Módosítások

* '''SP: Service Provider - Szogáltatás''': Webes alkalmazás, amelynek felhasználóit föderatívan, valamilyen IdP által autentikáltatja

* '''Entitás''': a föderációt alkotó elem (IdP, SP)

* Az [[HREFAttributeSpec|attribútum-szabályzat]] szintén föderációs szinten állítható, melyeket kiegészítve, az egyes IdP-k megadhatják, hogy mely attribútumokat milyen feltételekkel adják ki, ill. az egyes SP-k is deklarálhatják, hogy milyen attribútumok megléte esetén tudnak egyáltalán működni, mindezt az egyes intézmények adatvédelmi felelősei által kontrolálva.

* Egyénileg, az adott entitás adminisztrátorai által használhatók az egyes IdP-k, SP-k telepítését és konfigurálását megkönnyítő funkciók, melyek a megfelelő beállításokat webes felületen megadva letölthetővé teszik az ezen beállítások alapján automatikusan generált, és jó eséllyel minimális további kézi konfigurációt nem igénylő fájlokat. Fontos, hogy ezeket a fájlokat nem kötelező használni, ám segítséget jelenthetnek.

'''Shibboleth 2.x SP-hez:'''

*<code lang="xml">attribure-policy.xml</code> ''Ez a két fájl egy az egyben használható letöltés után, további konfigurációt alapesetben nem igényel.''

'''Shibboleth 2.x IdP-hez:'''

'''SimpleSamlPHP-hoz:'''* <code lang="xml">AttributeFilter.xml</code>''Fejlesztés alattA fájl egyből használható''- [[#Attrib.C3.BAtumok_kezel.C3.A9se|további információk]] a fájl előállításának menetéről.

A Resource Registry a https://rr.aai.niifeduid.hu címen érhető el, és bejelentkezni csak föderatív azonosítás után lehet. A nyitóképernyőn a bejelentkezési lehetőségen túl mindössze általános, nyilvános információk érhetők el a föderáció aktuális állapotával kapcsolatban, ill. a rendszer használatához található segítség.

{{TODO|A lista még nem véglegesrendszerbe történő bejelentkezéshez elengedhetetlen, pl. hogy a UniqueID sehol sincs, felhasználót azonosító IdP az HomeOrganizationName pedig kérdéses}}alábbi attribútumokat átadja a Resource Registry-nek.

A rendszerbe történő bejelentkezéshez elengedhetetlen, hogy a felhasználót azonosító IdP az alábbi attribútumokat átadja a Resource Registry-nek.* Keresztnév ([[HREFAttributeSpec#givenNameeduPersonPrincipalName|givenNameeduPersonPrincipalName]])* Vezetéknév ([[HREFAttributeSpec#snschacHomeOrganizationType|surnameschacHomeOrganizationType]])* E-Mail cím ([[HREFAttributeSpec#maileduPersonScopedAffiliation|maileduPersonScopedAffiliation]]) - ez belépés után, manuálisan is beállítható* Egyedi azonosító (uniqueID)* Azonosító szervezet neve (Home Organization Name)* Azonosító szervezet típusa ([[HREFAttributeSpec#schacHomeOrganizationTypemail|schacHomeOrganizationTypeemail]])* Telefonszám (Business Phone Number) - opcionális* Affiliation - opcionálisez belépés után, csak a Resource Registry rendszer-adminisztrátorainak kellmanuálisan is beállítható

''A rendszerbe Resource Registrybe csak föderatív azonosítás után lehet belépni.''

