„Metadata” változatai közötti eltérés
a (→Switch WAYF: címsor) |
(→Shibboleth 1.3) |
||
| 23. sor: | 23. sor: | ||
== Shibboleth 1.3 == | == Shibboleth 1.3 == | ||
| + | A Shibboleth (mind az SP, mind az IdP) a metaadatokat kizárólag a másik féllel kapcsolatban használja, tehát a saját konfigurációjával kapcsolatban figyelmen kívül hagyja. | ||
| + | |||
| + | Az 1.3-as verzió kizárólag lokális állományokkal dolgozik (ez változni fog a 2.0-ban). | ||
=== Scope === | === Scope === | ||
A Shibboleth 1.3 kiterjesztette a SAML2 metadata struktúrát egy saját, <code>Scope</code> mezővel. Ez a "scope" igazából egy ''postfix'' tagot definiál, melynek segítségével bizonyos attribútumok értelmezési helye jól meghatározható. | A Shibboleth 1.3 kiterjesztette a SAML2 metadata struktúrát egy saját, <code>Scope</code> mezővel. Ez a "scope" igazából egy ''postfix'' tagot definiál, melynek segítségével bizonyos attribútumok értelmezési helye jól meghatározható. | ||
A lap 2008. január 9., 17:44-kori változata
Ahhoz, hogy a föderációban résztvevő entitások biztonságosan tudjanak kommunikálni egymással, szükség van egy metaadat állományra. Ez a metaadat állomány szinte mindig humán felügyelettel jön létre, mivel a szervezetek közötti bizalmi kapcsolat technikai leképzésének ez az elsődleges eleme. (Másodlagos leképzésnek nevezhetjük az attribútum policy IdP és SP oldali megvalósítását.)
Tartalomjegyzék
[elrejtés]SAML 2.0 metaadatok
Pontos szabvány: http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf
A metadata állomány az alábbi fontosabb információkat tartalmazza
- Érvényesség, aláírás
- Identity Providerek
- Attribute authorityk
- Service Providerek
- IdP-k és SP-k tanúsítványai
- IdP-khez és SP-khez kapcsolódó szervezeti és kontakt információk
Metadata érvényesége és hitelessége
IdP
AA
SP
Tanúsítványok
Kontakt információk
Példák
Egy IdP-hez tartozó metadata
A meglehetősen komplex eseteket leszámítva általában az Identity Provider és az Attribute Authority egyetlen entitásként kezelhető.
Egy SP-hez tartozó metadata
Shibboleth 1.3
A Shibboleth (mind az SP, mind az IdP) a metaadatokat kizárólag a másik féllel kapcsolatban használja, tehát a saját konfigurációjával kapcsolatban figyelmen kívül hagyja.
Az 1.3-as verzió kizárólag lokális állományokkal dolgozik (ez változni fog a 2.0-ban).
Scope
A Shibboleth 1.3 kiterjesztette a SAML2 metadata struktúrát egy saját, Scope mezővel. Ez a "scope" igazából egy postfix tagot definiál, melynek segítségével bizonyos attribútumok értelmezési helye jól meghatározható.
Erre jó példa az eduPersonPrincipalName attribútum, mely a felhasználó egyedi azonosítóját adja meg. Ez az azonosító két részből áll:
- egy intézményen belüli egyedi azonosítóból (pl.
bajnokk) - az intézmény azonosítójából, a scope-ból (pl.
niif.hu)
Ha a metadatában használjuk a Scope mezőt, akkor az SP ellenőrizni tudja, hogy az IdP jogosult-e ilyen scope-pal rendelkező attribútumot kiadni.
Szintén gyakran használt scope-os attribútum az eduPersonScopedAffiliation.
Metadata eszközök
Több metadata állomány használata
Nem SAML 2.0 metaadatokat használó alkalmazások
simpleSAMLphp
 |
A szócikk vagy fejezet még megírásra vár
Ha ki tudod egészíteni, megköszönjük! |
Switch WAYF
|
A szócikk vagy fejezet még megírásra vár
Ha ki tudod egészíteni, megköszönjük! |
