10
szerkesztés
Módosítások
a
Ha sikerült az IdP regisztrációja, és kezdeti beállítása, akkor be kell tudni lépni az RRA telepítéshez -be, ahol a további adminisztráció elvégezhető. '''Nagyon fontos'Shibboleth esetében''- pl. a [[Shib2IdpInstall]] wikilapon található leírás szolgál segítségül. Attribútumokat, autentikációt konfigurálni nem kell, elegendő, hogy az IdP-n bármilyen módosítás '''azonnal érvénybe lép'''ha a [[Shib2IdpInstall#Teszt|Teszt]] pontnál látjuk a megnyugtató <code lang="xml">ok</code> szöveget, így rossz beállítás esetén akár az IdP által hitelesíthető felhasználók belépése is ellehetetlenülhet.és minimális beállításokat megejtettük
Az alábbi képeken láthatóAmennyiben ez működik, úgy írni kell egy e-mailt az [mailto:aai@niif.hu aai@niif.hu] címre, valaki a föderációs adminisztrátorok közül regisztrálja az IdP-t, és a válasz e-mailben elküld két linket, amelyek tartalmaznak két linket az <code lang="xml">attribute-resolver.xml</code> és <code lang="xml">attribute-filter.xml</code> már testreszabott konfigurációs fájlokra mutatva. Ezeket letöltve, bemásolva az IdP-nek már működnie kell alapszinten, így már lehetségessé válik a Resource Registry-be történő belépés. Sikeres belépés után az intézményhez tartozó RR jogosultságokat átadjuk, s a továbbiakban mehet minden a maga utáján, intézményi szinten. '''Nagyon fontos''', hogy milyen módosítások végezhetők el egy az IdP-hez kapcsolódóann bármilyen módosítás '''azonnal érvénybe lép''', így rossz beállítás esetén akár az IdP által hitelesíthető felhasználók belépése is ellehetetlenülhet. '''A beállítási lehetőségek az alábbiak'''
[[Kép:RrIdp1.png]]
* '''Tanúsítványok''': az IdP által használt tanúsítványokat kell PEM formátumban megadni – ehhez is segítséget nyújt varázsló helyben, amelynek A föderációban használható attribútumok részletes listája a webszerver címét kell megadni, ami után az automata beolvassa a tanúsítvány(oka)t.[[Kép:RrIdp3.pngHREFAttributeSpec|föderációs attribútum specifikációban]]található.
* '''Kapcsolattartók''': ha a metaadatból nem derül ki, akkor kézzel kell megadni technikai, adminisztratív, általános[[HREFAttributeSpec#Attrib.C3.BAtumok_haszn.stbC3. kapcsolattartó személyeketA1lata|További információ az attribútumok implementációjáról, akik adatai a központi metaadatban is szerepelni fognak.[[Kép:RrIdp4.pngkapcsolódó fogalmakról]]
Az '''<code lang="xml">attribute-A filter.xml</code>''' a Shibboleth IdP egyik fontos konfigurációs fájljafájlok Resource Registry által előállított változatát használni nem kötelező, de fokozottan ajánlott, amelyben megadhatjukhiszen ezzel garantálható egyfelől, hogy az IdP milyen feltételek teljesülése milyen attribútumokat (ne) adjon ki a hozzáforduló -n keresztül autentikáló felhasználók azokat az SP-nek. [[Shib2IdpARP|További részletek ket, melyeket el kell tudniuk érni, jól fogják, megfelelő attribútumokkal "a zsebükben" fogják tudni elérni, másfelől így tudnak érvényesülni a filter működéséről]]feljebb részletezett korlátozó szabályzások.
A föderációban résztvevő ===Adatvédelmi szempontok===Ha egy SP megváltoztatja attribútum igényeit pozitív irányba (új attribútumokat kér), úgy a változtatás csak akkor fog belekerülni az IdP-k számára a Resource Registry dinamikusan generálja a '''<code lang="xml">attribute-filter.xml</code>'''-tattirbútum filterébe, amely mindig amennyiben ezt a https://rr.aai.niif.hu/gen_attribute-filter.php/href/IDP_NEVE/attribute-filter.xml címen érhető el. A generátor változtatást tudomásul veszi az alábbi szempontokat veszi figyelembe:* Az IdP milyen speciális - egy-oldaláról az illetékes adatvédelmi felelős. Amennyiben egy SP-re külön meghozott nél ilyen jellegű változás történik, a rendszer e- attribútum kiadási szabályokat deklarált* Az SP [[HREFAttributeSpec#schacHomeOrganizationType|milyen jellegű mailben értesíti az érintett IdP-k]] felhasználói számára engedélyezte a szolgáltatás használatát* Az SP az előzőeken túl milyen kivételes szabályokat állított felgazdáit, adatvédelmi felelőseit.
