You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

eduGAIN mahdollistaa luotettavan metadatan vaihdon jäsenfederaatioidensa välillä. Identity tai Service Provider tulee ensin rekisteröidä johonkin jäsenfederaatioon (kuten Hakaan), josta se voidaan ylläpitäjän pyynnöstä saattaa näkyviin myös eduGAIN:iin.

Alkujaan eduGAIN on eurooppalainen palvelu, mutta avoinna kaikille akateemisille federaatioille maailmassa. Tämän hetken jäsentilanteen voi tarkistaa sivulta http://www.edugain.org/federation_status.php.

eduGAIN:in lähtökohtana on ollut mahdollisimman matala osallistumiskynnys jäsenfederaatioille. Erityisesti jäseneksi liittyvien federaatioiden tarvitsisi tehdä muutoksia omiin käytänteisiinsä. Tästä seuraa, että eri federaatioista eduGAIN:iin rekisteröidyt entityt ovat sitoutuneet kukin oman federaationsa käytänteisiin, jotka eivät ole yhteismitallisia. Tämä voi tarkoittaa suomalaiselle SP:lle esimerkiksi sitä, että

  • eduGAIN:iin kuuluvasta IdP:stä kirjautuva käyttäjä ei olekaan mitenkään liitoksissa korkeakouluun vaan kyse on peruskoulun oppilaasta, tai
  • käyttäjän ensitunnistus on tehty kevyemmin kuin Haka-luottamusverkostossa.

Suomalaisen IdP:n on puolestaan oltava tarkkana siitä, mitä attribuutteja SP:lle lähetetään. Vastapuoli ei välttämättä sijaitse EU/ETA-alueella tai muussa maassa, jossa henkilötiedoille taataan riittävä tietosuojan taso.

Kannattaa tutustua  eduGAIN-käytänteisiin, joihin jäsenfederaatiot ovat sitoutuneet liittyessään eduGAIN:iin.

Hakan SAML-profiilin mukaiset IdP ja SP -palvelimet täyttävät pääosin eduGAIN:in tekniset vaatimukset. Lähinnä eroavaisuuksia on Hakan ja eduGAIN:in edellyttämän SAML 2.0 -metadatan sisällössä.

eduGAIN-rekisteröinnin vaiheet

Sekä Identity että Service Provider -palvelinten eduGAIN-rekisteröintiin ja -käyttöön liittyy kaksi vaihetta:

  1. Providerin ylläpitäjä pyytää Haka-luottamusverkostoa operoivalta CSC:ltä, että Provider saatetaan näkyviin myös eduGAIN:iin. Tämän jälkeen CSC lisää Providerin eduGAIN-metadataan.
  2. Providerin ylläpitäjä valitsee, mihin eduGAIN:iin rekisteröityihin vastapuoliin hän haluaa luottaa. Service Provider -ylläpitäjä valitsee, minkä Identity Provider -palvelinten suorittamaan käyttäjätunnistukseen hän luottaa. Identity Provider -palvelinten ylläpitäjä valitsee, mihin Service Provider -palvelimiin hän haluaa luovuttaa attribuutteja.

SP:n rekisteröiminen eduGAINiin

Seuraavassa on esitetty Haka-resurssirekisterissä suoritettavat toimenpiteet, joilla Hakaan rekisteröidyn SP:n ylläpitäjä saa SP:nsä näkymään eduGAIN:iin.

  1. Merkitse SP Basic Information -välilehdellä federaatiot, joihin haluat metadatasi julkaistavan (tässä: eduGAIN).
  2. Välilehdellä 'Contact Information' oleva yhteyshenkilön sähköpostiosoitteen tulisi olla rooliin perustuva (esim. techadmin@..) eikä henkilökohtainen.
  3. Metadata UI elementit tulisi olla täytetty mahdollisimman täydellisesti. Tämä tapahtuu täyttämällä tiedot 'Ui Extensions' - välilehdellä. Erityisen tärkeät elementit ovat:
    1. Displayname englanniksi ja itse palvelun kielellä.
    2. Description englanniksi ja itse palvelun kielellä.
  4. eduGAIN Rules -välilehdellä määrittelet, mihin eduGAIN:ssä mukana oleviin IdP-palvelimiin luotat.

SP Trust Rules

Voit poimia Haka-resurssirekisteristä ne Identity Provider -palvelimet, joiden suorittamaan käyttäjätunnistukseen ja luovuttamiin attribuutteihin haluat luottaa. Resurssirekisteri tuottaa käyttöösi mainitut Identity Provider -palvelimet sisältävän SAML 2.0 -metadatatiedoston seuraavasti.