===Működési elv=== [[KépTermészetesen létezik Power User, aki mindent lát, mindenhez van jogosultsága, de csak nem várt esemény esetén aktivizálódik valahol az NIIF AAI környékén :Rr-abra), amúgy rendeltetésszerű működés esetén a szubszidiaritás elvét képviselve az intézményeké az őket érintő ügyekben a döntési jog.png]]

Bárki, akit a rendszer föderatív azonosítással beléptettbeléptetett, kezdeményezheti egy SP föderációba történő felvételét, ehhez az „SP adminisztráció“ oldalon az „Új SP regisztrálása“ c. menüpontot kell választani. Varázsló segít a regisztrációban, melynek mindössze a telepített SP metaadatának nyilvánosan elérhető url-jét kell megadni (alapértelmezés szerint: https://#HOSTNAME#/Shibboleth.sso/Metadata), majd az automata a lehető legtöbb beállítási paramétert megpróbálja kiolvasni az xml-ből, és egyből beírni az adatbázisba az új SP adatai közé. Mivel minden adatot nem lehetséges az alapértelmezett metaadatból kinyerni, így a regisztráló felhasználónak néhány további adatot kell megadnia ahhoz, hogy véglegesíthesse az SP regisztrációs kérelmet. Ezeket hat csoportra lehet osztani.

[[Kép:RrSP1Itt tudjuk meghatározni első körben azt is, hogy az adott SP nyilvános, vagy belső SP legyen. Ennek szellemében kell a megadott feltételes mezőket kitöltenünk. Ha belső SP, akkor csak a legszükségesebb adatok megadása elvárt.png]]

* '''SP Service Locations''': különböző bindingok elérhetőségei – ezt az automata az esetek nagy hányadában jól kiolvassa a metaadatból, emberi módosítást a legritkább esetben igényel. Kivételt képez a ''NameIdFormat'' meghatározása, mely kapcsán három opció közül választhatunk.** Tranziens opciót kell választanunk, ha SP-nk számára nem fontos, hogy ki a felhasználó, hiszen nem ez alapján dől el, hogy milyen erőforrásokat érhet el, hanem az alapján hogy milyen, a felhasználóra vonatkozó, pl. [[KépHREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] attribútumot állnak az SP rendelkezésére.** Perzisztens opciót kell választanunk, ha SP-nk számára fontos, hogy ki a felhasználó ÉS sz SP által védett alkalmazásaink is felkészültek arra, hogy persistent-idt fogadjanak, ezzel dolgozzanak.** Nem meghatározott opciót kell választanunk, amennyiben az SP által védendő alkalmazás mind persistent, mind transient NameID fogadására alkalmas. : ''Megjegyzés'' Amennyiben most alakítjuk ki az AAI infrastruktúránkat, újonnan állítjuk be az SP-t annak érdekében, hogy valamilyen alkalmazást védjen, akkor ''ajánlott'', hogy támogassa a perzisztens azonosítók használatát. * '''Tanúsítványok''':RrSP3az SP által használt tanúsítványokat kell PEM formátumban megadni – ehhez is segítséget nyújt varázsló helyben, amelynek az SP metadatájának URL-jét címét kell megadni, ami után az automata beolvassa a tanúsítvány(oka)t.png]]

* '''TanúsítványokKötelező attribútumok''': itt lehetséges azon attribútumok megadása, melyek kiadása elvárt az IdP-től, amelyek nélkül az SP által használt tanúsítványokat kell PEM formátumban megadni – ehhez is segítséget nyújt varázsló helyben, amelynek a webszerver címét kell megadni, ami után az automata beolvassa a tanúsítvány(oka)t.[[Kép:RrSP4védett alkalmazás nem használható.png]]

