„HREF metadata specifikáció” változatai közötti eltérés

Innen: KIFÜ Wiki
(Metaadat kiterjesztések használata)
(Egy IdP példa)
87. sor: 87. sor:
  
 
== Egy IdP példa ==
 
== Egy IdP példa ==
 +
<EntityDescriptor entityID="https://idp.niif.hu/shibboleth">
 +
  <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0">
 +
  <Extensions>
 +
    <shibmd:Scope>niif.hu</shibmd:Scope>
 +
    <mdattr:EntityAttributes
 +
    xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attributes"
 +
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
 +
    <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:tags">
 +
      <saml:AttributeValue>edugain</saml:AttributeValue>
 +
    </saml:Attribute>
 +
    <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:geographical-coordinates">
 +
      <saml:AttributeValue>47.518356,19.055437</saml:AttributeValue>
 +
    </saml:Attribute>
 +
    </mdattr:EntityAttributes>
 +
  </Extensions>
 +
  <KeyDescriptor use="signing">
 +
    <ds:KeyInfo>
 +
    <ds:X509Data>
 +
      <ds:X509Certificate>...</ds:X509Certificate>
 +
    </ds:X509Data>
 +
    </ds:KeyInfo>
 +
  </KeyDescriptor>
 +
  <ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.niif.hu:8443/idp/profile/SAML2/SOAP/ArtifactResolution" index="1"/>
 +
  <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://idp.niif.hu/idp/profile/SAML2/POST/SLO"/>
 +
  <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.niif.hu/idp/profile/SAML2/Redirect/SLO"/>
 +
  <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
 +
  <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
 +
  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.niif.hu/idp/profile/SAML2/Redirect/SSO"/>
 +
  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://idp.niif.hu/idp/profile/SAML2/POST/SSO"/>
 +
  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://idp.niif.hu/idp/profile/SAML2/POST-SimpleSign/SSO"/>
 +
  </IDPSSODescriptor>
 +
  <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
 +
  <Extensions>
 +
    <shibmd:Scope>niif.hu</shibmd:Scope>
 +
  </Extensions>
 +
  <KeyDescriptor use="signing">
 +
    <ds:KeyInfo>
 +
    <ds:X509Data>
 +
      <ds:X509Certificate>...</ds:X509Certificate>
 +
    </ds:X509Data>
 +
    </ds:KeyInfo>
 +
  </KeyDescriptor>
 +
  <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.niif.hu:8443/idp/profile/SAML2/SOAP/AttributeQuery"/>
 +
  <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
 +
  <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
 +
  </AttributeAuthorityDescriptor>
 +
  <Organization>
 +
  <OrganizationName xml:lang="hu">NIIF Intézet</OrganizationName>
 +
  <OrganizationName xml:lang="en">NIIF Institute</OrganizationName>
 +
  <OrganizationDisplayName xml:lang="hu">NIIF Intézet</OrganizationDisplayName>
 +
  <OrganizationDisplayName xml:lang="en">NIIF Institute</OrganizationDisplayName>
 +
  <OrganizationURL xml:lang="hu">http://www.niif.hu</OrganizationURL>
 +
  <OrganizationURL xml:lang="en">http://www.niif.hu</OrganizationURL>
 +
  </Organization>
 +
  <ContactPerson contactType="technical">
 +
  <SurName>NIIF AAI</SurName>
 +
  <EmailAddress>aai@niif.hu</EmailAddress>
 +
  </ContactPerson>
 +
  <ContactPerson contactType="support">
 +
  <SurName>NIIF AAI</SurName>
 +
  <EmailAddress>aai@niif.hu</EmailAddress>
 +
  </ContactPerson>
 +
  <ContactPerson contactType="administrative">
 +
  <SurName>NIIF AAI</SurName>
 +
  <EmailAddress>aai@niif.hu</EmailAddress>
 +
  </ContactPerson>
 +
</EntityDescriptor>
  
 
== Egy SP példa ==
 
== Egy SP példa ==

A lap 2009. november 26., 15:11-kori változata

Metaadat specifikáció

A föderációs metaadat specifikáció célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.

Metaadatban tárolt információk

  • Az entitások csoportosítása az őket üzemeltető szervezetek szerint történik. A föderációs metaadat tartalmaz egy 'partners' csoportot is, amiben a föderáció olyan SP-i szerepelnek, melyek nem köthetők konkrét intézményhez (ilyen lehet például egy üzleti céllal üzemeltetett SP).
  • Bizalom a metaadatban
    • a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja, aminek az aláíró tanúsítványa jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el.
    • a metaadat visszavonhatóságát a lejárati idő (validUntil) biztosítja, ami jelenleg 3 nap.
    • az egyes rendszerek gyorstárazhatják a metaadatot, de maximum a benne megjelölt ideig (cacheDuration).
  • Tanúsítványok
    • az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül nem tesz különleges megkötést, sőt: ajánlott az ún. self-signed tanúsítvány használata
  • További információk
    • minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
    • kötelezően kitöltendőek az intézményi, adminisztratív információk (Organization illetve ContactPerson elemek)
    • SP-k esetén további kötelező elemek
      • AttributeConsumingService, ami megadja a kért attribútumokat (RequestedAttributes - itt az attribútum informális neve is szerepeljen) illetve a szolgáltatás nevét
      • a szolgáltatás elérhetősége (egy URL, amin a szolgáltatás bemutatkozik)
      • adatkezelési szabályzatra mutató URL
    • IdP-k esetén
      • a scope csak az adott intézmény kezelésében levő domain név lehet
      • helpdesk URL, ahova hiba esetén a felhasználók fordulhatnak
    • egyéb
      • lehetőség van logó illetve gps koordináták tárolására is