A ===Gyakorlati ajánlás===Kihasználandó a Resource Registry által biztosított lehetőségeket ajánljuk, hogy az IdP-hez tartozó generált attribútum filter alapvetően tiltó jellegűfájlt automatikusan töltsék le az IdP-k, bizonyos időközönként (óránként, naponta párszor...), tehát hiszen ezekbe csak úgy kerülhet változtatás, ha azt az IdP pontosan azokat az attribútumokat és pontosan azoknak az SP-knek adhatja kiadatvédelmi felelőse jóváhagyta, melyek megadásra kerültek akkor viszont egyből átvezetődik a beállításoknálváltoztatás, nem szükséges kézzel letölteni, ill. újraindítani az "egyébként ág": ''NEM''IdP-t.(Shibboleth esetében be kell állítani egy kapcsolót, SSP-nél automatikusan újratölti a friss XML-t)
Lévén a generátor három szempont alapján állítja össze a ;A filter fájlt, míg az IdP adminisztrátorának ezek közül csak egyre van teljes rálátása, így az elérhetősége* Shibboleth IdP: https://rr.eduid.hu/gen_attribute-filter.php/href/IDP_NEVE/attribute-t úgy kell konfigurálnia, hogy egy automata plfilter. minden órában letölti a fenti címről az adott xml * simpleSAMLphp IdP: https://rr.eduid.hu/gen_attribute-re vonatkozó '''<code lang="xml">filter-ssp.php/href/IDP_NEVE/attribute-filter.xml</code>'''-t, amely szintén automatikusan, immár ;Útmutató a legújabb változtatásokat is tartalmazva, aktivizálódikbeállításhoz* [[Shib2IdpInstall#Tov.C3.A1bb_a_f.C3.B6der.C3.A1ci.C3.B3ba|Shibboleth]]* [[SSP_QuickStart#K.C3.BCls.C5.91_attrib.C3.BAtum_filter_modul_haszn.C3.A1lata|simpleSAMLphp]]
rr.aai.niif.hu >> rr.eduid.hu
{{ambox| type = delete| image = [[Image:Trash.svg|40px]]| text = <big>'''Elavult információ'''</big>----{{#if:{{{1|}}} | {{{1}}} | '''Figyelem:''' ez a szócikk elavult, a Resource Registry megújult egy ideje!}}}}
* '''Attribútum''': felhasználóra vonatkozó tulajdonság. A föderációban használt attribútumok listája '''[[HREFAttributeSpec|itt érhető el]]'''.
* '''SP: Service Provider - Szogáltatás''': Webes alkalmazás, amelynek felhasználóit föderatívan, valamilyen IdP által autentikáltatja
* '''IdP: Identity Provider - Azonosító szervezet''': Feladata a felhasználó azonosítása, felhasználó attribútumainak kiadása SP-k részére
* '''Föderáció''': olyan intézmények halmaza, amelyek között lehetséges az azonosítási-információk átadása. Az intézmények - szabályozott keretek között - megbíznak a másik intézmény által kiállított azonosítási-információkban.
* Föderáció-szintű feladata, hogy a központi metaadatot óránként generálja, melyet a résztvevő "entitások" használnak, ezzel garantálva egyfelől a föderáció egységességét, másfelől a megfelelő formátumú metaadat alkalmazásával megteremtse a lehetőséget, hogy a föderáció kiegészítő alkalmazásai (Discovery Service), ill. nemzetközi szintű együttműködésben - bizonyos keretek közt - más föderációk is dolgozhassanak ebből.
* Az [[HREFAttributeSpec|attribútum-szabályzat]] szintén föderációs szinten állítható, melyeket kiegészítve, az egyes IdP-k megadhatják, hogy mely attribútumokat milyen feltételekkel adják ki, ill. az egyes SP-k is deklarálhatják, hogy milyen attribútumok megléte esetén tudnak egyáltalán működni, mindezt az egyes intézmények adatvédelmi felelősei által kontrolálva.
* Egyénileg, az adott entitás adminisztrátorai által használhatók az egyes IdP-k, SP-k telepítését és konfigurálását megkönnyítő funkciók, melyek a megfelelő beállításokat webes felületen megadva letölthetővé teszik az ezen beállítások alapján automatikusan generált, és jó eséllyel minimális további kézi konfigurációt igénylő fájlokat. Fontos, hogy ezeket a fájlokat nem kötelező használni, ám segítséget jelenthetnek.
