Page tree
Skip to end of metadata
Go to start of metadata

Metadatan käyttöliittymäelementit (MDUI)  [1] ovat laajennos SAML-metadataan [2]. Laajennoksen tavoitteena on tehdä käyttäjälle paremmin näkyväksi mihin hän on kirjautumassa ja avustaa oikean tunnistuslähteen päättelyssä. Uusien elementtien tavoitteena on myös yhtenäistää tapaa, jolla palvelua tai tunnistuslähdettä (entiteettiä) metadatassa kuvataan.

SAML-metadatamäärityksessä on jo ennestään joitain perustietoja, joita on käytetty kuvaamaan entiteettiä. Näitä ovat esim. 'Organization'-elementti ja SP:n metadatassa 'AttributeConsumingService'-elementin sisällä 'ServiceName'- ja 'ServiceDescription'-elementit. Nämä elementit eivät yksistään riitä uusiin tarpeisiin.

Ohjelmistot ovat alkaneet tukea käyttöliittymäelementtien käyttöä. Shibboleth IdP tukee elementtejä versiosta 2.3 lähtien. Upotettavat tunnistuslähteen päättelypalvelut Shibboleth EDS ja DiscoJuice tukevat jo käyttöliittymäelementtejä tunnistuslähteen esittämisessä. Hakassakin tarjotun keskitetyn tunnistuslähteen päättelysovelluksen kehityssuunnitelmassa [3] on lisätä tuki käyttöliittymälaajennoksille versioon 2.0.

Käyttöliittymäelementeistä hyötyy erityisesti tunnistuslähteen päättelypalvelu, joka voi näyttää organisaation logon valintalistalla. Avainsanoja voidaan käyttää helpottamaan oikean tunnistuslähteen löytämistä silloin, kun valintalista on pitkä. Toistaiseksi Hakassa valintalistaa ylläpidetään käsityönä, mutta metadatan käyttöliittymäelementit mahdollistavat siirtymisen ohjelmalliseen valintalistan täydentämiseen. Kansainvälisissä yhteistyöjärjestelyissä (Kalmarin unioni, eduGAIN) metadatan käyttöliittymäelementtejä käytetään laajasti.

Tunnistuslähteissä voidaan näyttää tarkempia tietoja palvelusta, johon käyttäjä on kirjautumassa. Erityinen merkitys tällä on tunnistuslähteen kysyessä käyttäjän suostumusta tietojen luovuttamiselle. Tässä yhteydessä voidaan palvelun tietosuojaselosteen linkin lisäksi esittää esim. palvelun nimi ja kuvaus, jolloin käyttäjä voi tehdä nykyistä paremmin tiedoin päätöksen tietojensa luovuttamisesta.

Hakan resurssirekisterissä on uusi osio (UI Extensions), jolla entiteetin käyttöliittymäelementit määritellään. Edellä kuvatun päällekäisyyden johdosta ylläpitäjän on syötettävä joitain tietoja kahteen paikkaan.

Seuraavassa kerrotaan, mitä tietoja käyttöliittymäelementteihin syötetään

Displayname

Palvelun nimi lyhyesti ja kuvaavasti. Sekä organisaation jäsenien, että niiden, jotka eivät ole osa organisaatiota, pitäisi tunnistaa se palvelun nimestä.

Description

Lyhyt (alle 140 merkkiä) kuvaus palvelusta tai organisaatiosta. Elementin arvon täytyy olla kuvaava yksistään.  Kuvauksesta täyty käydä ilmi, mitä tarkoitusta varten entiteetti on olemassa myös henkilölle, joka ei aiemmin tunne palvelua tai organisaatiota.

Keywords

Avasinsanoja käytetään pääasiassa etsimiseen esimerkiksi tunnistuslähteen päättelypalvelussa. Avainsanojen pitäisi erottaa organisaatio muista. Tärkeimmät avainsanat luetellaan listan alkuun. Älä esimerkiksi käytä avainsanoja, kuten 'yliopisto', 'ammattikorkeakoulu' jne. Ei ole myöskään tarpeen toistaa samaa tekstiä kuin muissa elementeissä. Hyviä ehdokkaita avainsanoiksi ovat lyhenteet eri kielillä, nimet ja (maantieteelliset) paikan nimet.

