1 260
szerkesztés
Módosítások
→Föderációs alapelvek
* '''Single Sign-on''': a felhasználónak elég egyszer megadni az azonosító adatait, a többi rendszer automatikusan megszerzi az identitáshoz kötődő információkat. Ez egyrészt kényelmesebb a felhasználónak, másrészt megkönnyíti a több faktoros (pl. smartcard) azonosítási módszerek bevezetését.
== Szerepek ==
A legtöbb [[Föderációs modellek | föderációs modell]] lehetővé teszi azt, hogy egy intézmény egyszerre több szereppel is részt vegyen egy föderációban.=== Azonosítás Identitás szolgáltatók (Identity Provider, IdP) ===A felhasználók adatait az identitás szolgáltató tárolja. Az identitás szolgáltató funkciói:; Azonosítás* Felhasználó azonosítása* Felhasználó azonosítással kapcsolatos információk átadása a tartalomszolgálatóknak (SP)* Tartalomszolgáltatóktól érkező azonosítási kérések (AuthRequest) feldolgozása; Attribútumok kiadása* Felhasználóhoz köthető attribútumok meghatározása* A tartalomszolgáltató számára hozzáférhető felhasználói adatok átadása a tartalomszolgáltatónak (közvetlenül ill. a felhasználón keresztül); Felhasználó menedzsment* Felvétel / törlés* Attribútumok, role-ok kezelése* Jelszó ill. adatmódosítás
=== Tartalom / erőforrás szolgáltatók (Service Provider, SP) ===
A tartalomszolgáltatók védett tartalmakat szolgáltatnak a felhasználók számára. Általában nincsenek közvetlenül a felhasználókhoz kapcsolatos adataik, ezért nem szükséges a felhasználókat adminisztrálniuk sem. A tartalomszolgáltató funkciói (a funkciók föderációs modelltől függően ezektől eltérhetnek):* azonosított kapcsolat létrehozása az identitás szolgáltató segítségével (általában HTTP átirányítás használatával)* az identitás szolgáltatótól kapott adatok értelmezése* az identitás szolgáltatótól kapott adatok alapján meghatározni, hogy a felhasználó jogosult-e a művelet végrehajtására ('''autorizáció''')=== Metadata adminisztráció ===A szolgálatókhoz kötődő háttérinformációkat (pl. tanúsítvány, név, scope, stb.) sok esetben a föderációs szoftver számára is elérhetővé kell tenni, ez esetben [[Metadata]] használatáról beszélünk. Adminisztrációja általában központilag történik, és ''push'' vagy ''pull'' módszerrel jut el a föderációba bevont számítógépekhez. Speciális szolgáltatás a [[WAYF | "Where Are You From?" (WAYF)]] szolgáltatás, amely a felhasználó számára lehetőséget ad, hogy az identitás szolgáltatóját kiválassza. Ez a szolgáltatás a föderációs metadata állomány(ok)ra épül. == Föderációs alapelvek ==# A föderáció célja, hogy a felhasználók úgy vehessenek igénybe szolgáltatásokat - amennyiben erre jogosultak -, hogy a saját intézményük azonosítja őket.# Az IdP és az SP egyértelműen azonosítja magát, amikor üzenetet váltanak egymással. # Az IdP csak valós személyeket azonosít (teszt felhasználókat csak meghatározott módon, korlátozásokkal szabad azonosítani)# Az IdP csak abban az esetben azonosít egy felhasználót, ha az illető valamilyen - ismert - viszonyban van (volt) az intézménnyel.# Az IdP és az SP nem ad meg magáról hamis, félrevezető információt.# Az IdP minden tőle telhetőt megtesz annak érdekében, hogy a kiadott információ a lehető legpontosabb legyen. Az SP tisztában van vele, hogy bizonyos információkat a felhasználók maguk is szerkeszthetnek.# Az IdP gondoskodik róla, hogy a felhasználót azonosító információk (pl. jelszó) védett módon legyenek tárolva, ill. a felhasználók ezt biztonságosan adhassák meg.# Az SP csak a működéséhez minimálisan szükséges adatmennyiséget igényli a felhasználóról.# Az SP nem kérheti a felhasználót, hogy adja meg az IdP-nél érvényes jelszavát. Jelszó az SP-nek nem adható ki (kivéve speciális esetben egyszer használatos vagy rövid lejáratú jelszavak).# Az SP az IdP-től származott információt harmadik félnek nem adja tovább.# Felhasználói visszaélések esetén az IdP és az SP együttműködik egymással.# Az IdP és az SP az informatikai rendszereit az elvárható gondossággal üzemelteti.
== Technológiák ==
== Szabályozás ==
A lazán csatolt modellek (pl. az OpenID) nem igényelnek központi szabályozást, de a magasabb biztonság-igényű, nagy bizalmat igénylő modellek esetén szükséges az, hogy a föderációban résztvevő intézmények kidolgozzák (esetleg szerződésbe is foglalják) az együttműködés feltételeit.
