Haka-ohjausryhmä päätti 2.10.2015 teknisen ryhmän esityksestä ottaa käyttöön uuden version 2.2 funetEduPerson-skeemasta (fep). Uuden version käyttöönottopäivä on 4.1.2016. Käyttöönotolle on määritelty tarkka ajankohta, sillä uusi versio ei ole taaksepäin yhteensopiva nimiattribuuttien osalta.
Haka-operoinnista on kysytty ldiff-tiedostoja, joilla käyttäjähakemiston voi konfiguroida. Operaattorin tietoon ei ole tullut, että jokin vapaaehtoinen organisaatio olisi jakanut konfiguraatiotiedostojen mallit muiden käyttöön. Haka-organisaatiot käyttävät erilaisia IdM-ympäristöjä, joten yhden organisaation konfiguraatio ei välttämättä toimi toisessa. Attribuuttiskeeman toteuttamiseen liittyy myös toimintokäytäntöjä, jotka organisaatioiden on tarkistettava skeemapäivityksen yhteydessä.
Nimien esitystapa muuttuu
Seuraavassa taulukossa on uuden ja vanhan skeemaversion mukaiset arvot esimerkkikäyttäjästä, jonka nimi on: Seppo Matinpoika Johannes Virtanen.
| v2.2 | v2.1 | |
|---|---|---|
| sn | Virtanen | Virtanen |
| givenName | Seppo | Seppo Matinpoika Johannes |
| funetEduPersonGivenNames | Seppo Matinpoika Johannes | - |
| funetEduPersonFullName | Seppo Matinpoika Johannes Virtanen | - |
| cn | Seppo Virtanen | Seppo Virtanen |
| displayName | Seppo Virtanen | Seppo |
| eduPersonNickName | Sepi | Sepi |
Jos palvelu (SP) ei huomioi skeemapäivitystä IdP:n tekemien muutosten jälkeen, palvelussa, joka on aiemmin muodostanut käyttäjän näyttönimen katenoimalla attribuuttien displayName ja sn arvot, nimi näyttää jatkossa: "Seppo Virtanen Virtanen".
Palveluissa, jotka ovat muodostaneet nimen katenoimalla givenName + sn, näkyy nimi jatkossa muodossa: "Seppo Virtanen" sen sijaan, että näytetään kaikki etunimet ja sukunimi.
schac-päivitys
Tutkimuksen ja koulutuksen yhteistyöryhmä REFEDS julkaisi yhteiseurooppalaisesta Schac-attribuuttiskeemasta version 1.5. Päivitys toi uusia attribuutteja ja pieniä muutoksia joihinkin nykyisten attribuuttien kuvauksiin. Esimerkiksi schacHomeOrganization-attribuuttiin tuli uutena asiana palveluille (SP) vahva kannuste tarkistaa luovutetun arvon kelpoisuus federaation metadatasta. Haka-metadatassa on jo aiemmin julkaistu tässä tarkoituksessa käytettävä elementti, jota on aiemmin käytetty attribuuttiskooppien kelpoisuuden tarkastamiseen.
eduPerson-päivitys
eduPerson-skeema on Internet2:n julkaisema LDAP-skeema korkeakoulujen henkilöiden ja organisaatioiden kuvaamiseen. Fep-päivitykseen huomioitiin eduPerson-skeeman uusin versio 201310. Uutena attribuuttina on lisätty vielä fep:n valmistumisajankohtana luonnostasolla ollut eduPersonOrcid-attribuutti. Uusi on myöskin eduPersonUniqueId, joka laajalle levitessään voisi olla eräs ratkaisu yleistyvään ongelmaan löytää yleiskäyttöinen tunniste, jolla henkilö voidaan yksilöidä pysyvästi yli organisaatiorajojen.
Organisaatioiden IdM-käytänteisiin vaikuttava muutos eduPerson-skeemassa on eduPersonAffiliation-arvojen määrittäminen. Affiliation arvo "member" on lisättävä käyttäjälle, jos hänelle on määritetty jokin arvoista: faculty, staff, student tai employee. Uuden Haka-käytännön mukaisesti arvon faculty määrittäminen on suositeltavaa silloin, kun se on henkilön osalta soveltuvaa. Jo aiemman Haka-tulkinnan perusteella affiliation-arvoa ei voi määrittää silloin, kun IdP-palvelimen käyttäjähakemiston ja henkilöstöhallinnon tai opiskelijarekisterin välillä ei ole kytkentää, jolla varmistutaan henkilötietojen ajantasaisuudesta.
eduGAIN attribuuttikäytännön omaksuminen
Hakassa pakollisesti populoitavien attribuuttien joukko on kasvanut. Muutoksella tuetaan palvelujen (SP) mahdollisuutta saada tarvittavia henkilötietoja käyttäjistä. Päivityksen myötä Hakassa omaksutaan käyttöön eguGAIN-attribuuttikäytäntö, joka suosittelee aiemmin pakollisten Haka-attribuuttien lisäksi mm. sähköpostiosoitteen populoimista. Muutos vaikuttaa myös käyttäjätunnisteiden luovuttamiseen, kun pysyvän nimitunnisteen (persistent nameidentifier) luovuttaminen muuttuu suositelluksi.
Jatkossa eduPersonTargetedId-attribuutin ja pysyvän nimitunnisteen arvojen suositellaan olevan yhteneviä kun sama tunniste on luovutettava sekä attribuuttina, että nimitunnisteena. Tämä muutos on huomioitava niissä palveluissa (SP), jotka ovat aiemmin tukeutuneet näihin tunnisteisiin. Toinen edellämainituista tunnisteista saattaa vaihtua niillä käyttäjillä, joiden kotiorganisaatio on tähän asti muodostanut nämä kaksi eri tunnistetta keskenään eri tavoin. Joissain tapauksissa IdP:n SAML-ohjelmiston päivitys tai vaihto saattaa pakottaa näiden tunnisteiden muuttumiseen tai tunnisteiden ennallaan säilyttäminen saattaa rajoittaa tuotevaihtoa.
Monta muutosta samalla
Shibboleth-konsortio on ilmoittanut, että laajasti Hakassa käytössä olevan Shibboleth IdP v2-tason ohjelmiston tuki päättyy kesällä 2016 (kts. aiemmin julkaistu artikkeli). Samassa yhteydessä, kun Haka-organisaatiossa tehdään skeemamuutoksia, kannattaa päivittää Shibboleth-ohjelmisto seuraavaan versiotasoon. Haka-operointi järjesti marraskuussa työpajapäivän, jonka koulutusmateriaaliin organisaatioiden ylläpitäjät voivat tukeutua päivityksessä.
1 Comment
Unknown User (klaalo@csc.fi) AUTHOR
LDIFF-tiedosto löytyy nyt: funetEduPerson-skeeman konfiguraatiomallit