Both sides previous revision Previous revision Next revision | Previous revision Next revisionBoth sides next revision |
en:checklist [2021/07/20 09:28] – clickable email Silke Meyer | en:checklist [2021/07/20 11:58] – replaces en:metadata_admin_tool:checklist, correctly recognized translation page Silke Meyer |
---|
FIXME **This page is not fully translated, yet. Please help completing the translation.**\\ //(remove this paragraph once the translation is finished)// | ====== Check list for publishing metadata ====== |
| |
====== How to fill in Metadata? ====== | |
| |
<callout color="#ff9900" title="Access to the metadata administration tool"> | <callout color="#ff9900" title="Access to the metadata administration tool"> |
Please have a look at the valid version of the [[en:normative_documents|Metadata Registration Practice Statements]]. | Please have a look at the valid version of the [[en:normative_documents|Metadata Registration Practice Statements]]. |
| |
Before submitting a new IdP/SP to the federation, please make sure you have filled in the form as described below. | Before submitting a new IdP/SP to the federation, please make sure you have filled in the form as described below - that is: before you activate a federation with this radio button: |
Bitte beherzigen Sie die Punkte dieser Checkliste, bevor Sie Ihren neuen IdP/SP in die Produktivföderation aufnehmen, bevor Sie also diesen Radio-Button klicken: | |
| |
{{:en:metadata_admin_tool:no-federation.png?600|}} | {{:en:metadata_admin_tool:no-federation.png?600|}} |
| |
* Wenn beim Auslesen der Metadaten eines neuen IdP die Fehlermeldung **unable to open file** erscheint, dann liefert Ihr Webserver nicht die komplette Zertifikatskette aus. Bitte lesen Sie unter [[https://doku.tid.dfn.de/de:certificates#einrichtung_der_vollstaendigen_zertifikatskette_auf_dem_webserver | Einrichtung der vollständigen Zertifikatskette auf dem Webserver]] nach und korrigieren Sie dies zunächst. | * The metadata administration tool can fetch your IdP's/SP's metadata from the system. If you get a warning saying **unable to open file**, your webserver does not return the full certificate chain. On the [[en:certificates#the_ssl_certificate_chain_on_your_webserver|certificates page]] you can read how to correct this. |
* Füllen Sie möglichst alle Felder aus. Wenn rote Warnungen auftauchen, beheben Sie sie zuerst. | * Fill in all fields. If you see **red warnings** correct them before submitting the IdP/SP to production. |
* Verwenden Sie nur Hostnames bzw. URLs, die von außen auflösbar sind. Hausinterne Top-Level-Domains lassen sich nicht speichern. | * Use host name resp. URLs that can be resolved from outside your network. Systems with internal top level domains cannot be saved. |
* Displayname: der Name Ihrer Einrichtung, Institution oder Firma | * **Display name:** the name of your institution, organization, or company |
* Beschreibung: Kurzbeschreibung, z.B. "Identity Provider der Universität XY" | * **Description:** A short description, e.g. "Identity Provider of University XY" |
* Information URL: Website der Einrichtung, Institution oder Firma | * **Information URL:** Website of the institution, organization, or company |
* **Privacy Statement URL**: Hinterlegen Sie hier den Link zu Ihrer **Datenschutzerklärung**. Das Feld ist **für Service Provider Pflicht**. Wenn Sie nur eine deutschsprachige Datenschutzerklärung haben, können Sie das Feld "Privacy Statement URL (englisch)" leer lassen und umgekehrt. | * **Privacy Statement URL:** Add the link to your privacy statement. **For Service Providers the field is mandatory.** If you only have a privacy statement in either English or German you can leave the second field blank. |
* Die **Logos** werden im Discovery Service (Favicons der IdPs) bzw. in Loginmasken eingeblendet. Deshalb haben sie fest definierte Größen bzw. **Maximalgrößen**. Skalieren Sie Ihre Logos so, dass sie dort hineinpassen. Die Logos (groß) sind zwischen 64 und 240 Pixel breit und max. 180 Pixel hoch sein. Die Favicons (Logo klein) sind 16 mal 16 Pixel groß. Für Service Provider wird //kein// kleines Logo/Favicon benötigt. Für die Teilnahme in [[de:edugain|eduGAIN]] **muss** ein funktionierender Logo URL hnterlegt sein. | * The **logos** are displayed during Discovery (IdP favicons) resp. on login screens. That is why they have **maximum sizes**. Scale your logos down to fit this size. Logos (big) can have a width of 64 to 240 px and a maximum height of 180 px. Favicons (logo small) have a size of 16 x 16 px. Service Providers do not need a small logo/favicon, just a big one. To participate in [[de:edugain|eduGAIN (de)]] a working logo URL **must** be submitted. |