Seuraava kuva selventää yleistä periaatetta. Esimerkkikonfiguraatiota ei tule käyttää tuotantokonfiguraation pohjalla, sen ainoa tarkoitus on valaista sääntöjen käyttöä.
Esimerkin konfiguraatio tulkitaan seuraavasti: "Luota (#0) kaikkiin eduGAIN IdP entityihin, paitsi niihin, jotka on rekisteröinyt (#1) Sveitsin tai (#2) Ruotsin luottamusverkosto. Ruotsalaisten IdP:den joukossa tee kuitenkin (#3) poikkeus IdP:n https://hbidp.hb.se/idp/shibboleth kohdalla ja luota siihen".

Luottamus tiettyyn Entityyn evaluoidaan seuraavasti:

  1. Tutki Entity-tason säännöt (#3). Jos evaluoitavalle Entitylle löytyy sääntö, noudata sitä. Muuten siirry seuraavaan kohtaan.
  2. Tutki federaatiotason säännöt (#1 ja #2). Jos evaluoitavan Entityn kotifederaatiolle löytyy sääntö, noudata sitä. Muuten siirry seuraavaan kohtaan.
  3. Noudata eduGAIN-tason sääntöä (#0).

Voit tarkastella sääntöjesi vaikutusta per eduGAIN IdP "View eduGAIN IdPs" toiminnolla. Esimerkissä on valittu ruotsalainen entity https://hbidp.hb.se/idp/shibboleth, jolle esimerkissä löytyy siis entity-tason sääntö (#3), jonka perusteella siihen luotetaan.

Perustelu näinkin monimutkaiselle tavalle filtteröidä entityjä sekä itse entityn että entityn kotifederaation (Authority) perusteella on eduGAINin käytänteiden monimuotoisuus. Jos olet tyytyväinen esimerkiksi Ruotsin federaation käytänteisiin ja luotat siihen kuin 'Hakaan', voit määritellä Federation-tason säännöllä luottavasi automaattisesti kaikkiin Ruotsin federaation eduGAINiin julkaisemiin IdP:hin. Toisaalta automaattinen luottamussuhteen muodostaminen esimerkiksi Brasilialaisiin IdP-palvelimiin ei välttämättä ole kaikille ensimmäinen vaihtoehto.

Entity-filtteröinti on tärkeää myös, jotta voit sulkea pois entityjä, jotka saat duplikaattina esimerkiksi Hakasta tai Kalmarin unionista. Näiden pois sulkeminen ei ole täysin välttämätöntä, jos käytät esimerkiksi Shibboleth SP:tä. Shibbolethin oletustoiminta on käyttää kustakin entitystä (entityID:stä) sitä instanssia, joka sijaitsee metadatalähteissä ensimmäisenä. Tästä syystä määrittele vähintääkin Hakan eduGAINiin ilmoittamat jäsenet epäluotetuiksi Authority tason säännöllä.

Tekemäsi (ja operaattorin hyväksymät) muutokset heijastuvat SP-kohtaiseen eduGAIN-metadataasi noin tunnin viiveellä. SP kohtainen metadatasi haetaan SP:n RR id:n perusteella osoitteesta http://haka.funet.fi/edugain-nightly/gen-edugain/sp-[id]-metadata-eduGain.xml.

IdP:n rekisteröiminen eduGAINiin

Seuraavassa on esitetty Haka-resurssirekisterissä suoritettavat toimenpiteet, joilla Hakaan rekisteröidyn IdP:n ylläpitäjä saa IdP:nsä näkymään eduGAIN:iin.

  1. Merkitse IdP Basic Information -välilehdellä federaatiot, joihin haluat metadatasi julkaistavan (tässä: eduGAINiin).
  2. Välilehdellä 'Contact Information' oleva yhteyshenkilön sähköpostioitteen tulisi olla rooliin perustuva (esim. techadmin@..) eikä henkilökohtainen.
  3. Metadata UI elementit tulisi olla täytetty mahdollisimman täydellisesti. Tämä tapahtuu täyttämällä tiedot 'Ui Extensions' -välilehdellä. Erityisen tärkeät elementit ovat:
    1. Displayname englanniksi ja itse palvelun kielellä.
    2. Description englanniksi ja itse palvelun kielellä.
  4. eduGAIN Rules -välilehti:
    1. Määrittele, mitkä SP:t hyväksyt eduGAIN SP:den joukosta metadataasi. Katso vastaava kohta SP:n kohdalta (SP Trust Rules).
    2. Määrittele attribute release policy alla kuvatulla tavalla

IdP Attribute Rules

Sen lisäksi että voit määritellä Entity, kotifederaatio tai eduGAIN-tason säännöt niistä SP:stä, joihin IdP-palvelin luottaa, tarvitset myös keinon kontrolloida kuhunkin SP:hen luovutettavia attribuutteja.

