• Created by Unknown User (klaalo@csc.fi), last modified by Unknown User (mlinden@csc.fi) on Mar 10, 2014

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 33 Next »

eduGAIN-interfederaatio mahdollistaa luotettavan metadatan vaihdon jäsenfederaatioidensa välillä. Identity tai Service Provider tulee ensin rekisteröidä johonkin jäsenfederaatioon (kuten Hakaan), josta se voidaan ylläpitäjän pyynnöstä välittää myös eduGAIN:iin.

Alkujaan eduGAIN on eurooppalainen palvelu, mutta avoinna kaikille akateemisille federaatioille maailmassa. Tämän hetken jäsentilanteen voi tarkistaa sivulta http://www.edugain.org/federation_status.php.

eduGAIN:n toimintakäytännöistä

eduGAIN:iin rekisteröidyt palvelimet ovat sitoutuneet kukin oman federaationsa käytänteisiin, jotka eivät ole yhteismitallisia. Lisätietoa asiasta on eduGAIN-toimintakäytänteissä, jotka sitovat eduGAIN:iin liittyneitä federaatioita.

Luottosuhteen automaattisuus

  • Hakassa lähtökohta on, että Haka IdP:t luottavat (luovuttavat attribuutteja) kaikkiin Haka SP:iin ja päinvastoin
  • eduGAIN:ssä ei voi automaattisesti olettaa, että kaikki eduGAIN:iin rekisteröidyt IdP:t ja SP:t luottavat toisiinsa

Hakaan rekisteröidyn SP:n ylläpitäjän tulee lisäksi huomioida mm. seuraavaa

  • Kattavuus. eduGAIN:in kautta saattaa kirjautua myös käyttäjiä, jotka eivät ole liitoksissa korkeakouluun (esim. alemmat koulutusoasteet)
  • Tunnistuksen tukevuus. eduGAIN:in kautta kirjautuvien käyttäjien tunnistuksen luotettavuus saattaa olla Hakaa heikompi. Myös jaetut tilit ovat mahdollisia, samoin erilaiset testitunnukset
  • Attribuutit. Käyttäjien attribuuttien saatavuus, semantiikka ja luotettavuus saattaa olla erilainen eduGAIN:n kautta kirjautuville käyttäjille

Tietosuoja-asiat. Hakaan rekisteröidyn IdP:n ylläpitäjän tulee huomioida

  • eduGAIN:iin rekisteröitynyt SP ei välttämättä ole sitoitunut yhtä kattaviin tietosuojaa koskeviin pelisääntöihin kuin Hakaan rekisteröidyt (katso GÉANT-tietosuojakäytäntö)
  • eduGAIN:iin rekisteröidyt SP:t eivät välttämättä ole EU/ETA-alueella, mikä tulee huomioida henkilötietoja luovutettaessa

Hakan SAML-profiilin mukaiset IdP ja SP -palvelimet täyttävät pääosin eduGAIN:in tekniset vaatimukset. Lähinnä eroavaisuuksia on Hakan ja eduGAIN:in edellyttämän SAML 2.0 -metadatan sisällössä.

eduGAIN-rekisteröinnin vaiheet

Sekä Identity että Service Provider -palvelinten eduGAIN-rekisteröintiin ja -käyttöön liittyy kolme vaihetta:

1. Metadata export. Providerin ylläpitäjä pyytää Haka-luottamusverkostoa operoivalta CSC:ltä, että Provider välitetään eduGAIN:iin. Tämän jälkeen CSC lisää Providerin eduGAIN-metadataan.

2. Tietosuojakäytäntö.
  • Service Providerin ylläpitäjä päättää, haluaako hän sitoutua GÉANT-tietosuojakäytäntöön.
  • Identity Providerin ylläpitäjä päättää, haluaako hän luovuttaa attribuutteja GÉANT-tietosuojakäytäntöön sitoutuneille Service Providereille.

3. Metadata import. Providerin ylläpitäjä valitsee, mihin eduGAIN:iin rekisteröityihin vastapuoliin hän haluaa luottaa.

  • Service Provider -ylläpitäjä valitsee, minkä Identity Provider -palvelinten suorittamaan käyttäjätunnistukseen hän luottaa.
  • Identity Provider -palvelinten ylläpitäjä valitsee, mihin Service Provider -palvelimiin hän haluaa luovuttaa attribuutteja.

 

 

  • No labels