Aika: | 27.4.2018 klo 09:30-10:30 |
Paikka: | Videokokous Huom! Liittyessä videokokoukseen kirjaa osallistujanimeksesi: Etunimi Sukunumi (Organisaatio), jotta osallistujat voidaan todeta asiakohdassa 3. Join from PC, Mac, Linux, iOS or Android: https://cscfi.zoom.us/j/898981760 Or an H.323/SIP room system: |
Osallistujat: | Jokaisella luottamusverkoston jäsenellä on oikeus asettaa edustajansa tekniseen työryhmään |
Verkkokous tallennetaan. Tallennetta käytetään läsnäolijoiden toteamiseen ja tukena muistion kirjoittamiselle. Tallennetta ei julkaista.
Esityslista
- Kokouksen avaus
- Valitaan puheenjohtaja ja sihteeri
- Todetaan läsnäolijat
FunetEduPerson-skeeman (FEP) versio 2.3 käyttöönotto
Esittely: Hakan IAM-verkostossa ja eriäissä Haka-kirjautumiseen tukeutuvissa palveluissa on noussut esille tarve muuttaa Hakassa yleisesti käytetty henkilötunniste eduPersonPrinsipalName (eppn) pysyväksi. Hakassa on määritelty, että palvelun on oletettava tietyn tunnisteen haltijan vaihtuneen, jos tunnisteella ei olla kirjauduttu palveluun 24 kk:n kuluessa. On syntynyt epäilystä, noudattavatko kaikki palvelut tätä vaatimusta. Toisaalta, esimerkiksi Refeds Assurance Framework kehityksessä on otettu lähtökohdaksi pysyvät eppn-tunnisteet (katso Mikael Lindenin esitys IAM-verkoston tapaamisessa 19.4.2018)
IAM-verkoston kokouksessda 10.10.2017 päätettiin aikataulusta, jolla ehdotettiin muutosta edistettävän. Koska Hakassa on ollut mahdollista kierrättää tunnistetta uudelle käyttäjälle kahden vuoden varoajalla, on pysyväksi siirtymisessä noudatettava aikataulua, joka huomioi kierrättämisen mahdollisuuden.
IAM-verkosto päätti ehdottaa aikataulua:- päätöksen prosessointi Hakan toimielimissä: viimeistään kesällä 2018
- Organisaatiot lakkaavat eppn-tunnisteiden kierrättämisen: viimeistään 1.1.2019
- Palvelut voivat luottaa eppn-tunnisteiden pysyvyyteen: aikaisintaan 1.1.2021
Muutosta on käsitelty IAM-verkoston tapaamisissa ja siitä on tiedotettu Hakan viestintäkäytäntöjen mukaisesti Hakan blogissa.
Operointi on valmistellut funetEduPerson-skeemasta luonnoksen versiolla 2.3. Luonnos löytyy tästä linkistä. Luonnoksessa on huomioitu IAM-verkoston suunnittelema aikataulu ja uuden version voi asettaa astumaan voimaan välittömästi.Haka-operoinnin esitys: Esitetään Haka-ohjausryhmälle operoinnin valmisteleman funetEduPerson-skeeman version 2.3 vahvistamista käyttöön otettavaksi. Versiomuutos tulee voimaan välittömästi päätöksen yhteydessä. Päätös: Uusien SAML-käyttäjätunnisteiden omaksuminen Hakaan
Esittely: SAML2-standardin osaksi on tulossa uusi tapa esittää käyttäjätunniste (https://wiki.oasis-open.org/security/SAMLSubjectIDAttr). Hakassa käyttäjätunnisteina käytetään tällä hetkellä EduPersonPrincipalName- (EPPN) ja EduPersonTargetedId-attribuutteja (EPTID) sekä NameID:na esitettäviä transientid:ta ja persistentid:ta.
Korkeakoulut Suomessa ovat havainneet ongelmaksi EPPN-attribuutin mahdollisen kierrättämisen uusille käyttäjille ja sopineet sitoutuvansa sen pysyvyyteen. EduPersonTargetedId:n käyttämiseen on alusta asti liittynyt ongelmia, joten se ei ole yleistynyt käyttöön.
Uudet esitellyt tunnisteet ovat Standard Subject Identifier ja Pairwise Subject Identifier. Ensimmäisen ollessa käyttäjälle muuttumaton tunniste kaikissa käyttäjän käyttämissä palveluissa, jälkimmäinen tunniste on käyttäjä- ja palvelukohtainen. Muistuttavat siis hyvin paljon EPPN- ja EPTID-tunnisteita.
Haka-operoinnin esitys: Annetaan Haka-operoinnille tehtäväksi valmistella uusien käyttäjätunnisteiden omaksumista Hakan käyttöön siten, että ne on otettavissa käyttöön Haka-kirjautumisessa, kun ao. SAML profiililuonnos vahvistetaan. Päätös: - Tiedotusasiat
- Muut keskusteluasiat
- Kokouksen päätös