„HREF metadata specifikáció” változatai közötti eltérés

Innen: KIFÜ Wiki
(mdui draft2 verzióra (2010. feb. 24) való áttérés)
30. sor: 30. sor:
  
 
== Metaadat kiterjesztések használata ==
 
== Metaadat kiterjesztések használata ==
A metaadatban tárolt egyéb információkat a http://docs.oasis-open.org/security/saml/Post2.0/sstc-metadata-attr-cd-01.html specifikáció ('entity attributes') alapján tároljuk. Ez a kiegészítő séma lehetőséget ad SAML attribútumok használatára.
+
Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [https://spaces.internet2.edu/download/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)].
  
A kiegészítő attribútumok discovery service-ben való használhatóságával kapcsolatban lásd a [https://spaces.internet2.edu/display/~lajoie@idp.protectnetwork.org/DSAttribs Shibboleth DS fejlesztők szabványtervezetét].
+
A kiegészítő séma névtere: <code>urn:oasis:names:tc:SAML:metadata:ui</code>. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze:
  
 
{| class="wikitable"
 
{| class="wikitable"
 
|-
 
|-
! informális név
+
! element név
! urn
 
 
! szemantika
 
! szemantika
 
! értékekre vonatkozó megkötések
 
! értékekre vonatkozó megkötések
 
|-
 
|-
| tagek
 
 
| :tags
 
| :tags
 
|  
 
|  
 
| néhány példa: edugain, public, for-profit, ...
 
| néhány példa: edugain, public, for-profit, ...
 
|-
 
|-
| geográfiai koordináták
+
| GeolocationHint
| :geographical-coordinates
 
 
| szélesség és hosszúság érték, a + előjel az északi szélességet illetve keleti hosszúságot jelöli
 
| szélesség és hosszúság érték, a + előjel az északi szélességet illetve keleti hosszúságot jelöli
 
| 47.47359,19.052891
 
| 47.47359,19.052891
 
|-
 
|-
| nyitóoldal url
+
| InformationURL
| :frontpage
+
| az entitásról további információkat (pl. helpdesk) szolgáltató oldal.
| az SP szolgáltatásának nyitóoldala (URL)
 
 
|  
 
|  
 
|-
 
|-
| adatvédelmi nyilatkozat
+
| PrivacyStatementURL
| :privacy-policy
 
 
| Az SP adatvédelmi nyilatkozátnak elérhetősége (URL)
 
| Az SP adatvédelmi nyilatkozátnak elérhetősége (URL)
 
| Engedélyezett formátumok: HTML, PDF
 
| Engedélyezett formátumok: HTML, PDF
 
|-
 
|-
| logó
+
| Logo
| :logo
 
 
| Az IdP/SP logójának elérhetősége
 
| Az IdP/SP logójának elérhetősége
 
| Formátummal kapcsolatban lásd [[#Logo]]
 
| Formátummal kapcsolatban lásd [[#Logo]]
 
|-
 
|-
| ip cím tartomány
+
| IPHint
| :hint:ip
 
 
| (Csak az IdP-knél) az intézmény hálózati tartománya(i). IdP felderítés esetén előválasztás lehetséges ennek alapján.
 
| (Csak az IdP-knél) az intézmény hálózati tartománya(i). IdP felderítés esetén előválasztás lehetséges ennek alapján.
 
| CIDR, több érték is megadható
 
| CIDR, több érték is megadható
 +
|-
 +
| DomainHint
 +
| (Csak az IdP-knél) az intézmény által felügyelt domain név. IdP felderítés esetén előválasztás lehetséges ennek alapján.
 +
| Több érték is megadható
 
|}
 
|}
  
83. sor: 80. sor:
  
 
== Egy IdP példa ==
 
== Egy IdP példa ==
  <EntityDescriptor entityID="https://idp.niif.hu/shibboleth">
+
  <EntityDescriptor entityID="https://idp.niif.hu/shibboleth"
 +
  xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
 
