10
szerkesztés
Módosítások
a
rr.aai.niif.hu >> rr.eduid.hu
{{ambox| type = delete| image = [[Image:Trash.svg|40px]]| text = <big>'''Elavult információ'''</big>----{{#if:{{{1|}}} | {{{1}}} | '''Figyelem:''' ez a szócikk elavult, a Resource Registry megújult egy ideje!}}}}
* '''Attribútum''': felhasználóra vonatkozó tulajdonság. A föderációban használt attribútumok listája '''[[HREFAttributeSpec|itt érhető el]]'''.
* '''SP: Service Provider - Szogáltatás''': Webes alkalmazás, amelynek felhasználóit föderatívan, valamilyen IdP által autentikáltatja
* '''IdP: Identity Provider - Azonosító szervezet''': Feladata a felhasználó azonosítása, felhasználó attribútumainak kiadása SP-k részére
* '''Föderáció''': olyan intézmények halmaza, amelyek között lehetséges az azonosítási-információk átadása. Az intézmények - szabályozott keretek között - megbíznak a másik intézmény által kiállított azonosítási-információkban.
* Föderáció-szintű feladata, hogy a központi metaadatot óránként generálja, melyet a résztvevő "entitások" használnak, ezzel garantálva egyfelől a föderáció egységességét, másfelől a megfelelő formátumú metaadat alkalmazásával megteremtse a lehetőséget, hogy a föderáció kiegészítő alkalmazásai (Discovery Service), ill. nemzetközi szintű együttműködésben - bizonyos keretek közt - más föderációk is dolgozhassanak ebből.
* Az [[HREFAttributeSpec|attribútum-szabályzat]] szintén föderációs szinten állítható, melyeket kiegészítve, az egyes IdP-k megadhatják, hogy mely attribútumokat milyen feltételekkel adják ki, ill. az egyes SP-k is deklarálhatják, hogy milyen attribútumok megléte esetén tudnak egyáltalán működni, mindezt az egyes intézmények adatvédelmi felelősei által kontrolálva.
* Egyénileg, az adott entitás adminisztrátorai által használhatók az egyes IdP-k, SP-k telepítését és konfigurálását megkönnyítő funkciók, melyek a megfelelő beállításokat webes felületen megadva letölthetővé teszik az ezen beállítások alapján automatikusan generált, és jó eséllyel minimális további kézi konfigurációt igénylő fájlokat. Fontos, hogy ezeket a fájlokat nem kötelező használni, ám segítséget jelenthetnek.
'''Shibboleth 2.x SP-hez:'''
*<code lang="xml">shibboleth2.xml</code>
''Fontos, hogy ezt akkor lehet szinte egy az egyben használni, amennyiben az adott SP csak egy alkalmazást véd. Amennyiben több alkalmazás is igényes igényel Shibbolethet egyazon hoszton, úgy kézzel kell szerkeszteni az xml-t.''
*<code lang="xml">attribute-map.xml</code>
*<code lang="xml">attribure-filter.xml</code>
''Ez A fájl egyből használható, a rendszer e'' -mailt küld róla, ha a föderációba új SP került, így szükséges a frissített <code lang="xml">attribute-filter.xml</code> letöltése az IdP-hez. [[#attribute-filter_generAttrib.C3.A1lBAtumok_kezel.C3.A1saA9se|További további információk ]] a fájl előállításának menetéről]].
'''SimpleSamlPHP-hoz:'''
* <code lang="xml">AttributeFilter.xml</code>''Fejlesztés alattA fájl egyből használható''- [[#Attrib.C3.BAtumok_kezel.C3.A9se|további információk]] a fájl előállításának menetéről.
===Bejelentkezés a rendszerbe===
A Resource Registry a https://rr.aai.niifeduid.hu címen érhető el, és bejelentkezni csak föderatív azonosítás után lehet. A nyitóképernyőn a bejelentkezési lehetőségen túl mindössze általános, nyilvános információk érhetők el a föderáció aktuális állapotával kapcsolatban, ill. a rendszer használatához található segítség.
A rendszerbe történő bejelentkezéshez elengedhetetlen, hogy a felhasználót azonosító IdP az alábbi attribútumokat átadja a Resource Registry-nek.
===SP regisztráció===
Bárki, akit a rendszer föderatív azonosítással beléptettbeléptetett, kezdeményezheti egy SP föderációba történő felvételét, ehhez az „SP adminisztráció“ oldalon az „Új SP regisztrálása“ c. menüpontot kell választani. Varázsló segít a regisztrációban, melynek mindössze a telepített SP metaadatának nyilvánosan elérhető url-jét kell megadni (alapértelmezés szerint: https://#HOSTNAME#/Shibboleth.sso/Metadata), majd az automata a lehető legtöbb beállítási paramétert megpróbálja kiolvasni az xml-ből, és egyből beírni az adatbázisba az új SP adatai közé. Mivel minden adatot nem lehetséges az alapértelmezett metaadatból kinyerni, így a regisztráló felhasználónak néhány további adatot kell megadnia ahhoz, hogy véglegesíthesse az SP regisztrációs kérelmet. Ezeket hat csoportra lehet osztani.
* '''Alapinformációk''': itt kerülnek megadásra az alapvető, leíró információk, melyek az SP nevét, leírását tartalmazzák, ill. a legfontosabb azonosító, az entityID. Az adatok egy része (pl: entityID) kiderül már a metaadatból is, így a beviteli mezőt már az automata kitöltötte.