* Für jedes System werden mindestens 4 **Kontaktadressen** hinterlegt: Administrativer Kontakt, technischer Kontakt, Supportkontakt und Sicherheitskontakt. Grundsätzlich sollten hier Funktionsadressen angegeben werden, insbesondere beim Sicherheitskontakt (z.B. die Ihres CERTs). Wenn Ihre Einrichtung bzw. Firma nicht über eine solche Stelle verfügt, verwenden Sie die Adresse derjenigen, die bei Sicherheitsvorfällen ansprechbar sind. Achten Sie bitte darauf, dass die in der Metadatenverwaltung hinterlegten E-Mail-Adressen aktuell gehalten werden! | * Please submit at least four **contacts** per system: An administrative contact, a technical one, a support contact and a security contact. We recommend to use non-personalized email addresses, especially for the security contact which could be your Computer Emergency Response Team. If you do not have anything like that, put in the contact that responds in case of security incidents. Please make sure to keep those email addresses up to date! |
* Halten Sie Ihr X.509-Zertifikat für die SAML-basierte Kommunikation bereit. Die vollständigen Informationen zu diesen Zertifikaten finden Sie hier: [[https://doku.tid.dfn.de/de:certificates|https://doku.tid.dfn.de/de:certificates]]. Das Wichtigste in Kürze: | * Have your X.509 **certificate** for SAML-based communication ready. We have an [[en:certificates|information page about certificates]]. The most important items are: |
* IdPs verwenden Zertifikate der DFN-PKI. | * IdPs use DFN-PKI certificates. As of July 2019, only the **second generation of DFN-PKI certificates** will be valid. |
* SPs dürfen DFN-PKI-Zertifikate (falls berechtigt), Zertifikate einer etablierten kommerziellen CA oder selbstsignierte Zertifikate verwenden. | * SPs can use DFN-PKI certificates (if entitled), certificates issued by established commercial CAs, or self-signed certificates. |
* Die SSL-Zertifikate dürfen eine **Gültigkeit von 39 Monaten** nicht überschreiten. | * SSL certificates must not exceed a **validity of 39 months**. |
* CA-Zertifikate, die mit dem **Signaturalgorithmus** sha1 erstellt wurden, akzeptieren wir aus Sicherheitsgründen nicht mehr (gilt nicht für selbst-signierte Zertifikate). So können Sie dies am Beispiel von openssl prüfen: | * For security reasons, we do no longer accept certificates that were created with a sha1 **signature algorithm**. Here is how you can check this, e.g. with openssl: |
<code> | <code> |
openssl x509 -in example.org.crt.pem -noout -text | grep "Signature Algorithm" | uniq | openssl x509 -in example.org.crt.pem -noout -text | grep "Signature Algorithm" | uniq |
</code> | </code> |
| |
* Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem **Client-Attribut** ausgestattet sein. Bei der DFN-PKI sorgt das Profil "Shibboleth-IdP/-SP" dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|Dokumentation unserer Schweizer Kolleg*innen]] orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type="Query"> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl: | * For Service Providers: If you need your SP to execute **Attribute Queries or Artifact Queries**, your SP certificate should have the client attribute set. If you request your certificate from DFN-PKI, please use the template called "Shibboleth IdP/-SP". If you do not use DFN-PKI certificates, have a look at [[https://www.switch.ch/aai/support/certificates/embeddedcerts-requirements-appendix-a/|our Swiss colleagues' documentation]]. If you do not need any Attribute/Artifact Queries, please deactivate the feature in your SP. With a Shibboleth SP you'd have to remove the element <AttributeResolver type="Query"> and to restart shibd. Moreover, you should remove the Binding URL for Artifact Resolution Services and all SOAP Bindings (Logout). Here is how you check if your certificate has the client attribute set with openssl: |
<code> | <code> |
openssl x509 -in example.org.crt.pem -noout -text | grep -A 1 "X509v3 Extended Key Usage" | openssl x509 -in example.org.crt.pem -noout -text | grep -A 1 "X509v3 Extended Key Usage" |
</code> | </code> |
| |
* Nehmen Sie Ihr System in die **Testföderation** DFN-AAI-Test auf. Nutzen Sie unsere [[de:functionaltest|öffentlichen Testsysteme]], um zu schauen, ob erfolgreich Attribute übertragen werden. | * Put your new system into our **test federation** DFN-AAI-Test. Use our [[en:functionaltest|public test systems]] to check if the transfer of attributes works correctly. |
{{:de:metadata_admin_tool:test-de.png?600|}} | {{:en:metadata_admin_tool:test-en.png?600|}} |
| * If it does, submit a request to join DFN-AAI. A ticket is then opened on our side and you will hear from us. |
* Wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation. | |
| |
{{:de:metadata_admin_tool:in-bearbeitung.png?600|}} | {{:en:metadata_admin_tool:in-progress.png?600|}} |
| |