* Kötelező attribútumok: itt lehetséges azon attribútumok megadásaAmennyiben egy attribútumot megkövetel az SP használatához, az azt jelenti, melyek hogy az attribútum kiadása elvárt nélkül az SP nem lesz használható. Ha egy attribútumot ajánlottnak jelöl, akkor az IdPkiadja, amennyiben implementálta, ám az SP-tőlnek e nélkül is működnie kell. Ha olyan attribútumot jelöl kötelezőnek, amely a föderációs szabály szerint csak ajánlott, vagy opcionális, úgy könnyen előfordulhat, hogy az IdP nem implementálta, így nem is tudja kiadni, amelyek nélkül aminek következtében a felhasználó nem fogha tudni használni az Ön SP által védett alkalmazás nem használható-jét. : Ideális esetben nincs szükség külön szabályzásra, amennyiben mégis, úgy törekedjen rá, hogy minél kevesebb attribútumot szabályozzon külön!  * '''Hallgatóság''': megadhatók, [[HREFAttributeSpec#schacHomeOrganizationType|milyen jellegű IdP-k]] érhetik el az adott SP-t, ill. amennyiben ez a szabályzás nem lenne elegendő, úgy egyesével is megadhatók IdP-k aszerint, hogy felhasználói használhatják-e az SP-t, vagy sem.  : Amennyiben belső SP-t regisztráltunk, itt állíthatjuk be, hogy minden intézmény jelleget tiltunk, és egy kivételt megadunk: a saját IdP-nket. Ily módon más IdP nem is fog tudni erről az SP-ről, tehát annak ellenére, hogy szerepel a föderációs metaadatban, csak belső használatra lesz alkalmas. ===SP módosítás=== Egy jóváhagyott SP-t csak a megfelelő jogosultsággal rendelkező felhasználó tud módosítani. Általában egy-egy SP-hez tartozó adminisztrációs jogot az intézmény ''RR adminisztrátor'' jogkörrel rendelkező felhasználója osztja ki az adott SP jóváhagyásával egy ütemben. A módosítás folyamata teljesen analóg a regisztrációéval, ami a funkciókat illeti. '''FONTOS''': Akár regisztráltunk, akár módosítottunk, a változásokat jóvá kell hagynia az Önt azonosító intézet RR adminisztrátorai közül valakinek. Amíg ezek a változtatások bekerülnek a föderációs metaadatba, az legfejjebb egy óra, ám amíg minden föderációs entitás frissíti a metaadatot, így értesül a változásról.

Mint minden adminisztrációs funkció használatához, egy A föderációba új IdP regisztrációjához is be kell lépni a Resource Registry-be föderatív azonosítás útján. Mivel t - mivel a regisztrálandó IdP – amely vélhetően azonos a regisztrációt végző személyt azonosítani képes IdP-vel – t üzemeltető kolléga még nem tagja tud belépni a föderációnakResource Registry-be - egy, így nem képes a Resource Registry számára azonosítani semföderációs adminisztrációért felelős kolléga tud regisztrálni. Ebben Ehhez szükséges, hogy az esetben a regisztrációt végző személynek IdP, minden kapcsolódó programmal együtt telepítve legyen, és az NIIF Intézethez kell fordulniaalapértelmezett, és igényelnie telepítéskor generált metaadat egy VHO meghatározott url-s azonosítót. Ezen azonosító birtokában már be tud lépni a Resource Registry felületére, ahol már tud IdP regisztrációt kezdeményeznien elérhető legyen.

A regisztráció másik feltétele, hogy az IdP, minden kapcsolódó programmal együtt telepítve legyen, és az alapértelmezett, telepítéskor generált metaadat egy meghatározott urltelepítéshez - ''Shibboleth esetében'' -en elérhető legyen. Ehhez a telepítéshez pl. a https://wiki.aai.niif.hu oldalon [[Shib2IdpInstall]] wikilapon található Wiki leírás szolgál segítségül.Attribútumokat, autentikációt konfigurálni nem kell, elegendő, ha a [[Shib2IdpInstall#Teszt|Teszt]] pontnál látjuk a megnyugtató <code lang="xml">ok</code> szöveget, és minimális beállításokat megejtettük

Amennyiben minden kezdeti feltétel teljesülez működik, úgy a Resource Registryírni kell egy e-be belépvemailt az [mailto:aai@niif.hu aai@niif.hu] címre, valaki a föderációs adminisztrátorok közül regisztrálja az IdP regisztráció menüpontot kiválasztva egy „Új IdP regisztrálása” c. gombot talál -t, és a felhasználóválasz e-mailben elküld két linket, amelyet aktiválva egy felbukó ablakban meg kell adni amelyek tartalmaznak két linket az IdP metaadatának elérhetőségét (alapértelmezetten: https:<code lang="xml">attribute-resolver.xml</code> és <code lang="xml">attribute-filter.xml</#HOSTNAME#/idp/shibboleth)code> már testreszabott konfigurációs fájlokra mutatva. Amennyiben a rendszer tudja olvasni a megadott url-en taláható metaadatot, úgy automatikusan kigyűjti belőle a szükséges adatokatEzeket letöltve, elvégzi bemásolva az adatbázisban történő regisztrációtIdP-nek már működnie kell alapszinten, majd így már lehetségessé válik a felhasználót a frissen regisztrált, de még teljeskörűen Resource Registry-be nem konfigurált IdP adminisztrációs oldalára viszitörténő belépés. Mivel Sikeres belépés után az intézményhez tartozó RR jogosultságokat átadjuk, s a metaadat nem tartalmaz továbbiakban mehet minden adatot alapértelmezésbena maga utáján, a kimaradókat itt kell megadnia a felhasználónakintézményi szinten. Nyolc csoportba oszthatók a bekért adatok:

'''Nagyon fontos''', hogy az IdP-n bármilyen módosítás '''azonnal érvénybe lép''', így rossz beállítás esetén akár az IdP által hitelesíthető felhasználók belépése is ellehetetlenülhet. '''A beállítási lehetőségek az alábbiak''' * '''Alapinformációk''': IdP neve, leírása, jellege – technikai ismereteket nem igénylő, leíró jellegű információk * '''Technikai információk''': EntityID, és különböző bindingok elérhetőségei – ezt az automata az esetek nagy hányadában jól kiolvassa a metaadatból, emberi módosítást a legritkább esetben igényel. * '''Tanúsítványok''': az IdP által használt tanúsítványokat kell PEM formátumban megadni – ehhez is segítséget nyújt varázsló helyben, amelynek a webszerver címét kell megadni, ami után az automata beolvassa a tanúsítvány(oka)t. * '''Kapcsolattartók''': ha a metaadatból nem derül ki, akkor kézzel kell megadni technikai, adminisztratív, általános...stb. kapcsolattartó személyeket, akik adatai a központi metaadatban is szerepelni fognak.

* '''Támogatott attribútumok''': beállítandó, hogy az IdP mely attribútumokat, milyen formában támogatja. A föderációs szinten kötelezőket mindenképp támogatnia kell.* '''Általános attribútum kiadási szabályok''': beállítható, hogy amennyiben egy SP az adott attribútumot kötelezően, ill. opcionálisan kiadandóként kéri, akkor az IdP hogyan viselkedjen. Ezek a szabályok általánosak, minden, a föderációban résztvevő SP-r vonatkoznak.* '''Speciális attribútum kiadási szabályok''': beállíthatók külön-külön egyes SP-kkel való viselkedés, amennyiben indokolt az általános szabályoktól való eltérés.* '''Telepítési és környezeti információk''': leíró információk, amelyek pl. hiba esetén segítséget adnak a hiba elhárítójának, hogy milyen rendszerrel lesz dolga. Emellett statisztikai célokat is szolgál.Amennyiben minden adat kitöltésre került==Attribútumok kezelése== A föderációban használható attribútumok részletes listája a [[HREFAttributeSpec|föderációs attribútum specifikációban]] található.  Az egyes attribútumokkal kapcsolatban négy irányból lehetséges beállításokat eszközölni* Minden SP meghatározhatja, hogy mely attribútumok kiadását követeli meg, és melyek kiadását ajánlja (SP beállítások - Kötelező attribútumok menüpont)* Minden SP meghatározhatja, hogy mely IdP-ktől hajlandó attribútumokat elfogadni (SP beállítások - Hallgatóság menüpont)* Minden IdP meghatározhatja általánosságban, hogy ha egy SP tőle egy bizonyos attribútum kiadását megköveteli, vagy ajánlja, úgy akkor azt az NIIF Intézet részéről attribútumot kiadja-e, vagy sem. (IdP beállítások - Általános attribútum kiadási szabályok menüpont)* Minden IdP meghatározhat SP-specifikus szabályokat, tehát egy-egy SP-re, vagy egy-egy SP egy-egy attribútumára vonatkozólag megadhat az általános beállításaitól eltérő szabályokat - pl. az eduPersonPrincipalName-t ha általában ajánlva kérik az SP-k, akkor kiadja, de XY SP-nek semmiképp nem adja ki. (IdP beállítások - Egyedi attribútum kiadási szabályok menüpont) [[HREFAttributeSpec#Attrib.C3.BAtumok_haszn.C3.A1lata|További információ az attribútumok implementációjáról, kapcsolódó fogalmakról]] '''A fenti beállítások eredőjeként