   <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0">
 
   <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0">
 
   <Extensions>
 
   <Extensions>
 
     <shibmd:Scope>niif.hu</shibmd:Scope>
 
     <shibmd:Scope>niif.hu</shibmd:Scope>
     <mdattr:EntityAttributes
+
     <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint>
    xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attributes"
+
    <mdui:DomainHint>niif.hu</mdui:DomainHint>
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
+
    <mdui:DomainHint>iif.hu</mdui:DomainHint>
    <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:tags">
 
      <saml:AttributeValue>edugain</saml:AttributeValue>
 
    </saml:Attribute>
 
    <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:geographical-coordinates">
 
      <saml:AttributeValue>47.518356,19.055437</saml:AttributeValue>
 
    </saml:Attribute>
 
    </mdattr:EntityAttributes>
 
 
   </Extensions>
 
   </Extensions>
 
   <KeyDescriptor use="signing">
 
   <KeyDescriptor use="signing">
107. sor: 98. sor:
 
   <!-- endpoints, nameidformats -->
 
   <!-- endpoints, nameidformats -->
 
   </IDPSSODescriptor>
 
   </IDPSSODescriptor>
  <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
 
  <Extensions>
 
    <shibmd:Scope>niif.hu</shibmd:Scope>
 
  </Extensions>
 
  <KeyDescriptor use="signing">
 
    <ds:KeyInfo>
 
    <ds:X509Data>
 
      <ds:X509Certificate>...</ds:X509Certificate>
 
    </ds:X509Data>
 
    </ds:KeyInfo>
 
  </KeyDescriptor>
 
  <!-- endpoints, nameidformats -->
 
  </AttributeAuthorityDescriptor>
 
  <Organization>
 
  <OrganizationName xml:lang="hu">NIIF Intézet</OrganizationName>
 
  <OrganizationName xml:lang="en">NIIF Institute</OrganizationName>
 
  <OrganizationDisplayName xml:lang="hu">NIIF Intézet</OrganizationDisplayName>
 
  <OrganizationDisplayName xml:lang="en">NIIF Institute</OrganizationDisplayName>
 
  <OrganizationURL xml:lang="hu">http://www.niif.hu</OrganizationURL>
 
  <OrganizationURL xml:lang="en">http://www.niif.hu</OrganizationURL>
 
  </Organization>
 
 
   <ContactPerson contactType="technical">
 
   <ContactPerson contactType="technical">
 
   <SurName>NIIF AAI</SurName>
 
   <SurName>NIIF AAI</SurName>
143. sor: 113. sor:
  
 
== Egy SP példa ==
 
== Egy SP példa ==
  <EntityDescriptor entityID="https://rr.aai.niif.hu/shibboleth">
+
  <EntityDescriptor entityID="https://rr.aai.niif.hu/shibboleth"
 +
  xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
 
  <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol">
 
  <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol">
 
   <Extensions>
 
   <Extensions>
  <mdattr:EntityAttributes
+
     <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL>
    xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute"
+
     <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL>
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
 
     <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:tags">
 
    <saml:AttributeValue>administrative-use-only</saml:AttributeValue>
 
    </saml:Attribute>
 
    <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:geographical-coordinates">
 
    <saml:AttributeValue>47.47359,19.052891</saml:AttributeValue>
 
    </saml:Attribute>
 
    <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:privacy-policy">
 
    <saml:AttributeValue>https://rr.aai.niif.hu/privacy-policy</saml:AttributeValue>
 
     </saml:Attribute>
 
    <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:frontpage">
 
    <saml:AttributeValue>https://rr.aai.niif.hu</saml:AttributeValue>
 
    </saml:Attribute>
 
  </mdattr:EntityAttributes>
 
 
   </Extensions>
 
   </Extensions>
 
   <KeyDescriptor use="signing">
 
   <KeyDescriptor use="signing">

A lap 2010. március 11., 11:41-kori változata

Metaadat specifikáció


A föderációs metaadat specifikáció célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.

