„JoiningEduGAIN” változatai közötti eltérés
(→IdP csatlakozása az eduGAIN-hez?) |
(→Egyidejű használat) |
||
| (5 közbenső módosítás, amit 2 másik szerkesztő végzett, nincs mutatva) | |||
| 1. sor: | 1. sor: | ||
| − | == IdP | + | == Metaadatok == |
| − | + | Az eduGAIN csatlakozáshoz a csatlakozó entitásnak - akár IdP, akár SP - ismernie kell az eduGAIN-ben résztvevő többi entitást. Ezt vagy a hagyományos módszerrel, az eduGAIN aláírt metaadatainak betöltésével lehet elérni, vagy az igény szerinti metaadat-kiszolgáló (MDX) használatával. | |
| − | + | === Hagyományos XML állomány === | |
| − | + | Töltse be és rendszeresen frissítse az általunk aláírt eduGAIN metadatát: http://metadata.eduid.hu/current/edugain.xml. Az aláírókulcs megegyezik a többi metadata setet aláíró kulccsal (https://metadata.eduid.hu/href-metadata-signer-2011.crt). Félreértések elkerülése végett a magyar entitások az újra aláírt eduGAIN metaadatok között nem szerepelnek, hogy ne legyen duplikáció. | |
| − | + | Ennél a módszernél fel kell készülni arra, hogy a metaadat-frissítés hosszadalmas, több percet igénylő folyamat lehet. Néhány jellemző probléma: | |
| − | * '' | + | * Shibboleth SP el- vagy újraindításakor több percen keresztül <code>ListenerException</code> hiba jelentkezik. |
| − | * ''Shibboleth'': | + | * SimpleSAMLphp esetén a ''metarefresh'' kifut a rendelkezésre álló memóriából, vagy tovább fut, mint a <code>max_execution_timeout</code> vagy a webszerver beállításai ezt lehetővé tennék. |
| − | + | === Igény szerinti metaadat kiszolgálás === | |
| + | Ebben az esetben a metaadatokat csak akkor töltjük le, ha éppen szükség van rájuk. Részletes leírás itt: [[MDX]]. | ||
| + | |||
| + | Ennek a módszernek előnye, hogy sokkal kevesebb erőforrást igényel a szerveren. Az alapértelmezés szerinti gyorstárazási idő is jóval rövidebb, mint a hagyományos esetben, így a változások valamivel hamarabb érvényre jutnak. | ||
| + | === Egyidejű használat === | ||
| + | Mind a Shibboleth, mind a SimpleSAMLphp lehetővé teszi, hogy a hagyományos fájl-alapú és az MDX alapú metaadat forrásokat egyidőben használjuk. Például: | ||
| + | * helyi statikus metaadat-állományokat használunk, | ||
| + | * a magyar entitásokat hagyományos módon, az eduGAIN-es entitásokat MDX-szel akarjuk letölteni. | ||
| + | |||
| + | Ilyen esetben az MDX metaadat-forrást célszerű utolsó helyre tenni a sorban. Ekkor az metaadat-kérés csak akkor hajtódik végre, ha az entitás egyik statikus forrásban sem található meg. | ||
| + | |||
| + | HOWTO: [[SimpleSAMLMixedMetadata | SimpleSAMLphp metaadatforrások egyidejű használata]]. | ||
| + | |||
| + | == IdP csatlakozása az eduGAIN-hez == | ||
| + | Az IdP-nek értelmeznie kell SP-k attribútum-igényeit. Erre '''erősen ajánlott''' az EntityCategory alapú attribútum kiadást használni, kiegészítve a metadata-alapú (RequestedAttributes) attribútum kiadási mechanizmussal. | ||
| + | * ''SimpleSAMLphp'': a javasolt megoldásról [[SSP_EntityCategories| bővebben erre]]. | ||
| + | * ''Shibboleth'': natívan ismeri mindkét attribútumkiadási mechanizmust: | ||