'''Shibboleth 2.x SP-hez:'''
*<code lang="xml">shibboleth2.xml</code>
''Fontos, hogy ezt akkor lehet szinte egy az egyben használni, amennyiben az adott SP csak egy alkalmazást véd. Amennyiben több alkalmazás is igényes igényel Shibbolethet egyazon hoszton, úgy kézzel kell szerkeszteni az xml-t.''
*<code lang="xml">attribute-map.xml</code>
*<code lang="xml">attribure-filter.xml</code>
''Ez A fájl egyből használható, a rendszer e'' -mailt küld róla, ha a föderációba új SP került, így szükséges a frissített <code lang="xml">attribute-filter.xml</code> letöltése az IdP-hez. [[#attribute-filter_generAttrib.C3.A1lBAtumok_kezel.C3.A1saA9se|További további információk ]] a fájl előállításának menetéről]].
'''SimpleSamlPHP-hoz:'''
* <code lang="xml">AttributeFilter.xml</code>''Fejlesztés alattA fájl egyből használható''- [[#Attrib.C3.BAtumok_kezel.C3.A9se|további információk]] a fájl előállításának menetéről.
===Bejelentkezés a rendszerbe===
A Resource Registry a https://rr.aai.niifeduid.hu címen érhető el, és bejelentkezni csak föderatív azonosítás után lehet. A nyitóképernyőn a bejelentkezési lehetőségen túl mindössze általános, nyilvános információk érhetők el a föderáció aktuális állapotával kapcsolatban, ill. a rendszer használatához található segítség.
A rendszerbe történő bejelentkezéshez elengedhetetlen, hogy a felhasználót azonosító IdP az alábbi attribútumokat átadja a Resource Registry-nek.
Természetesen létezik Power User, aki mindent lát, mindenhez van jogosultsága, de csak nem várt esemény esetén aktivizálódik valahol az NIIF AAI környékén :), amúgy rendeltetésszerű működés esetén a szubszidiaritás elvét képviselve az intézményeké az őket érintő ügyekben a döntési jog.
==Folyamatok==
===SP regisztráció===
Bárki, akit a rendszer föderatív azonosítással beléptettbeléptetett, kezdeményezheti egy SP föderációba történő felvételét, ehhez az „SP adminisztráció“ oldalon az „Új SP regisztrálása“ c. menüpontot kell választani. Varázsló segít a regisztrációban, melynek mindössze a telepített SP metaadatának nyilvánosan elérhető url-jét kell megadni (alapértelmezés szerint: https://#HOSTNAME#/Shibboleth.sso/Metadata), majd az automata a lehető legtöbb beállítási paramétert megpróbálja kiolvasni az xml-ből, és egyből beírni az adatbázisba az új SP adatai közé. Mivel minden adatot nem lehetséges az alapértelmezett metaadatból kinyerni, így a regisztráló felhasználónak néhány további adatot kell megadnia ahhoz, hogy véglegesíthesse az SP regisztrációs kérelmet. Ezeket hat csoportra lehet osztani.
* '''Alapinformációk''': itt kerülnek megadásra az alapvető, leíró információk, melyek az SP nevét, leírását tartalmazzák, ill. a legfontosabb azonosító, az entityID. Az adatok egy része (pl: entityID) kiderül már a metaadatból is, így a beviteli mezőt már az automata kitöltötte.
: Itt tudjuk meghatározni első körben azt is, hogy az adott SP nyilvános, vagy belső SP legyen. Ennek szellemében kell a megadott feltételes mezőket kitöltenünk. Ha belső SP, akkor csak a legszükségesebb adatok megadása elvárt.
* '''Kapcsolattartók''': ha a metaadatból nem derül ki, akkor kézzel kell megadni technikai, adminisztratív, általános...stb. kapcsolattartó személyeket, akik adatai a központi metaadatban is szerepelni fognak.
