„HREF metadata specifikáció” változatai közötti eltérés

Innen: KIFÜ Wiki
(Metaadat specifikáció)
(Metaadat specifikáció)
3. sor: 3. sor:
 
A föderációs metaadat specifikáció célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.
 
A föderációs metaadat specifikáció célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.
  
== Metaadatban tárolt információk
+
== Metaadatban tárolt információk ==
 
* Az entitások csoportosítása az őket üzemeltető szervezetek szerint történik. A föderációs metaadat tartalmaz egy 'partners' csoportot is, amiben a föderáció olyan SP-i szerepelnek, melyek nem köthetők konkrét intézményhez (ilyen lehet például egy üzleti céllal üzemeltetett SP).
 
* Az entitások csoportosítása az őket üzemeltető szervezetek szerint történik. A föderációs metaadat tartalmaz egy 'partners' csoportot is, amiben a föderáció olyan SP-i szerepelnek, melyek nem köthetők konkrét intézményhez (ilyen lehet például egy üzleti céllal üzemeltetett SP).
 
* Bizalom a metaadatban
 
* Bizalom a metaadatban
* a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja, aminek az aláíró tanúsítványa jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el.
+
** a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja, aminek az aláíró tanúsítványa jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el.
* a metaadat visszavonhatóságát a lejárati idő (<code>validUntil</code>) biztosítja, ami jelenleg 3 nap.
+
** a metaadat visszavonhatóságát a lejárati idő (<code>validUntil</code>) biztosítja, ami jelenleg 3 nap.
* az egyes rendszerek gyorstárazhatják a metaadatot, de maximum a benne megjelölt ideig (<code>cacheDuration</code>).
+
** az egyes rendszerek gyorstárazhatják a metaadatot, de maximum a benne megjelölt ideig (<code>cacheDuration</code>).
 
* Tanúsítványok
 
* Tanúsítványok
* az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül nem tesz különleges megkötést, sőt: ajánlott az ún. self-signed tanúsítvány használata
+
** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül nem tesz különleges megkötést, sőt: ajánlott az ún. self-signed tanúsítvány használata
 
* További információk
 
* További információk
* minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
+
** minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
* kötelezően kitöltendőek az intézményi, adminisztratív információk (<code>Organization</code> illetve <code>ContactPerson</code> elemek)
+
** kötelezően kitöltendőek az intézményi, adminisztratív információk (<code>Organization</code> illetve <code>ContactPerson</code> elemek)
* SP-k esetén további kötelező elemek
+
** SP-k esetén további kötelező elemek
  * <code>AttributeConsumingService</code>, ami megadja a kért attribútumokat (<code>RequestedAttributes</code> - itt az attribútum informális neve is szerepeljen) illetve a szolgáltatás nevét is
+
*** <code>AttributeConsumingService</code>, ami megadja a kért attribútumokat (<code>RequestedAttributes</code> - itt az attribútum informális neve is szerepeljen) illetve a szolgáltatás nevét  
  * a szolgáltatás elérhetősége (egy URL, amin a szolgáltatás bemutatkozik)
+
*** a szolgáltatás elérhetősége (egy URL, amin a szolgáltatás bemutatkozik)
  * adatkezelési szabályzatra mutató URL
+
*** adatkezelési szabályzatra mutató URL
* IdP-k esetén
+
** IdP-k esetén
  * a scope csak az adott intézmény kezelésében levő domain név lehet
+
*** a scope csak az adott intézmény kezelésében levő domain név lehet
  * helpdesk URL, ahova hiba esetén a felhasználók fordulhatnak
+
*** helpdesk URL, ahova hiba esetén a felhasználók fordulhatnak
* egyéb
+
** egyéb
  * lehetőség van logó illetve gps koordináták tárolására is
+
*** lehetőség van logó illetve gps koordináták tárolására is
  
 
== Metaadat kiterjesztések használata ==
 
== Metaadat kiterjesztések használata ==

A lap 2009. november 26., 13:15-kori változata

Metaadat specifikáció

A föderációs metaadat specifikáció célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.

Metaadatban tárolt információk

  • Az entitások csoportosítása az őket üzemeltető szervezetek szerint történik. A föderációs metaadat tartalmaz egy 'partners' csoportot is, amiben a föderáció olyan SP-i szerepelnek, melyek nem köthetők konkrét intézményhez (ilyen lehet például egy üzleti céllal üzemeltetett SP).
  • Bizalom a metaadatban
    • a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja, aminek az aláíró tanúsítványa jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el.
    • a metaadat visszavonhatóságát a lejárati idő (validUntil) biztosítja, ami jelenleg 3 nap.
    • az egyes rendszerek gyorstárazhatják a metaadatot, de maximum a benne megjelölt ideig (cacheDuration).
  • Tanúsítványok
    • az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül nem tesz különleges megkötést, sőt: ajánlott az ún. self-signed tanúsítvány használata
  • További információk
    • minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
    • kötelezően kitöltendőek az intézményi, adminisztratív információk (Organization illetve ContactPerson elemek)
    • SP-k esetén további kötelező elemek
      • AttributeConsumingService, ami megadja a kért attribútumokat (RequestedAttributes - itt az attribútum informális neve is szerepeljen) illetve a szolgáltatás nevét
      • a szolgáltatás elérhetősége (egy URL, amin a szolgáltatás bemutatkozik)
      • adatkezelési szabályzatra mutató URL
    • IdP-k esetén
      • a scope csak az adott intézmény kezelésében levő domain név lehet
      • helpdesk URL, ahova hiba esetén a felhasználók fordulhatnak
    • egyéb
      • lehetőség van logó illetve gps koordináták tárolására is

Metaadat kiterjesztések használata

http://docs.oasis-open.org/security/saml/Post2.0/sstc-metadata-attr-cd-01.html alapján egy példa:

<Extensions xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
 <mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute">
  <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
   Name="urn:geant:niif.hu:eduid.hu:entity-attributes:tags">
    <saml:AttributeValue>edugain</saml:AttributeValue>
    <saml:AttributeValue>public</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" 
   Name="urn:geant:niif.hu:eduid.hu:entity-attributes:geographical-coordinates">
    <saml:AttributeValue>47.47359,19.052891</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
   Name="urn:geant:niif.hu:eduid.hu:entity-attributes:frontpage">
    <saml:AttributeValue>https://sp.example.hu/foderacios-belepes</saml:AttributeValue>
  </saml:Attribute>
 </mdattr:EntityAttributes>
</Extensions>

Egy IdP példa

Egy SP példa