Metaadatban tárolt információk

  • Az entitások csoportosítása az őket üzemeltető szervezetek szerint történik. A föderációs metaadat tartalmaz egy 'partners' csoportot is, amiben a föderáció olyan SP-i szerepelnek, melyek nem köthetők konkrét intézményhez (ilyen lehet például egy üzleti céllal üzemeltetett SP).
  • Bizalom a metaadatban
    • a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja, aminek az aláíró tanúsítványa jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el.
    • a metaadat visszavonhatóságát a lejárati idő (validUntil) biztosítja, ami jelenleg 3 nap.
    • az egyes rendszerek gyorstárazhatják a metaadatot, de maximum a benne megjelölt ideig (cacheDuration).
  • Tanúsítványok
    • az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül nem tesz különleges megkötést, sőt: ajánlott az ún. self-signed tanúsítvány használata
  • További információk
    • minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
    • kötelezően kitöltendőek az intézményi, adminisztratív információk (Organization illetve ContactPerson elemek)
    • ajánlott megadni egy helpdesk URL-r, ahova hiba esetén a felhasználók fordulhatnak (errorURL attribútum)
    • SP-k esetén további kötelező elemek
      • AttributeConsumingService, ami megadja a kért attribútumokat
        • RequestedAttributes - itt az attribútum informális neve is szerepeljen
        • ServiceName, ServiceDescription az SP szolgáltatás neve és leírása
      • a szolgáltatás elérhetősége, amin a szolgáltatás bemutatkozik (extension)
      • adatkezelési szabályzatra mutató URL (extension)
    • IdP-k esetén
      • a scope csak az adott intézmény kezelésében levő domain név lehet (Shibboleth extension)
    • lehetőség van további adatok megadására is
      • logó
      • gps koordináták, IP cím tartomány

Metaadat kiterjesztések használata

Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható ezen a linken (odt formátumban).

A kiegészítő séma névtere: urn:oasis:names:tc:SAML:metadata:ui. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze:

element név szemantika értékekre vonatkozó megkötések
 :tags néhány példa: edugain, public, for-profit, ...
GeolocationHint szélesség és hosszúság érték, a + előjel az északi szélességet illetve keleti hosszúságot jelöli 47.47359,19.052891
InformationURL az entitásról további információkat (pl. helpdesk) szolgáltató oldal.
PrivacyStatementURL Az SP adatvédelmi nyilatkozátnak elérhetősége (URL) Engedélyezett formátumok: HTML, PDF
Logo Az IdP/SP logójának elérhetősége Formátummal kapcsolatban lásd #Logo
IPHint (Csak az IdP-knél) az intézmény hálózati tartománya(i). IdP felderítés esetén előválasztás lehetséges ennek alapján. CIDR, több érték is megadható
DomainHint (Csak az IdP-knél) az intézmény által felügyelt domain név. IdP felderítés esetén előválasztás lehetséges ennek alapján. Több érték is megadható

  • formátum: transzparens hátterű PNG, vagy transzparens hátterű GIF
  • oldalarány 1:1 vagy 16:9
  • ajánlott méret: 16x16 pixel, maximális méret 200x200 pixel
  • attribútumok
    • source (kötelező): URL
    • link: opcionális link
    • height: opcionális magasság érték pixelben
    • width: opcionális szélesség érték pixelben