* '''SP Service Locations''': különböző bindingok elérhetőségei – ezt az automata az esetek nagy hányadában jól kiolvassa a metaadatból, emberi módosítást a legritkább esetben igényel. Kivételt képez a ''NameIdFormat'' meghatározása, mely kapcsán két három opció közül választhatunk.** Tranziens opciót kell választanunk, ha SP-nk számára nem fontos, hogy ki a felhasználó, hanem pl. csak a felhasználó affiliationhiszen nem ez alapján dől el, vagy entitlement attribútuma szükségeshogy milyen erőforrásokat érhet el, mert ez hanem az alapján lesz jogosult hogy milyen, a felhasználó bizonyos funkciók elérésérefelhasználóra vonatkozó, vagy pl. [[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] attribútumot állnak az SP-nk nincs felkészülve a targetedId-k fogaásárarendelkezésére.** Perzisztens opciót kell választanunk, ha SP-nk számára fontos, hogy ki a felhasználó ÉS sz SP által védett alkalmazásaink is felkészültek arra, hogy targetedIdpersistent-t idt fogadjanak, ezzel dolgozzanak.** Nem meghatározott opciót kell választanunk, amennyiben az SP által védendő alkalmazás mind persistent, mind transient NameID fogadására alkalmas.
: ''Megjegyzés'' Amennyiben most alakítjuk ki az AAI infrastruktúránkat, újonnan állítjuk be az SP-t annak érdekében, hogy valamilyen alkalmazást védjen, akkor '''elvárt'ajánlott'', hogy támogassa a perzisztens azonosítók használatát.
* '''Tanúsítványok''': az SP által használt tanúsítványokat kell PEM formátumban megadni – ehhez is segítséget nyújt varázsló helyben, amelynek a webszerver az SP metadatájának URL-jét címét kell megadni, ami után az automata beolvassa a tanúsítvány(oka)t.
* '''Kötelező attribútumok''': itt lehetséges azon attribútumok megadása, melyek kiadása elvárt az IdP-től, amelyek nélkül az SP által védett alkalmazás nem használható.
: Amennyiben belső SP-t regisztráltunk, itt állíthatjuk be, hogy minden intézmény jelleget tiltunk, és egy kivételt megadunk: a saját IdP-nket. Ily módon más IdP nem is fog tudni erről az SP-ről, tehát annak ellenére, hogy szerepel a föderációs metaadatban, csak belső használatra lesz alkalmas.
===SP módosítás===
Egy jóváhagyott SP-t csak a megfelelő jogosultsággal rendelkező felhasználó tud módosítani. Általában egy-egy SP-hez tartozó adminisztrációs jogot az intézmény ''RR adminisztrátor'' jogkörrel rendelkező felhasználója osztja ki az adott SP jóváhagyásával egy ütemben. A módosítás folyamata teljesen analóg a regisztrációéval, ami a funkciókat illeti. '''FONTOS''': Akár regisztráltunk, akár módosítottunk, a változásokat jóvá kell hagynia az Önt azonosító intézet RR adminisztrátorai közül valakinek. Amíg ezek a változtatások bekerülnek a föderációs metaadatba, az legfejjebb egy óra, ám amíg minden föderációs entitás frissíti a metaadatot, így értesül a változásról.
===IdP regisztráció===
A föderációba új IdP-t - mivel a regisztrálandó IdP-t üzemeltető kolléga még nem tud belépni a Resource Registry-be - egy, a föderációs adminisztrációért felelős kolléga tud regisztrálni. Ehhez szükséges, hogy az IdP, minden kapcsolódó programmal együtt telepítve legyen, és az alapértelmezett, telepítéskor generált metaadat egy meghatározott url-en elérhető legyen. Ehhez a telepítéshez pl. a https://wiki.aai.niif.hu oldalon található Wiki szolgál segítségül.
* '''Alapinformációk''': IdP neve, leírása, jellege – technikai ismereteket nem igénylő, leíró jellegű információk
* '''Technikai információk''': EntityID, és különböző bindingok elérhetőségei – ezt az automata az esetek nagy hányadában jól kiolvassa a metaadatból, emberi módosítást a legritkább esetben igényel.
* '''Tanúsítványok''': az IdP által használt tanúsítványokat kell PEM formátumban megadni – ehhez is segítséget nyújt varázsló helyben, amelynek a webszerver címét kell megadni, ami után az automata beolvassa a tanúsítvány(oka)t.