generálódik az IdP-k által használandó XML alapú attirbútum filter fájl''' A generált attribútum filter alapvetően tiltó jellegű, tehát az IdP pontosan azokat az attribútumokat és pontosan azoknak az SP-knek adhatja ki, melyek megadásra kerültek a föderációs adminisztrációért felelős kolléga átnézi beállításoknál, egyébként semmit. '''Néhány példa a kérelmet"leképződésre"'* Ha egy SP kiadásra ajánl egy attribútumot, de az IdP (akár az általános-, akár az egyedi attribútum kiadási szabálya miatt) nem adja ki azt, akkor az XML fájlban komment formájában jelenik meg, hogy ezt és ha mindent rendben találezt az attribútumot igényelné az SP, de nem kerül kiadásra* Ha egy SP hallgatóságából kitilt egy IdP-t, akkor jóváhagyjaaz IdP attribútum filterében az adott SP-re vonatkozólag nem jelenik meg semmi, amelynek következtében nem is kerül számára kiadásra semmi ===XML alapú filter===* Shibboleth IdP-nél: <code lang="xml">attribute-filter.xml</code>* simpleSAMLphp IdP-nél: <code lang="xml">AttributeFilter. Innentől kezdve xml</code> A filter fájlok Resource Registry által előállított változatát használni nem kötelező, de fokozottan ajánlott, hiszen ezzel garantálható egyfelől, hogy az IdP adatai bekerülnek -n keresztül autentikáló felhasználók azokat az SP-ket, melyeket el kell tudniuk érni, jól fogják, megfelelő attribútumokkal "a föderációs metaadatbazsebükben" fogják tudni elérni, másfelől így már tudnak érvényesülni a feljebb részletezett korlátozó szabályzások. ===Adatvédelmi szempontok===Ha egy SP megváltoztatja attribútum igényeit pozitív irányba (új attribútumokat kér), úgy a változtatás csak akkor fog belekerülni az IdP-k attirbútum filterébe, amennyiben ezt a változtatást tudomásul veszi az új IdP is képes hitelesíteni felhasználóit föderatív szolgáltatások elérésének céljábóloldaláról az illetékes adatvédelmi felelős. Mivel Amennyiben egy SP-nél ilyen jellegű változás történik, a rendszer e-mailben értesíti az regisztráló személy adata ismertekérintett IdP-k gazdáit, adatvédelmi felelőseit. ===Gyakorlati ajánlás===Kihasználandó a Resource Registry által biztosított lehetőségeket ajánljuk, így hozzárendelésre kerül hogy az IdP-hez tartozó generált attribútum filter fájlt automatikusan töltsék le az IdP adminisztrálása is-k, bizonyos időközönként (óránként, naponta párszor...), hiszen ezekbe csak úgy kerülhet változtatás, ám immár ha azt az új IdP által hitelesített azonosítójáhozadatvédelmi felelőse jóváhagyta, akkor viszont egyből átvezetődik a változtatás, nem szükséges kézzel letölteni, egyúttal törlésre kerül ill. újraindítani az ideiglenesen létrehozott VHO azonosítóIdP-t. (Shibboleth esetében be kell állítani egy kapcsolót, SSP-nél automatikusan újratölti a friss XML-t) ;A filter elérhetősége* Shibboleth IdP: https://rr.eduid.hu/gen_attribute-filter.php/href/IDP_NEVE/attribute-filter.xml * simpleSAMLphp IdP: https://rr.eduid.hu/gen_attribute-filter-ssp.php/href/IDP_NEVE/attribute-filter.xml;Útmutató a beállításhoz* [[Shib2IdpInstall#Tov.C3.A1bb_a_f.C3.B6der.C3.A1ci.C3.B3ba|Shibboleth]]* [[SSP_QuickStart#K.C3.BCls.C5.91_attrib.C3.BAtum_filter_modul_haszn.C3.A1lata|simpleSAMLphp]]