Metaadat kiterjesztések használata

A metaadatban tárolt egyéb információkat a http://docs.oasis-open.org/security/saml/Post2.0/sstc-metadata-attr-cd-01.html specifikáció ('entity attributes') alapján tároljuk. Ez a kiegészítő séma lehetőséget ad SAML attribútumok használatára.

informális név urn szemantika értékekre vonatkozó megkötések
tagek  :tags néhány példa: edugain, public, for-profit, ...
geográfiai koordináták  :geographical-coordinates szélesség és hosszúság érték, a + előjel az északi szélességet illetve keleti hosszúságot jelöli 47.47359,19.052891
nyitóoldal url  :frontpage az SP szolgáltatásának nyitóoldala URL kell legyen
adatvédelmi nyilatkozat  :privacy-policy az SP adatvédelmi nyilatkozátnak elérhetősége URL kell legyen
logó  :logo az IdP/SP logójának elérhetősége URL kell legyen (képformátum? min/max méret?)
ip cím tartomány  :network-addresses (csak az IdP-nél) az intézmény által üzemeltetett hálózat. Ez csak az IdP felderítéshez kell. CIDR(ek)


Egy példa SP kiterjesztései lehetnek a következőek: 

<Extensions xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
 <mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute">
  <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
   Name="urn:geant:niif.hu:eduid.hu:entity-attributes:tags">
    <saml:AttributeValue>edugain</saml:AttributeValue>
    <saml:AttributeValue>public</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
   Name="urn:geant:niif.hu:eduid.hu:entity-attributes:geographical-coordinates">
    <saml:AttributeValue>47.47359,19.052891</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
   Name="urn:geant:niif.hu:eduid.hu:entity-attributes:frontpage">
    <saml:AttributeValue>https://sp.example.hu/foderacios-belepes</saml:AttributeValue>
  </saml:Attribute>
 </mdattr:EntityAttributes>
</Extensions>

Egy IdP példa

<EntityDescriptor entityID="https://idp.niif.hu/shibboleth">
 <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0">
  <Extensions>
   <shibmd:Scope>niif.hu</shibmd:Scope>
   <mdattr:EntityAttributes 
    xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attributes"
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
    <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:tags">
     <saml:AttributeValue>edugain</saml:AttributeValue>
    </saml:Attribute>
    <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:geographical-coordinates">
     <saml:AttributeValue>47.518356,19.055437</saml:AttributeValue>
    </saml:Attribute>
   </mdattr:EntityAttributes>
  </Extensions>
  <KeyDescriptor use="signing">
   <ds:KeyInfo>
    <ds:X509Data>
     <ds:X509Certificate>...</ds:X509Certificate>
    </ds:X509Data>
   </ds:KeyInfo>
  </KeyDescriptor>
  <ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.niif.hu:8443/idp/profile/SAML2/SOAP/ArtifactResolution" index="1"/>
  <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://idp.niif.hu/idp/profile/SAML2/POST/SLO"/>
  <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.niif.hu/idp/profile/SAML2/Redirect/SLO"/>
  <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
  <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://idp.niif.hu/idp/profile/SAML2/Redirect/SSO"/>
  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://idp.niif.hu/idp/profile/SAML2/POST/SSO"/>
  <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://idp.niif.hu/idp/profile/SAML2/POST-SimpleSign/SSO"/>
  </IDPSSODescriptor>
 <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
  <Extensions>
   <shibmd:Scope>niif.hu</shibmd:Scope>
  </Extensions>
  <KeyDescriptor use="signing">
   <ds:KeyInfo>
    <ds:X509Data>
     <ds:X509Certificate>...</ds:X509Certificate>
    </ds:X509Data>
   </ds:KeyInfo>
  </KeyDescriptor>
  <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idp.niif.hu:8443/idp/profile/SAML2/SOAP/AttributeQuery"/>
  <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
  <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
 </AttributeAuthorityDescriptor>
 <Organization>
  <OrganizationName xml:lang="hu">NIIF Intézet</OrganizationName>
  <OrganizationName xml:lang="en">NIIF Institute</OrganizationName>
  <OrganizationDisplayName xml:lang="hu">NIIF Intézet</OrganizationDisplayName>
  <OrganizationDisplayName xml:lang="en">NIIF Institute</OrganizationDisplayName>
  <OrganizationURL xml:lang="hu">http://www.niif.hu</OrganizationURL>
  <OrganizationURL xml:lang="en">http://www.niif.hu</OrganizationURL>
 </Organization>
 <ContactPerson contactType="technical">
  <SurName>NIIF AAI</SurName>
  <EmailAddress>aai@niif.hu</EmailAddress>
 </ContactPerson>
 <ContactPerson contactType="support">
  <SurName>NIIF AAI</SurName>
  <EmailAddress>aai@niif.hu</EmailAddress>
 </ContactPerson>
 <ContactPerson contactType="administrative">
  <SurName>NIIF AAI</SurName>
  <EmailAddress>aai@niif.hu</EmailAddress>
 </ContactPerson>
</EntityDescriptor>

Egy SP példa

A lap eredeti címe: „https://wiki.niif.hu/index.php?title=HREF_metadata_specifikáció&oldid=1349