Hakan kansallisen tason toimintakäytänteenä on, rekisteröinnin yhteydessä kukin SP listaa ne attribuutit, jotka se pyytää IdP-palvelimilta henkilötietolain puittaissa. Tämän perusteella CSC muodostaa ja jakaa IdP-palvelimille yhteisen attribute filter policy (afp) -tiedoston, jonka perusteella Shibboleth IdP päättelee, mitä attribuutteja lähetetään kullekin SP:lle.

eduGAIN-palvelussa päätös siitä, mitä attribuutteja lähetetään kullekin SP:lle, jää IdP-ylläpitäjän harkintaan.  'eduGAIN Rules' -välilehdellä on toiminto, jolla voi rakentaa sääntöjä attribuuttikohtaisesti. Alla oleva esimerkkikonfiguraatio selventää sääntöjen toimintaa eikä ole sellaisenaan malli tuotantokonfiguraatiolle.

Esimerkki konfiguraatio ilmaisee että "Lähetä attribuutti 'cn' kaikille sitä pyytäville (#0)eduGAIN palveluille paitsi, jos palvelun kotifederaatio on (#1) Norjan Feide. Norjan federaation palveluiden joukossa (#2) tee kuitenkin poikkeus foodl.org-palvelun osalta ja lähetä sille cn pyydettäessä".

Samoin kuin luottamusta evaluoitaessa, myös attribuuttien kohdalla säännöt evaluoidaan entity-tasolta ylöspäin. Sääntö #2 on voimakkain, koska se koskee yhtä nimenomaista entityä. Toisena tulee Federation-tason sääntö #1 ja viimeisenä eduGain sääntö #0.

Myös IdP voi tarkastella omien sääntöjensä vaikutusta per eduGAIN SP.

Ensimmäinen taulukko kertoo, että foodl.org SP on sääntöjen perusteella luotettu, se on siis sisällytetty IdP:n eduGAIN-metadatoihin. Toisesta taulukosta näet attribuuttisääntöjesi vaikutuksen luovutettaviin attribuutteihin. Haka-resurssirekisteri generoi kerran tunnissa IdP:llesi eduGAIN-metadatasta näiden sääntöjen perusteella metadatan, joka sisältää valitsemasi SP:t sekä niille afp:n. Jos tiettyä attribuuttia ei sääntöjesi mukaan saa luovuttaa kohteelle, kyseinen attributti laitetaan kommentteihin sekä metadatasta että afp:stä.

Tekemäsi (ja operaattorin hyväksymät) muutokset siis heijastuvat IdP kohtaiseen eduGAIN metadataasi noin tunnin viiveellä. IdP:täsi varten räätälöity metadatatiedosto haetaan IdP:n RR id:n perusteella osoitteesta http://haka.funet.fi/edugain-nightly/gen-edugain/idp-[id]-metadata-eduGain.xml ja afp osoitteesta http://haka.funet.fi/edugain-nightly/gen-edugain/idp-[id]-afp-eduGain.xml.

eduGAIN-federaatioista ja Homeless-entityistä

Päätös luottaa eduGAIN:issa olevaan Identity tai Service Provider -palvelimeen riippuu ainakin sen kotifederaatiosta, ja kotifederaation toimintakäytänteistä . 'eduGAIN Rules' - välilehden alasvetovalikoissa kotifederaatio ilmaistaan sen Authority-arvon perusteella, mikä taas on osa eduGAIN-metadataa. Vaikka tämä arvo on pakollinen, niin valitettavasti ainakin tällä hetkellä kaikki entityt eivät kerro eduGAIN-metadatassaan kotifederaatiotaan. Haka-resurssirekisteri on niputtanut kyseiset kodittomat 'Homeless'-kotifederaation alle.

SP:n / IdP:n eduGAIN downstream metadata - Eli se minkä otat käyttöösi.

Taulukossa käytetyn id arvon saat SP/IdP:llesi kirjautumalla RRään.

Selitys 
SP:n metadatahttps://haka.funet.fi/edugain-nightly/gen-edugain/sp-[id]-metadata-eduGain.xml
IdP:n metadatahttps://haka.funet.fi/edugain-nightly/gen-edugain/idp-[id]-metadata-eduGain.xml
IdP:n afphttps://haka.funet.fi/edugain-nightly/gen-edugain/idp-[id]-afp-eduGain.xml
eduGain metadatan allekirjoitusvarmenne 
  • No labels