Eintragen des IdP in die Metadaten

Nun tragen Sie Ihren IdP in die Metadaten ein. Melden Sie sich dazu mit den Zugangsdaten, die Sie von uns erhalten haben, an der Metadatenverwaltung an.

Im Abschnitt „IdP-Liste“ wählen Sie „neuen IdP anlegen“.

Geben Sie nun die EntityId Ihres IdP in das URL-Feld im Abschnitt Metadatengenerator ein und klicken Sie auf „abfragen“.

Die Metadatenverwaltung holt jetzt die Informationen aus ./metadata/idp-metadata.xml, die Sie im Schritt Vorbereitung der IdP-Metadaten auf dem IdP hinterlegt haben.

Einige Informationen liefert Ihr IdP nicht - die müssen Sie noch direkt ins Formular eingeben:

Für jedes System werden mindestens vier Kontaktadressen hinterlegt:

• administrativer Kontakt
• technischer Kontakt
• Supportkontakt
• Sicherheitskontakt

Wählen Sie am besten Funktionsadressen, insbesondere beim Sicherheitskontakt (z.B. die Ihres CERTs). Wenn Ihre Heimateinrichtung bzw. Firma nicht über eine solche Stelle verfügt, verwenden Sie die Adresse derjenigen, die bei Sicherheitsvorfällen ansprechbar sind. Achten Sie bitte darauf, dass die in der Metadatenverwaltung hinterlegten E-Mail-Adressen aktuell gehalten werden!

Die Adressen müssen leider zur Zeit einzeln gespeichert werden (ganz unten auf der Seite).

• Gehen Sie auf die Übersichtsseite Ihrer Organisation und klappen Sie den Abschnitt „Entitäten“ auf. Klicken Sie dort auf „Identity Provider“.
• Wenn Sie oder Ihre Kolleg*innen bereits IdPs hinterlegt haben, sehen Sie hier eine Liste.
• Über der Liste sind zwei Knöpfe:
• Klicken Sie auf „Eine Entität aus vorhandenen Metadaten erzeugen“:
  • 
  • Kopieren Sie sich den Inhalt der Datei ./metadata/idp-metadata.xml, fügen Sie ihn in das Textfeld ein und klicken Sie auf „Hochladen“.
  • Der IdP ist jetzt angelegt worden.

Einige Informationen fehlen in der automatisch generierten Datei ./metadata/idp-metadata.xml. Sie müssen noch direkt im Formular ergänzt werden:

Für jedes System werden mindestens vier Kontaktadressen hinterlegt:

• administrativer Kontakt
• technischer Kontakt
• Supportkontakt
• Sicherheitskontakt

Wählen Sie am besten Funktionsadressen, insbesondere beim Sicherheitskontakt (z.B. die Ihres CERTs). Wenn Ihre Heimateinrichtung bzw. Firma nicht über eine solche Stelle verfügt, verwenden Sie die Adresse derjenigen, die bei Sicherheitsvorfällen ansprechbar sind. Achten Sie bitte darauf, dass die in der Metadatenverwaltung hinterlegten E-Mail-Adressen aktuell gehalten werden!

Prüfen Sie, ob die Endpunkte für Single Logout ausgefüllt sind und tragen Sie sie ggf. nach (siehe Checkliste).

Wie bereits erwähnt, können Sie für erste Tests die Zertifikate, die bei der IdP-Installation automatisch generiert wurden, für die ersten Tests verwenden. Das Tutorial kommt an späterer Stelle auf den Zertifikatswechsel zurück.

Unten finden Sie den Bereich „Föderationen“. Hier stellen Sie ein, in welche xml-Metadatensätze wir Ihren IdP aufnehmen sollen. Zunächst setzen Sie nur bei der Testföderation ein Häkchen.

aktuelle/alte Metadatenverwaltung:

zukünftige/neue Metadatenverwaltung:

Änderungen an den Metadaten werden nicht sofort an die Service Provider in der Föderation propagiert. Wir geben einmal stündlich neu aggregierte, signierte Metadatensätze heraus. Der Cronjob läuft zur vollen Stunde und braucht ca. 10 Minuten. Um sicherzugehen, dass die SPs die neuen Metadaten geholt haben, warten Sie bitte stets 90 Minuten, bevor Sie testen.