| + | ** https://wiki.shibboleth.net/confluence/display/SHIB2/IdPFilterRequirementAttributeInMetadata | ||
| + | ** https://wiki.shibboleth.net/confluence/display/IDP30/EntityAttributeExactMatchConfiguration | ||
| + | |||
| + | A metaadatok, illetve az attribútum-kiadás megfelelő konfigurációja '''után''' az IdP csatlakozását az IdP technikai kapcsolattartója kezdeményezi a föderációs adminfelületen (https://rr.eduid.hu), ügyelve arra, hogy az entitáshoz beállított logó is https-en keresztüli url-en legyen elérhető, ill. rögzítésre kerüljenek a különböző leíró dokumentumok angol nyelvű változataira mutató url-ek is. | ||
== SP csatlakozása az eduGAIN-hez == | == SP csatlakozása az eduGAIN-hez == | ||
| − | + | A metaadatok megfelelő konfigurációja '''után''' az SP adminisztrátora a Resource Registry-ben állíthatja be, hogy az SP az eduGAIN-ben publikálásra kerüljön. | |
| − | + | ||
| − | + | A Discovery felület integrációjával kapcsolatban lásd az [[MDX# Fontos tudnivaló Discovery Service használattal kapcsolatban | MDX leírás vonatkozó részét]]! | |
| + | === Entitás kategóriák === | ||
| + | Amennyiben nemzetközi együttműködésben vesz részt az SP, az entitás kategóriák használatával megkönnyíthetjük, hogy az IdP-k az igényelt attribútumokat kiadják. | ||
| + | |||
| + | Az entitás kategóriák beállítását az SP kapcsolattartója az info@eduid.hu címen kezdeményezheti. | ||
| + | ==== Research & Scholarship ==== | ||
| + | Amennyiben a szolgáltatás a kutatást vagy az oktatást támogatja, beállítható a ''Research & Scholarship'' entitás kategória. Részletes szabályok: https://refeds.org/category/research-and-scholarship | ||
| + | ==== GÉANT Data Protection Code of Conduct ==== | ||
| + | Az entitás kategória részletes szabályai itt találhatóak: https://wiki.edugain.org/Recipe_for_a_Service_Provider . Fontos kiemelni, hogy ez a kategória az entitás metaadatainak részletes kitöltését (https://rr.eduid.hu) igényli, valamint egy olyan angol nyelvű adatvédelmi szabályzat meglétét, amely hivatkozik a http://www.geant.net/uri/dataprotection-code-of-conduct/v1 dokumentumra. | ||
[[Category: AAI]] | [[Category: AAI]] | ||
[[Category: EduGAIN]] | [[Category: EduGAIN]] | ||
[[Category: HOWTO]] | [[Category: HOWTO]] | ||
A lap jelenlegi, 2017. november 20., 10:21-kori változata
Tartalomjegyzék
[elrejtés]Metaadatok
Az eduGAIN csatlakozáshoz a csatlakozó entitásnak - akár IdP, akár SP - ismernie kell az eduGAIN-ben résztvevő többi entitást. Ezt vagy a hagyományos módszerrel, az eduGAIN aláírt metaadatainak betöltésével lehet elérni, vagy az igény szerinti metaadat-kiszolgáló (MDX) használatával.
Hagyományos XML állomány
Töltse be és rendszeresen frissítse az általunk aláírt eduGAIN metadatát: http://metadata.eduid.hu/current/edugain.xml. Az aláírókulcs megegyezik a többi metadata setet aláíró kulccsal (https://metadata.eduid.hu/href-metadata-signer-2011.crt). Félreértések elkerülése végett a magyar entitások az újra aláírt eduGAIN metaadatok között nem szerepelnek, hogy ne legyen duplikáció.
