„HREF metadata specifikáció” változatai közötti eltérés
a (→Metaadat kiterjesztések használata) |
(→Metaadat specifikáció) |
||
| 1. sor: | 1. sor: | ||
= Metaadat specifikáció = | = Metaadat specifikáció = | ||
| + | |||
| + | A föderációs metaadat specifikáció célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak. | ||
| + | |||
| + | == Metaadatban tárolt információk | ||
| + | * Az entitások csoportosítása az őket üzemeltető szervezetek szerint történik. A föderációs metaadat tartalmaz egy 'partners' csoportot is, amiben a föderáció olyan SP-i szerepelnek, melyek nem köthetők konkrét intézményhez (ilyen lehet például egy üzleti céllal üzemeltetett SP). | ||
| + | * Bizalom a metaadatban | ||
| + | * a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja, aminek az aláíró tanúsítványa jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el. | ||
| + | * a metaadat visszavonhatóságát a lejárati idő (<code>validUntil</code>) biztosítja, ami jelenleg 3 nap. | ||
| + | * az egyes rendszerek gyorstárazhatják a metaadatot, de maximum a benne megjelölt ideig (<code>cacheDuration</code>). | ||
| + | * Tanúsítványok | ||
| + | * az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül nem tesz különleges megkötést, sőt: ajánlott az ún. self-signed tanúsítvány használata | ||
| + | * További információk | ||
| + | * minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni | ||
| + | * kötelezően kitöltendőek az intézményi, adminisztratív információk (<code>Organization</code> illetve <code>ContactPerson</code> elemek) | ||
| + | * SP-k esetén további kötelező elemek | ||
| + | * <code>AttributeConsumingService</code>, ami megadja a kért attribútumokat (<code>RequestedAttributes</code> - itt az attribútum informális neve is szerepeljen) illetve a szolgáltatás nevét is | ||
| + | * a szolgáltatás elérhetősége (egy URL, amin a szolgáltatás bemutatkozik) | ||
| + | * adatkezelési szabályzatra mutató URL | ||
| + | * IdP-k esetén | ||
| + | * a scope csak az adott intézmény kezelésében levő domain név lehet | ||
| + | * helpdesk URL, ahova hiba esetén a felhasználók fordulhatnak | ||
| + | * egyéb | ||
| + | * lehetőség van logó illetve gps koordináták tárolására is | ||
== Metaadat kiterjesztések használata == | == Metaadat kiterjesztések használata == | ||
| 21. sor: | 44. sor: | ||
</mdattr:EntityAttributes> | </mdattr:EntityAttributes> | ||
</Extensions> | </Extensions> | ||
| + | |||
| + | == Egy IdP példa == | ||
| + | |||
| + | == Egy SP példa == | ||
A lap 2009. november 26., 14:14-kori változata
Tartalomjegyzék
[elrejtés]Metaadat specifikáció
A föderációs metaadat specifikáció célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.
== Metaadatban tárolt információk
- Az entitások csoportosítása az őket üzemeltető szervezetek szerint történik. A föderációs metaadat tartalmaz egy 'partners' csoportot is, amiben a föderáció olyan SP-i szerepelnek, melyek nem köthetők konkrét intézményhez (ilyen lehet például egy üzleti céllal üzemeltetett SP).
- Bizalom a metaadatban
* a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja, aminek az aláíró tanúsítványa jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el. * a metaadat visszavonhatóságát a lejárati idő (validUntil) biztosítja, ami jelenleg 3 nap. * az egyes rendszerek gyorstárazhatják a metaadatot, de maximum a benne megjelölt ideig (cacheDuration).
- Tanúsítványok
* az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül nem tesz különleges megkötést, sőt: ajánlott az ún. self-signed tanúsítvány használata
- További információk
* minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni * kötelezően kitöltendőek az intézményi, adminisztratív információk (OrganizationilletveContactPersonelemek) * SP-k esetén további kötelező elemek *AttributeConsumingService, ami megadja a kért attribútumokat (RequestedAttributes- itt az attribútum informális neve is szerepeljen) illetve a szolgáltatás nevét is * a szolgáltatás elérhetősége (egy URL, amin a szolgáltatás bemutatkozik) * adatkezelési szabályzatra mutató URL * IdP-k esetén * a scope csak az adott intézmény kezelésében levő domain név lehet * helpdesk URL, ahova hiba esetén a felhasználók fordulhatnak * egyéb * lehetőség van logó illetve gps koordináták tárolására is
Metaadat kiterjesztések használata
http://docs.oasis-open.org/security/saml/Post2.0/sstc-metadata-attr-cd-01.html alapján egy példa:
<Extensions xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"> <mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute"> <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Name="urn:geant:niif.hu:eduid.hu:entity-attributes:tags"> <saml:AttributeValue>edugain</saml:AttributeValue> <saml:AttributeValue>public</saml:AttributeValue> </saml:Attribute> <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Name="urn:geant:niif.hu:eduid.hu:entity-attributes:geographical-coordinates"> <saml:AttributeValue>47.47359,19.052891</saml:AttributeValue> </saml:Attribute> <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Name="urn:geant:niif.hu:eduid.hu:entity-attributes:frontpage"> <saml:AttributeValue>https://sp.example.hu/foderacios-belepes</saml:AttributeValue> </saml:Attribute> </mdattr:EntityAttributes> </Extensions>