* '''Technikai információkKapcsolattartók''': EntityIDha a metaadatból nem derül ki, akkor kézzel kell megadni technikai, adminisztratív, általános...stb. kapcsolattartó személyeket, akik adatai a központi metaadatban is szerepelni fognak. A további négy beállítás némi hozzáértést igényel, és különböző bindingok elérhetőségei – ezt lévén az automata alapértelmezett metaadatból nem olvashatók ki. A rendszer ezeket az esetek értékeket a föderációs szabályoknak, megállapodásoknak megfelelően készíti elő, legtöbb esetben nincs szükség módosításra, ám ha mégis, bármilyen speciális igény okán, akkor nagy hányadában jól kiolvassa odafigyeléssel kell beállítani. * '''Támogatott attribútumok''': beállítandó, hogy az IdP mely attribútumokat, milyen formában támogatja. A föderációs szinten kötelezőket mindenképp támogatnia kell.* '''Általános attribútum kiadási szabályok''': beállítható, hogy amennyiben egy SP az adott attribútumot kötelezően, ill. opcionálisan kiadandóként kéri, akkor az IdP hogyan viselkedjen. Ezek a metaadatbólszabályok általánosak, minden, emberi módosítást a legritkább esetben igényelföderációban résztvevő SP-r vonatkoznak.* '''Speciális attribútum kiadási szabályok''': beállíthatók külön-külön egyes SP-kkel való viselkedés, amennyiben indokolt az általános szabályoktól való eltérés.[[Kép* '''Telepítési és környezeti információk''':RrIdp2leíró információk, amelyek pl. hiba esetén segítséget adnak a hiba elhárítójának, hogy milyen rendszerrel lesz dolga. Emellett statisztikai célokat is szolgál.png]]
==Attribútumok kezelése==
Az egyes attribútumokkal kapcsolatban négy irányból lehetséges beállításokat eszközölni
* Minden SP meghatározhatja, hogy mely attribútumok kiadását követeli meg, és melyek kiadását ajánlja (SP beállítások - Kötelező attribútumok menüpont)
* Minden SP meghatározhatja, hogy mely IdP-ktől hajlandó attribútumokat elfogadni (SP beállítások - Hallgatóság menüpont)
* Minden IdP meghatározhatja általánosságban, hogy ha egy SP tőle egy bizonyos attribútum kiadását megköveteli, vagy ajánlja, akkor azt az attribútumot kiadja-e, vagy sem. (IdP beállítások - Általános attribútum kiadási szabályok menüpont)
* Minden IdP meghatározhat SP-specifikus szabályokat, tehát egy-egy SP-re, vagy egy-egy SP egy-egy attribútumára vonatkozólag megadhat az általános beállításaitól eltérő szabályokat - pl. az eduPersonPrincipalName-t ha általában ajánlva kérik az SP-k, akkor kiadja, de XY SP-nek semmiképp nem adja ki. (IdP beállítások - Egyedi attribútum kiadási szabályok menüpont)
'''A fenti beállítások eredőjeként generálódik az IdP-k által használandó XML alapú attirbútum filter fájl'''
A további négy beállítás némi hozzáértést igényelgenerált attribútum filter alapvetően tiltó jellegű, lévén tehát az alapértelmezett metaadatból nem olvashatók IdP pontosan azokat az attribútumokat és pontosan azoknak az SP-knek adhatja ki. A rendszer ezeket az értékeket , melyek megadásra kerültek a föderációs szabályoknak, megállapodásoknak megfelelően készíti elő, legtöbb esetben nincs szükség módosításra, ám ha mégis, bármilyen speciális igény okánbeállításoknál, akkor nagy odafigyeléssel kell beállítaniegyébként semmit.
'''Néhány példa a "leképződésre"'* Támogatott attribútumok: beállítandóHa egy SP kiadásra ajánl egy attribútumot, hogy de az IdP mely attribútumokat(akár az általános-, milyen formában támogatja. A föderációs szinten kötelezőket mindenképp támogatnia kell.* Általános akár az egyedi attribútum kiadási szabályok: beállíthatószabálya miatt) nem adja ki azt, akkor az XML fájlban komment formájában jelenik meg, hogy amennyiben egy SP ezt és ezt az adott attribútumot kötelezőenigényelné az SP, ill. opcionálisan kiadandóként kéride nem kerül kiadásra* Ha egy SP hallgatóságából kitilt egy IdP-t, akkor az IdP hogyan viselkedjen. Ezek a szabályok általánosak, minden, a föderációban résztvevő SP-r vonatkoznak.* Speciális attribútum kiadási szabályok: beállíthatók külön-külön egyes filterében az adott SP-kkel való viselkedés, amennyiben indokolt az általános szabályoktól való eltérés.* Telepítési és környezeti információk: leíró információk, amelyek pl. hiba esetén segítséget adnak a hiba elhárítójánakre vonatkozólag nem jelenik meg semmi, hogy milyen rendszerrel lesz dolga. Emellett statisztikai célokat amelynek következtében nem is szolgál.kerül számára kiadásra semmi
===XML alapú filter===* Shibboleth IdP-nél: <code lang="xml">attribute-filter generálása==.xml</code>* simpleSAMLphp IdP-nél: <code lang="xml">AttributeFilter.xml</code>
