u.).
   * Unter **Entitäten** gelangen Sie zu den Identity Providern, Service Providern oder Attribute Authorities Ihrer Einrichtung.   * Unter **Entitäten** gelangen Sie zu den Identity Providern, Service Providern oder Attribute Authorities Ihrer Einrichtung.
-  * **Entitätenlisten:** Wenn Sie in der Übersicht hier einen Abschnitt namens Entitätenlisten haben, dann wird bei Ihnen eine [[de:entity_attributes#entity_categories|Entity Category]] verwaltet, z.B. eine sog. virtuelle Subföderation für ein Landesprojekt o.ä. In diesem Abschnitt konfigurieren Sie, welche Entitäten dazugehören. +  * **Entitätenlisten:** Wenn Sie in der Übersicht hier einen Abschnitt namens Entitätenlisten haben, dann wird bei Ihnen eine [[de:entity_attributes#entity_categories|Entity Category]] verwaltet, z.B. eine sog. virtuelle Subföderation für ein Landesprojekt o.ä. In diesem Abschnitt konfigurieren Sie, welche Entitäten dazugehören. \\ //Wichtig//:  
-  * **Logos und Scopes**: Hier hinterlegen Sie alle Logos, Favicons und den oder die Scopes, die Sie für Ihre Entitäten brauchen. Beim Bearbeiten konkreter Entitäten werden sie dann nur noch zugewiesen.+    * Die Liste und die zugehörige Entity Category müssen vom [[hotline@aai.dfn.de,|DFN-AAI]] Team initial eingerichtet werden 
 +    * Die Zugriffsrechte auf die Entitätenliste werden vom DFN-AAI Team gesetzt, auch für Sub-Admins 
 +  * **Logos und Scopes**: Hier hinterlegen Sie alle Logos, Favicons und den oder die Scopes, die Sie für Ihre Entitäten brauchen. Beim Bearbeiten konkreter Entitäten werden sie dann nur noch zugewiesen. Neu hinterlegte Scopes müssen vom DFN-AAI-Team freigeschaltet werden.
  
  
Zeile 131: Zeile 126:
 {{ :de:metadata_admin_tool:logos.png?800 |}} {{ :de:metadata_admin_tool:logos.png?800 |}}
  
-===== Unterschiede zwischen alter und neuer Metadatenverwaltung ===== 
  
-^ alt ^ neu ^ 
-| nur Passwort-Login | Einrichtung von **2FA** ist verpflichtend | 
-| Selbstsignierte Zertifikate mussten bei der Hotline eingereicht werden. | **Selbstsignierte Zertifikate** können ohne Interaktion mit der Hotline verwendet werden. | 
-| Alle Metadatenadmins hatten dieselben Rechte, konnten innerhalb des Organisationsaccounts auf alles zugreifen. | Metadatenadmins können eigenständig **Subadmins** einladen und die Zuständigkeit für bestimmte IdPs/SPs an sie delegieren. | 
-| Logos/Favicons wurden als externe URLs zu den Logos/Favicons in den Metadaten publiziert. Es war möglich, Bilder mit falschen Größen einzubinden.| (Neue) **Logos/Favicons** werden in die Metadatenverwaltung hochladen und von ihr ausgeliefert. Dateien werden beim Upload auf die richtige Größe skaliert oder abgelehnt| 
-| Neue IdP- bzw. SP-Metadatensätze konnten von einer externen URL in die Metadatenverwaltung eingelesen werden. | Neue IdP- bzw. SP-Metadatensätze können **als xml** hochgeladen werden. | 
-| Scopes wurden im IdP-Formular eingeben. | **Scopes** werden als übergeordnete Informationen betrachtet, die auf Organisationsebene gepflegt und dann einzelnen IdPs zugewiesen werden. | 
  
-{{tag>mdvdoku}}+
  • Zuletzt geändert: vor 18 Monaten