Egy IdP példa

<EntityDescriptor entityID="https://idp.niif.hu/shibboleth"
 xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
 <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0">
  <Extensions>
   <shibmd:Scope>niif.hu</shibmd:Scope>
   <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint>
   <mdui:DomainHint>niif.hu</mdui:DomainHint>
   <mdui:DomainHint>iif.hu</mdui:DomainHint>
  </Extensions>
  <KeyDescriptor use="signing">
   <ds:KeyInfo>
    <ds:X509Data>
     <ds:X509Certificate>...</ds:X509Certificate>
    </ds:X509Data>
   </ds:KeyInfo>
  </KeyDescriptor>
  </IDPSSODescriptor>
 <ContactPerson contactType="technical">
  <SurName>NIIF AAI</SurName>
  <EmailAddress>aai@niif.hu</EmailAddress>
 </ContactPerson>
 <ContactPerson contactType="support">
  <SurName>NIIF AAI</SurName>
  <EmailAddress>aai@niif.hu</EmailAddress>
 </ContactPerson>
 <ContactPerson contactType="administrative">
  <SurName>NIIF AAI</SurName>
  <EmailAddress>aai@niif.hu</EmailAddress>
 </ContactPerson>
</EntityDescriptor>

Egy SP példa

<EntityDescriptor entityID="https://rr.aai.niif.hu/shibboleth"
 xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
<SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol">
 <Extensions>
   <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL>
   <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL>
 </Extensions>
 <KeyDescriptor use="signing">
  <ds:KeyInfo>
   <ds:X509Data>
    <ds:X509Certificate>...</ds:X509Certificate>
   </ds:X509Data>
  </ds:KeyInfo>
 </KeyDescriptor>
 <KeyDescriptor use="encryption">
  <ds:KeyInfo>
   <ds:X509Data>
    <ds:X509Certificate>...</ds:X509Certificate>
   </ds:X509Data>
  </ds:KeyInfo>
 </KeyDescriptor>
 <AttributeConsumingService index="1">
  <ServiceName xml:lang="hu">HREF Resource Registry</ServiceName>
  <ServiceName xml:lang="en">HREF Resource Registry</ServiceName>
  <ServiceDescription xml:lang="hu">Resource Registry - a föderáció adminisztrációs alkalmazása http://rr.aai.niif.hu/</ServiceDescription>
  <ServiceDescription xml:lang="en">Resource Registry - federation administration tool http://rr.aai.niif.hu/</ServiceDescription>
  <RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" isRequired="true"/>
  <RequestedAttribute FriendlyName="surname" Name="urn:oid:2.5.4.4" isRequired="true"/>
  <RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" isRequired="true"/>
  <RequestedAttribute FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" isRequired="true"/>
  <RequestedAttribute FriendlyName="schacHomeOrganizationType" Name="urn:oid:1.3.6.1.4.1.25178.1.2.10" isRequired="true"/>
  <RequestedAttribute FriendlyName="eduPersonScopedAffiliation" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" isRequired="true"/>
 </AttributeConsumingService>
</SPSSODescriptor>
<Organization>
 <OrganizationName xml:lang="hu">NIIF - Nemzeti Információs Infrastruktúra Fejlesztési Intézet</OrganizationName>
 <OrganizationName xml:lang="en">NIIF Institute - National Information Infrastructure Development</OrganizationName>
 <OrganizationDisplayName xml:lang="hu">NIIF - Nemzeti Információs Infrastruktúra Fejlesztési Intézet</OrganizationDisplayName>
 <OrganizationDisplayName xml:lang="en">NIIF Institute - National Information Infrastructure Development</OrganizationDisplayName>
 <OrganizationURL xml:lang="hu">http://www.niif.hu</OrganizationURL>
 <OrganizationURL xml:lang="en">http://www.niif.hu/en</OrganizationURL>
</Organization>
<ContactPerson contactType="administrative">
 <SurName>NIIF AAI</SurName>
 <EmailAddress>aai@niif.hu</EmailAddress>
</ContactPerson>
<ContactPerson contactType="technical">
 <SurName>NIIF AAI</SurName>
 <EmailAddress>aai@niif.hu</EmailAddress>
</ContactPerson>
<ContactPerson contactType="support">
 <SurName>NIIF AAI</SurName>
 <EmailAddress>aai@niif.hu</EmailAddress>
</ContactPerson>
</EntityDescriptor>