Avainsanoissa ei voi käyttää plus-merkkiä (+).

Privacy Statement URL

Linkki palvelun tietosuojaselosteeseen. Linkin kohteen on oltava julkisesti saatavilla.

Information URL

Linkin kohteesta pitäisi löytyä täydellisempää tietoa palvelusta, kuin mitä käyttöliittymäelementeillä pystytään esittämään. Linkin kohteen pitää olla julkisesti saatavilla.

On suositeltavaa käyttää logoa, joka on:

  • mahdollisimman neliön muotoinen
  • sisältävät mahdollisimman vähän tekstiä
  • vähintään 300 pikseliä kooltaan
  • PNG-muotoinen
  • taustaväriltään läpinäkyvä
  • jaettuna HTTPS-URL:lla

Tunnistuslähteen päättelyä tukevat tiedot

IdP:stä annetaan lisäksi seuraavat päättelypalvelua tukevat tiedot. Tietoja käytetään vain tukena oikean tunnistuslähteen päättelyssä esimerkiksi järjestämään valintalistan kärkeen todennäköisimmät vaihtoehdot. Tietoja ei ole tarkoitus käyttää päättelemään tunnistuslähdettä käyttäjän puolesta.

IP Hint

IP-osoiteavaruus, jota organisaatiossa käytetään.

Domain Hint

DNS-toimialue, joka liittyy organisaatioon, tai jota organisaatio käyttää.

Geolocation Hint

Maantieteelliset koordinaatit, jotka liittyvät organisaatioon. Koordinaatteja voi olla useita (esim. korkeakoulun eri kampuksille omansa) ja ne annetaan geo URI -muodossa WGS-84 koordinaatistossa RFC5870 mukaisesti [4].

 

Viitteet

  1. Oasis, SAML V2.0 Metadata Extensions for Login and Discovery User Interface
  2. Oasis, Metadata for the OASIS Security Assertion Markup Language (SAML)
  3. Switch, WAYF Roadmap
  4. IETF,  A Uniform Resource Identifier for Geographic Locations ('geo' URI)

3 Comments

  1. Unknown User (talatalo@tut.fi)

    Pitäisiköhän näissä UI-elementtien kuvauksissa olla jonkinlaista yhtenäisyyttä ainakin IdP:den osalta? Osa elementeistä lienee aika selviä (Displayname, logo, tunnistuslähteen päättelyä tukevat tiedot), mutta esimerkiksi Description, Keywords ja Information URL jäivät itselleni aika epäselviksi. Päädyin laittamaan meidän IdP:n description -kenttään saman kuin displaynameen, kun en muutakaan keksinyt ja mietin Information URL:iin yliopiston etusivua.

    1. Unknown User (klaalo@csc.fi)

      UI-elementtien käyttöä hieman hankaloittaa se, että samoja elementtejä käytetään kuvaamaan sekä SP:itä, että IdP:itä. Description on SP:n kannalta olennainen elementti, mutta ehkä vielä tänä päivänä IdP:n kuvaukselle ei ole yhtä paljon käyttökohteita. Kun tämä tulee puheeksi, yritän organisaation verkkosivuilta löytää, mikä kyseisessä organisaatiossa on erityistä - sellaista, joka erottaa organisaation verrokeistaan. Yliopistojen perustehtävä lienee kaikilla sama, mutta kai jokaisella on sijainnin lisäksi jokin oma erityinen ja maininnan arvoinen piirre. Avainsanat helpottavat organisaation löytymistä DS-palvelussa ja myöskin erottumaan listalla muista. Yliopiston etusivu on varmaankin juuri oikea Information URL:ksi.

  2. Unknown User (klaalo@csc.fi)

    Huomasinpa vielä, että Viitteet -listalta puuttuu linkkejä. Nuo ovat toki normatiiviset lähteet, mutta kannattaa katsoa myös Kalmar Unionin määritykset: http://www.kalmar2.org/kalmar2web/metadata_ui_and_rpi.html ja Refedsin Wikiin tehty yhteenveto: https://refeds.terena.org/index.php/MDUI_-_Federation_recommendations . Aina välillä taitaa kansainvälisillä areenoilla herätä keskustelua elementtien sisällön tarkemmasta määrittelystä, mutta ilmeisesti vielä keskustelu ei ole päätynyt konsensukseen.