1 260
szerkesztés
Módosítások
→Föderációs alapelvek
* '''Single Sign-on''': a felhasználónak elég egyszer megadni az azonosító adatait, a többi rendszer automatikusan megszerzi az identitáshoz kötődő információkat. Ez egyrészt kényelmesebb a felhasználónak, másrészt megkönnyíti a több faktoros (pl. smartcard) azonosítási módszerek bevezetését.
== Szerepek ==
A legtöbb [[:Kategória:Föderációs modellek | föderációs modell]] lehetővé teszi azt, hogy egy intézmény egyszerre több szereppel is részt vegyen egy föderációban.
=== Identitás szolgáltatók (Identity Provider, IdP) ===
A felhasználók adatait az identitás szolgáltató tárolja. Az identitás szolgáltató funkciói:
Speciális szolgáltatás a [[WAYF | "Where Are You From?" (WAYF)]] szolgáltatás, amely a felhasználó számára lehetőséget ad, hogy az identitás szolgáltatóját kiválassza. Ez a szolgáltatás a föderációs metadata állomány(ok)ra épül.
== Föderációs alapelvek ==
# A föderáció célja, hogy a felhasználók úgy vehessenek igénybe szolgáltatásokat - amennyiben erre jogosultak -, hogy a saját intézményük azonosítja őket.
# Az IdP és az SP egyértelműen azonosítja magát, amikor üzenetet váltanak egymással.
# Az IdP csak valós személyeket azonosít (teszt felhasználókat csak meghatározott módon, korlátozásokkal szabad azonosítani)
# Az IdP csak abban az esetben azonosít egy felhasználót, ha az illető valamilyen - ismert - viszonyban van (volt) az intézménnyel.
# Az IdP és az SP nem ad meg magáról hamis, félrevezető információt.
# Az IdP minden tőle telhetőt megtesz annak érdekében, hogy a kiadott információ a lehető legpontosabb legyen. Az SP tisztában van vele, hogy bizonyos információkat a felhasználók maguk is szerkeszthetnek.
# Az IdP gondoskodik róla, hogy a felhasználót azonosító információk (pl. jelszó) védett módon legyenek tárolva, ill. a felhasználók ezt biztonságosan adhassák meg.
# Az SP csak a működéséhez minimálisan szükséges adatmennyiséget igényli a felhasználóról.
# Az SP nem kérheti a felhasználót, hogy adja meg az IdP-nél érvényes jelszavát. Jelszó az SP-nek nem adható ki (kivéve speciális esetben egyszer használatos vagy rövid lejáratú jelszavak).
# Az SP az IdP-től származott információt harmadik félnek nem adja tovább.
# Felhasználói visszaélések esetén az IdP és az SP együttműködik egymással.
# Az IdP és az SP az informatikai rendszereit az elvárható gondossággal üzemelteti.
== Technológiák ==