Ennél a módszernél fel kell készülni arra, hogy a metaadat-frissítés hosszadalmas, több percet igénylő folyamat lehet. Néhány jellemző probléma:
- Shibboleth SP el- vagy újraindításakor több percen keresztül
ListenerExceptionhiba jelentkezik. - SimpleSAMLphp esetén a metarefresh kifut a rendelkezésre álló memóriából, vagy tovább fut, mint a
max_execution_timeoutvagy a webszerver beállításai ezt lehetővé tennék.
Igény szerinti metaadat kiszolgálás
Ebben az esetben a metaadatokat csak akkor töltjük le, ha éppen szükség van rájuk. Részletes leírás itt: MDX.
Ennek a módszernek előnye, hogy sokkal kevesebb erőforrást igényel a szerveren. Az alapértelmezés szerinti gyorstárazási idő is jóval rövidebb, mint a hagyományos esetben, így a változások valamivel hamarabb érvényre jutnak.
Egyidejű használat
Mind a Shibboleth, mind a SimpleSAMLphp lehetővé teszi, hogy a hagyományos fájl-alapú és az MDX alapú metaadat forrásokat egyidőben használjuk. Például:
- helyi statikus metaadat-állományokat használunk,
- a magyar entitásokat hagyományos módon, az eduGAIN-es entitásokat MDX-szel akarjuk letölteni.
Ilyen esetben az MDX metaadat-forrást célszerű utolsó helyre tenni a sorban. Ekkor az metaadat-kérés csak akkor hajtódik végre, ha az entitás egyik statikus forrásban sem található meg.
HOWTO: SimpleSAMLphp metaadatforrások egyidejű használata.
IdP csatlakozása az eduGAIN-hez
Az IdP-nek értelmeznie kell SP-k attribútum-igényeit. Erre erősen ajánlott az EntityCategory alapú attribútum kiadást használni, kiegészítve a metadata-alapú (RequestedAttributes) attribútum kiadási mechanizmussal.
- SimpleSAMLphp: a javasolt megoldásról bővebben erre.
- Shibboleth: natívan ismeri mindkét attribútumkiadási mechanizmust:
A metaadatok, illetve az attribútum-kiadás megfelelő konfigurációja után az IdP csatlakozását az IdP technikai kapcsolattartója kezdeményezi a föderációs adminfelületen (https://rr.eduid.hu), ügyelve arra, hogy az entitáshoz beállított logó is https-en keresztüli url-en legyen elérhető, ill. rögzítésre kerüljenek a különböző leíró dokumentumok angol nyelvű változataira mutató url-ek is.
SP csatlakozása az eduGAIN-hez
A metaadatok megfelelő konfigurációja után az SP adminisztrátora a Resource Registry-ben állíthatja be, hogy az SP az eduGAIN-ben publikálásra kerüljön.
A Discovery felület integrációjával kapcsolatban lásd az MDX leírás vonatkozó részét!
Entitás kategóriák
Amennyiben nemzetközi együttműködésben vesz részt az SP, az entitás kategóriák használatával megkönnyíthetjük, hogy az IdP-k az igényelt attribútumokat kiadják.
Az entitás kategóriák beállítását az SP kapcsolattartója az info@eduid.hu címen kezdeményezheti.
Research & Scholarship
Amennyiben a szolgáltatás a kutatást vagy az oktatást támogatja, beállítható a Research & Scholarship entitás kategória. Részletes szabályok: https://refeds.org/category/research-and-scholarship
GÉANT Data Protection Code of Conduct
Az entitás kategória részletes szabályai itt találhatóak: https://wiki.edugain.org/Recipe_for_a_Service_Provider . Fontos kiemelni, hogy ez a kategória az entitás metaadatainak részletes kitöltését (https://rr.eduid.hu) igényli, valamint egy olyan angol nyelvű adatvédelmi szabályzat meglétét, amely hivatkozik a http://www.geant.net/uri/dataprotection-code-of-conduct/v1 dokumentumra.
