Identitetsudbyder: Sådan inddaterer du metadata i JANUS

Hvad er metadata?

Metadata er oplysninger om din SAML2-IdP som WAYF skal kende for at kunne kommunikere med den etc.: login-URL'er, signeringscertifikat, kontaktoplysninger, navn, logo etc. Disse oplysninger skal du indtaste — og vedligeholde — i et entry for din SAML2-IdP i WAYFs metadataregister, JANUS.

Log ind i JANUS

Gå til https://janus.wayf.dk og opret en brugerkonto — ved at indgive din e-mailadresse i feltet under Kontooprettelse og så trykke på Send. Kort efter får du så tilsendt en mail med et loginlink. Det vil være hensigtsmæssigt at oprette en særlig e-mailadresse til brug med JANUS — som alle relevante medarbejdere i din organisation kan læse — så den fremtidige adgang til jeres metadata i JANUS ikke er begrænset til dig. Klik på loginlinket i mailen og tryk så på Create-knappen på den side som kommer frem i browseren. Tryk på Dashboard i det resulterende vindue og derefter på fanebladet Connections.

Når brugerkontoen er oprettet, kan man fremover logge ind på kontoen ved at indgive samme e-mailadresse under Login og trykke Send. Klik på det af dine entries som du vil inspicere eller redigere.

Opret metadata-entry

Connections-fanebladet skal du trykke på Create connection for at oprette metadata-entry'et for din SAML2-IdP. Vælg derefter SAML 2.0 IdP i boksen Select type. Ud for Enter new connection ID: skal du angive det såkaldte entity ID — SAML2-navnet på din SAML2-IdP. Denne streng er enten en URL eller en URN og fremgår af konfigurationen i din SAML2-server. Entity ID'et skal svare til et registreret navnerum (fx et DNS-domæne) som du kontrollerer. Tryk på Create når du har inddateret entity ID'et.

Indsæt signeringscertifikat

På den resulterende skærm vælger du nu fanebladet Metadata. Feltet certData skal du udfylde med base64-indkodningen af X509-certifikatet svarende til den privatnøgle hvormed din SAML2-IdP signerer saml:Assertion-elementet i de login-svar som den sender til WAYF — jf. føderationens certifikatpolitik. Konsultér evt. din SAML2-softwares dokumentation for at finde ud af hvordan du installerer privatnøglen til signering. Det er tilladt at bruge samme nøglepar/certifikat til SAML2-signeringen som man bruger til HTTPS. Her findes et værktøj hvor du kan kontrollere om din certifikatstreng er gyldig (kan parses), før du sætter den ind i certData.

Udfyld tekstfelterne

Felterne name, OrganizationDisplayName og OrganizationName udfyldes ens og skal udfyldes med din institutions officielle navn på hhv. dansk og engelsk. I OrganizationURL:da indskrives URL'en for din institutions hjemmeside.

Indsæt SSO-endepunkt

Ud for SingleSignOnService:0:Location skal du angive din SAML2-IdP's såkaldte login-endepunkt: den URL hvorpå din SAML2-IdP vil modtage login-forespørgsler fra WAYF. Den rigtige værdi må fremgå af din SAML2-IdP's konfiguration eller dokumentation. Hvis din SAML2-IdP har flere login-URL'er, skal det være den der svarer til binding'en HTTP-Redirect. Og URL'en skal indledes med https:, ikke med http:. Hvilket indebærer at din SAML2-IdP skal køre på en server som understøtter HTTPS.

Angiv din institutions domæne

Feltet wayf_schacHomeOrganization skal udfyldes med din institutions domæne som registreret hos DK-Hostmaster.

Angiv din institutions type

Tryk på Select og vælg wayf_schacHomeOrganizationType. Værdien higherEducationalInstitution angives hvis institutionen er en uddannelsesinstitution med bestået ungdomsuddannelse som almindeligt adgangskrav; andre uddannelsesinstitutioner skal have værdien educationalInstitution. For institutioner som er (afdelinger af) universitetshospitaler, angives universityHospital. Alle andre institutioner får værdien other.

Indsæt logo

Metadata for din SAML2-IdP skal forsynes med institutionens logo i et af formaterne JPEG, PNG eller GIF. Logoet må højst være 100 pixels højt og 250 pixels bredt. Tryk på Select og vælg icon — og upload så grafikfilen via Choose file.

Finishing up

I felterne redirect.sign og redirect.validate fjernes fluebenene.

Andre metadata

Man behøver ikke at udfylde andre metadatafelter end dem som er beskrevet herover, men kan godt have nytte af det i forskellige tilfælde. Eksempelvis kan man tilføje et logout-endepunkt (kun med binding'en HTTP-Redirect), hvis ens SAML2-IdP understøtter logout. Man kan også tilføje kontaktoplysninger, i felterne contacts:n:.... De ekstra metadatafelter får man frem ved at trykke på det grønne plus under de felter som allerede vises. Behovet for at udfylde yderligere felter kan afklares i samarbejde med WAYF-sekretariatet.

Fra test til produktion

Når du har indtastet de nødvendige metadata for din SAML2-IdP og gemt dem (ved at trykke på Gem), og din institution har underskrevet databehandleraftalen med WAYF, så er det tid til at sætte forbindelsen i produktion. Man anmoder WAYF-sekretariatet om at få forbindelsen sat i produktion ved på fanebladet Connection at vælge tilstanden QA Pending (og trykke Gem). WAYF-sekretariatet kontrollerer så at de obligatoriske felter er udfyldt korrekt. Når WAYF har sat entry'et i produktion, vil din SAML2-IdP kunne kommunikere med WAYFs produktionsserver — under forudsætning af at du har indlæst metadata for WAYFs produktionsmiljø i din SAML2-IdP.

Redigering af metadata i produktion

Hvis du herefter får brug for at redigere dine metadata i JANUS, skal du først, på fanebladet Connection, sætte dit entry i tilstanden Test (og trykke Gem). Sæt entry'et i QA Pending igen når du er færdig med at redigere. Metadata kan kun redigeres når entry'et er i Test. Denne cyklus vil typisk skulle gennemløbes et antal gange i integrationsprocessen før din SAML2-IdP virker korrekt med WAYF.