Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Info
titleHaka SAML 2.0 -profiili versio 2.0

Hakan SAML 2.0 Web SSO -profiili perustuu julkishallinnon yhteiseen SAML 2.0 -profiiliin (ver 1.1). Julkishallinnon profiilin kolmannen sarakkeen yleiset kommentit koskevat myös Hakaa.  Hakan lisäykset profiiliin on lueteltu alla.

Hakan lisäykset ja tarkennukset julkishallinnon profiiliin

Hakan SAML-profiili täydentää julkishallinon yhteistä SAML 2.0 -profiilia (ver 1.1) seuraavilla lisäyksillä:

  • Hakaan rekisteröidyt IdP- ja SP-palvelimet voivat käyttää kaikkien varmentajien X.509 -varmenteita (mukaanlukien itseallekirjoitetut varmenteet). Varmenteessa käytetyn RSA-avaimen minimikoko on 2048 bittiä.
  • SP:n ja IdP:n SAML-viestien vaihtoon rekisteröidyt osoitteet tulee suojata TLS/SSL protokollalla.
  • Haka-metadata on allekirjoitettu Funet-varmennepalvelun antamalla varmenteella. Metadatan käyttäjän tulee varmistaa allekirjoituksen lisäksi, ettei käytetty varmenne ole sulkulistalla.
  • Kappaleessa Additional extensions määritellyn Single logout:in totetuttaminen on valinnaista.
  • Hakassa välitettävät attribuutit on kuvattu ja määritelty FunetEduPerson-skeemassa.
  • Rajatut attribuutit (scoped attributes). FunetEduPerson skeemassa on kaksi rajattua attribuuttia: eduPersonPrincipalName ja eduPersonScopedAffiliation. Kotiorganisaatiot saavat populoida rajatut attribuutit vain omistamillaan rajauksilla (esim. ePPN jalauros@csc.fi vain CSC:n IdP:n toimesta).  Rajattua attribuuttia hyödyntävän tahon olisi suositeltavaa tarkistaa että rajaus on sallittu. Haka- operaattori julkaisee listan sallituista kotiorganisaatioiden rajauksista osana Haka-metadataa.

...