This is an old revision of the document!


FIXME This page is not fully translated, yet. Please help completing the translation.
(remove this paragraph once the translation is finished)

How to fill in Metadata?

Access to the metadata administration tool

New metadata admins can be designated by the administrative or technical contacts who signed the contract with us (see the contract details in Metadata Admin tool). They can send us an e-mail to hotline@aai.dfn.de, containing the following contact details for each new metadata admin:
  • full name,
  • e-mail address and
  • work phone number.

The credentials will be sent directly to the new metadata admins.

Please have a look at the valid version of the Metadata Registration Practice Statements.

Before submitting a new IdP/SP to the federation, please make sure you have filled in the form as described below. Bitte beherzigen Sie die Punkte dieser Checkliste, bevor Sie Ihren neuen IdP/SP in die Produktivföderation aufnehmen, bevor Sie also diesen Radio-Button klicken:

  • Wenn beim Auslesen der Metadaten eines neuen IdP die Fehlermeldung unable to open file erscheint, dann liefert Ihr Webserver nicht die komplette Zertifikatskette aus. Bitte lesen Sie unter Einrichtung der vollständigen Zertifikatskette auf dem Webserver nach und korrigieren Sie dies zunächst.
  • Füllen Sie möglichst alle Felder aus. Wenn rote Warnungen auftauchen, beheben Sie sie zuerst.
  • Verwenden Sie nur Hostnames bzw. URLs, die von außen auflösbar sind. Hausinterne Top-Level-Domains lassen sich nicht speichern.
  • Displayname: der Name Ihrer Einrichtung, Institution oder Firma
  • Beschreibung: Kurzbeschreibung, z.B. “Identity Provider der Universität XY”
  • Information URL: Website der Einrichtung, Institution oder Firma
  • Privacy Statement URL: Hinterlegen Sie hier den Link zu Ihrer Datenschutzerklärung. Das Feld ist für Service Provider Pflicht. Wenn Sie nur eine deutschsprachige Datenschutzerklärung haben, können Sie das Feld “Privacy Statement URL (englisch)” leer lassen und umgekehrt.
  • Die Logos werden im Discovery Service (Favicons der IdPs) bzw. in Loginmasken eingeblendet. Deshalb haben sie fest definierte Größen bzw. Maximalgrößen. Skalieren Sie Ihre Logos so, dass sie dort hineinpassen. Die Logos (groß) sind zwischen 64 und 240 Pixel breit und max. 180 Pixel hoch sein. Die Favicons (Logo klein) sind 16 mal 16 Pixel groß. Für Service Provider wird kein kleines Logo/Favicon benötigt. Für die Teilnahme in eduGAIN muss ein funktionierender Logo URL hnterlegt sein.
  • Für jedes System werden mindestens 4 Kontaktadressen hinterlegt: Administrativer Kontakt, technischer Kontakt, Supportkontakt und Sicherheitskontakt. Grundsätzlich sollten hier Funktionsadressen angegeben werden, insbesondere beim Sicherheitskontakt (z.B. die Ihres CERTs). Wenn Ihre Einrichtung bzw. Firma nicht über eine solche Stelle verfügt, verwenden Sie die Adresse derjenigen, die bei Sicherheitsvorfällen ansprechbar sind. Achten Sie bitte darauf, dass die in der Metadatenverwaltung hinterlegten E-Mail-Adressen aktuell gehalten werden!
  • Halten Sie Ihr X.509-Zertifikat für die SAML-basierte Kommunikation bereit. Die vollständigen Informationen zu diesen Zertifikaten finden Sie hier: https://doku.tid.dfn.de/de:certificates. Das Wichtigste in Kürze:
    • IdPs verwenden Zertifikate der DFN-PKI.
    • SPs dürfen DFN-PKI-Zertifikate (falls berechtigt), Zertifikate einer etablierten kommerziellen CA oder selbstsignierte Zertifikate verwenden.
    • Die SSL-Zertifikate dürfen eine Gültigkeit von 39 Monaten nicht überschreiten.
    • CA-Zertifikate, die mit dem Signaturalgorithmus sha1 erstellt wurden, akzeptieren wir aus Sicherheitsgründen nicht mehr (gilt nicht für selbst-signierte Zertifikate). So können Sie dies am Beispiel von openssl prüfen:
openssl x509 -in example.org.crt.pem -noout -text | grep "Signature Algorithm" | uniq
  • Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem Client-Attribut ausgestattet sein. Bei der DFN-PKI sorgt das Profil “Shibboleth-IdP/-SP” dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der Dokumentation unserer Schweizer Kolleg*innen orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type=“Query”> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:
openssl x509 -in example.org.crt.pem -noout -text | grep -A 1 "X509v3 Extended Key Usage"
            X509v3 Extended Key Usage:
                TLS Web Client Authentication, TLS Web Server Authentication
  • Nehmen Sie Ihr System in die Testföderation DFN-AAI-Test auf. Nutzen Sie unsere öffentlichen Testsysteme, um zu schauen, ob erfolgreich Attribute übertragen werden.

  • Wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation.

  • Last modified: 3 years ago