* '''Kapcsolattartók''': ha a metaadatból nem derül ki, akkor kézzel kell megadni technikai, adminisztratív, általános...stb. kapcsolattartó személyeket, akik adatai a központi metaadatban is szerepelni fognak.
* '''SP Service Locations''': különböző bindingok elérhetőségei – ezt az automata az esetek nagy hányadában jól kiolvassa a metaadatból, emberi módosítást a legritkább esetben igényel. Kivételt képez a ''NameIdFormat'' meghatározása, mely kapcsán két három opció közül választhatunk.** Tranziens opciót kell választanunk, ha SP-nk számára nem fontos, hogy ki a felhasználó, hiszen nem ez alapján dől el, hogy milyen erőforrásokat érhet el, hanem az alapján hogy milyen, a felhasználóra vonatkozó, pl. 1[[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] attribútumot állnak az SP rendelkezésére.** Perzisztens opciót kell választanunk, ha SP-nk számára fontos, hogy ki a felhasználó ÉS sz SP által védett alkalmazásaink is felkészültek arra, hogy [[eduPersonTargetedID|eduPersonTargetedID]]persistent-t idt fogadjanak, ezzel dolgozzanak.** Nem meghatározott opciót kell választanunk, amennyiben az SP által védendő alkalmazás mind persistent, mind transient NameID fogadására alkalmas.
: ''Megjegyzés'' Amennyiben most alakítjuk ki az AAI infrastruktúránkat, újonnan állítjuk be az SP-t annak érdekében, hogy valamilyen alkalmazást védjen, akkor '''elvárt'ajánlott'', hogy támogassa a perzisztens azonosítók használatát.
* '''Tanúsítványok''': az SP által használt tanúsítványokat kell PEM formátumban megadni – ehhez is segítséget nyújt varázsló helyben, amelynek az SP metadatájának URL-jét címét kell megadni, ami után az automata beolvassa a tanúsítvány(oka)t.
A módosítás folyamata teljesen analóg a regisztrációéval, ami a funkciókat illeti.
'''FONTOS''': Akár regisztráltunk, akár módosítottunk, a változásokat jóvá kell hagynia az Önt azonosító intézet RR adminisztrátorai közül valakinek. Amíg ezek a változtatások bekerülnek a föderációs metaadatba, az legfejjebb egy óra, ám amíg minden föderációs entitás frissíti a metaadatot, így értesül a változásról, az akár több nap is lehet.
===IdP regisztráció===
==Attribútumok kezelése==
A föderácban föderációban használható attribútumok részletes listája a [[HREFAttributeSpec|föderációs attribútum specifikációban]] található.
Az egyes attribútumokkal kapcsolatban négy irányból lehetséges beállításokat eszközölni
* Minden SP meghatározhatja, hogy mely attribútumok kiadását követeli meg, és melyek kiadását ajánlja (SP beállítások - Kötelező attribútumok menüpont)
* Minden SP meghatározhatja, hogy mely IdP-kkel áll ktől hajlandó attribútumokat elfogadni (SP beállítások - Hallgatóság menüpont)
* Minden IdP meghatározhatja általánosságban, hogy ha egy SP tőle egy bizonyos attribútum kiadását megköveteli, vagy ajánlja, akkor azt az attribútumot kiadja-e, vagy sem. (IdP beállítások - Általános attribútum kiadási szabályok menüpont)
* Minden IdP meghatározhat SP-specifikus szabályokat, tehát egy-egy SP-re, vagy egy-egy SP egy-egy attribútumára vonatkozólag megadhat az általános beállításaitól eltérő szabályokat - pl. az eduPersonPrincipalName-t ha általában ajánlva kérik az SP-k, akkor kiadja, de XY SP-nek semmiképp nem adja ki. (IdP beállítások - Egyedi attribútum kiadási szabályok menüpont)
[[HREFAttributeSpec#Attrib.C3.BAtumok_haszn.C3.A1lata|További információ az attribútumok implemetációjárólimplementációjáról, kapcsolódó fogalmakról]]
'''A fenti beállítások eredőjeként generálódik az IdP-k által használandó XML alapú attirbútum filter fájl'''
===Adatvédelmi szempontok===
Ha egy SP megváltoztatja attribútum igényeit pozitív irányba (új attribútumokat kér), úgy a változtatás csak akkor fog belekerülni az IdP-k attirbútum filterébe, amennyiben ezt a változtatást tudomásul tudomásul veszi az IdP oldaláról az illetékes adatvédelmi felelős. Amennyiben egy SP-nél ilyen jellegű változás történik, a rendszer e-mailben értesíti az érintett IdP-k gazdáit, adatvédelmi felelőseit.
===Gyakorlati ajánlás===
;A filter elérhetősége
* Shibboleth IdP: https://rr.aai.niifeduid.hu/gen_attribute-filter.php/href/IDP_NEVE/attribute-filter.xml * simpleSAMLphp IdP: https://rr.aai.niifeduid.hu/gen_attribute-filter-ssp.php/href/IDP_NEVE/attribute-filter.xml;Útmutató a beállításhoz* [[Shib2IdpInstall#Tov.C3.A1bb_a_f.C3.B6der.C3.A1ci.C3.B3ba|Shibboleth]]* [[SSP_QuickStart#K.C3.BCls.C5.91_attrib.C3.BAtum_filter_modul_haszn.C3.A1lata|simpleSAMLphp]]
