JA T3 Framework

Fast. Flexible. Powerful

Kontakt

Tjenesteudbyder: Sådan inddaterer du metadata i JANUS

Hvad er metadata?

Metadata er oplysninger om din SAML2-SP som WAYF skal kende for at kunne kommunikere med den etc.: login-URL'er, kontaktoplysninger, tjenestens navn, formålsbeskrivelse og logo etc. Disse oplysninger skal du indtaste — og vedligeholde — i et entry for din SAML2-SP i WAYFs metadataregister, JANUS.

Log ind i JANUS

Gå til https://janus.wayf.dk og opret en brugerkonto — ved at indgive din e-mailadresse i feltet under Kontooprettelse og så trykke på Send. Kort efter får du så tilsendt en mail med et loginlink. Det vil være hensigtsmæssigt at oprette en særlig e-mailadresse til brug med JANUS — som alle relevante medarbejdere i din organisation kan læse — så den fremtidige adgang til jeres metadata i JANUS ikke er begrænset til dig. Klik på loginlinket i mailen og tryk så på Create-knappen på den side som kommer frem i browseren. Tryk på Dashboard i det resulterende vindue og derefter på fanebladet Connections.

Når brugerkontoen er oprettet, kan man fremover logge ind på kontoen ved at indgive samme e-mailadresse under Login og trykke Send. Klik på det af dine entries som du vil inspicere eller redigere.

Opret metadata-entry

Connections-fanebladet skal du trykke på Create connection for at oprette metadata-entry'et for din SAML2-SP. Vælg derefter SAML 2.0 SP i boksen Select type. Ud for Enter new connection ID: skal du angive det såkaldte entity ID — SAML2-navnet på din SAML2-SP. Denne streng er enten en URL eller en URN og fremgår af konfigurationen i din SAML2-server. Entity ID'et skal svare til et registreret navnerum (fx et DNS-domæne) som du kontrollerer. Tryk på Create når du har inddateret entity ID'et.

Indsæt SSO-endepunkt

På den resulterende skærm vælger du nu fanebladet Metadata. Feltet AssertionConsumerService:0:Location skal du udfylde med din SAML2-SP's såkaldte login-endepunkt: den URL hvorpå din SAML2-SP vil modtage login-svar fra WAYF. Den rigtige værdi må fremgå af din SAML2-SP's konfiguration eller dokumentation. Hvis din SAML2-SP har flere login-URL'er, skal det være den der svarer til binding'en HTTP-POST. Og URL'en skal indledes med https:, ikke med http:. Hvilket indebærer at din SAML2-SP skal køre på en server som understøtter HTTPS.

Udfyld tekstfelterne

Felterne name og description skal udfyldes med henholdsvis din webtjenestes officielle navn og den beskrivelse af tjenestens formål som aftales i tjenesteudbyderkontrakten. Formålsbeskrivelsen vil blive vist for brugeren i samtykkedialogen, sammen med (værdierne af) de attributter som vil blive overført til tjenesten hvis han samtykker. WAYF-sekretariatet påser at strengværdierne er korrekt udfyldt inden forbindelsen sættes i produktion.

Indsæt logo

Metadata for din SAML2-SP skal forsynes med tjenesteudbyderens logo i et af formaterne JPEG, PNG eller GIF. Logoet må højst være 100 pixels højt og 250 pixels bredt. Tryk på Select og vælg icon — og upload så grafikfilen via Choose file.

Finishing Up

I felterne redirect.sign og redirect.validate fjernes markeringerne. I feltet certData indsættes et syntaktisk gyldigt X509-certifikat i base64-indkodet form — af hensyn til entry'ets syntaktiske parsing, men ikke fordi det rent faktisk skal bruges (se WAYFs signeringspolitik her). Du kan evt. bruge et certifikat fra WAYFs egne metadata -- eller HTTPS-certifikatet på din server.

Andre metadata

Man behøver ikke at udfylde andre metadatafelter end dem som er beskrevet herover, men kan godt have nytte af det i forskellige tilfælde. Eksempelvis kan man tilføje et logout-endepunkt (kun med binding'en HTTP-Redirect), hvis ens SAML2-SP understøtter logout. Man kan også tilføje kontaktoplysninger, i felterne contacts:n:.... Eller man kan angive at ens SAML2-SP ønsker at modtage de aftalte attributværdier med URI-benævnelser (i feltet AttributeNameFormat). De ekstra metadatafelter får man frem ved at trykke på det grønne plus under de felter som allerede vises. Behovet for at udfylde yderligere felter kan afklares i samarbejde med WAYF-sekretariatet.

Fra test til produktion

Når du har indtastet de nødvendige metadata for din SAML2-SP og gemt dem (ved at trykke på Gem), så vil WAYFs testmiljø få minutter efter kende din SAML2-SP og kunne kommunikere med den. Så hvis du i din SAML2-SP indlæser metadata for WAYFs testmiljø, som findes her, så vil du kunne afprøve forbindelsen i testmiljøet. Når loginflowet virker her, og tjenesteudbyderkontrakten er blevet underskrevet, så er det tid til at sætte forbindelsen i produktion. Man anmoder WAYF-sekretariatet om at få forbindelsen sat i produktion ved på fanebladet Connection at vælge tilstanden QA Pending (og trykke Gem). Når WAYF har sat entry'et i produktion, vil din SAML2-SP kunne kommunikere med WAYFs produktionsserver — under forudsætning af at du har indlæst metadata for WAYFs produktionsmiljø i din SAML2-SP.

Redigering af metadata i produktion

Hvis du herefter får brug for at redigere dine metadata i JANUS, skal du først, på fanebladet Connection, sætte dit entry i tilstanden Test (og trykke Gem). Sæt entry'et i QA Pending igen når du er færdig med at redigere. Metadata kan kun redigeres når entry'et er i Test.

WAYF – Where Are You From
Asmussens Allé, bygning 305
2800 Kgs. Lyngby

www.wayf.dk
sekretariat@wayf.dk

line
You are here