This is an old revision of the document!

FIXME This page is not fully translated, yet. Please help completing the translation.
(remove this paragraph once the translation is finished)

How to fill in metadata?

Access to the metadata administration tool

New metadata admins can be designated by the administrative or technical contacts who signed the contract with us (see the contract details in Metadata Admin tool). They can send us an e-mail to hotline@aai.dfn.de, containing the following contact details for each new metadata admin:
  • full name,
  • e-mail address and
  • work phone number.

The credentials will be sent directly to the new metadata admins.

Please have a look at the valid version of the Metadata Registration Practice Statements.

Before submitting a new IdP/SP to the federation, please make sure you have filled in the form as described below - that is: before you activate a federation with this radio button:

  • The metadata administration tool can fetch your IdP's/SP's metadata from the system. If you get a warning saying unable to open file, your webserver does not return the full certificate chain. On the certificates page you can read how to correct this.
  • Fill in all fields if possible. If you see red warnings correct them before submitting the IdP/SP to production.
  • Use host name resp. URLs that can be resolved from outside your network. Systems with internal top level domains cannot be saved.
  • Display name: the name of your institution, organization, or company
  • Description: A short description, e.g. “Identity Provider of University XY”
  • Information URL: Website of the institution, organization, or company
  • Privacy Statement URL: Add the link to your privacy statement. For Service Providers the field is mandatory. If you only have a privacy statement in either English or German you can leave the second field blank.
  • The logos are displayed during Discovery (IdP favicons) resp. on login screens. That is why they have maximum sizes. Scale your logos down to fit this size. Logos (big) can have a width of 64 to 240 px and a maximum height of 180 px. Favicons (logo small) have a size of 16 x 16 px. Service Providers do not need a small logo/favicon. To participate in eduGAIN (de) a working logo URL must be submitted.
  • Für jedes System werden mindestens 4 Kontaktadressen hinterlegt: Administrativer Kontakt, technischer Kontakt, Supportkontakt und Sicherheitskontakt. Grundsätzlich sollten hier Funktionsadressen angegeben werden, insbesondere beim Sicherheitskontakt (z.B. die Ihres CERTs). Wenn Ihre Einrichtung bzw. Firma nicht über eine solche Stelle verfügt, verwenden Sie die Adresse derjenigen, die bei Sicherheitsvorfällen ansprechbar sind. Achten Sie bitte darauf, dass die in der Metadatenverwaltung hinterlegten E-Mail-Adressen aktuell gehalten werden!
  • Halten Sie Ihr X.509-Zertifikat für die SAML-basierte Kommunikation bereit. Die vollständigen Informationen zu diesen Zertifikaten finden Sie hier: https://doku.tid.dfn.de/de:certificates. Das Wichtigste in Kürze:
    • IdPs verwenden Zertifikate der DFN-PKI.
    • SPs dürfen DFN-PKI-Zertifikate (falls berechtigt), Zertifikate einer etablierten kommerziellen CA oder selbstsignierte Zertifikate verwenden.
    • Die SSL-Zertifikate dürfen eine Gültigkeit von 39 Monaten nicht überschreiten.
    • CA-Zertifikate, die mit dem Signaturalgorithmus sha1 erstellt wurden, akzeptieren wir aus Sicherheitsgründen nicht mehr (gilt nicht für selbst-signierte Zertifikate). So können Sie dies am Beispiel von openssl prüfen:
openssl x509 -in example.org.crt.pem -noout -text | grep "Signature Algorithm" | uniq
  • Für Service Provider, optional: Falls der betreffende SP Attribute Queries und Artifact Queries ausführen können soll, sollten SP-Zertifikate mit dem Client-Attribut ausgestattet sein. Bei der DFN-PKI sorgt das Profil “Shibboleth-IdP/-SP” dafür, dass es dabei ist. Wenn Sie nicht die DFN-PKI nutzen, können Sie sich an der Dokumentation unserer Schweizer Kolleg*innen orientieren. Wenn Sie keine Attribute Queries und Artifact Queries brauchen, dann deaktivieren Sie bitte dieses Feature in der SP-Konfiguration. Beim Shibboleth SP muss das Element <AttributeResolver type=“Query”> auszukommentiert und shibd erneut gestartet werden. Außerdem sollten Sie den Binding URL für Artifact Resolution Services sowie alle SOAP-Bindings (Logout) entfernen. So überprüfen Sie Ihr SP-Zertifikat am Beispiel von openssl:
openssl x509 -in example.org.crt.pem -noout -text | grep -A 1 "X509v3 Extended Key Usage"
            X509v3 Extended Key Usage:
                TLS Web Client Authentication, TLS Web Server Authentication
  • Nehmen Sie Ihr System in die Testföderation DFN-AAI-Test auf. Nutzen Sie unsere öffentlichen Testsysteme, um zu schauen, ob erfolgreich Attribute übertragen werden.

  • Wenn das klappt, beantragen Sie die Aufnahme in die Produktivföderation.

  • Last modified: 3 years ago