eduGAIN-interfederaatio mahdollistaa luotettavan metadatan vaihdon jäsenfederaatioidensa välillä. Identity tai Service Provider tulee ensin rekisteröidä johonkin jäsenfederaatioon (kuten Hakaan), josta se voidaan ylläpitäjän pyynnöstä välittää myös eduGAIN:iin.
Alkujaan eduGAIN on eurooppalainen palvelu, mutta avoinna kaikille akateemisille federaatioille maailmassa. Tämän hetken jäsentilanteen voi tarkistaa sivulta http://www.edugain.org/federation_status.php.
eduGAIN:in lähtökohtana on ollut mahdollisimman matala osallistumiskynnys jäsenfederaatioille. Erityisesti jäseneksi liittyvien federaatioiden ei tarvitse tehdä muutoksia omiin käytänteisiinsä. Tästä seuraa, että eri federaatioista eduGAIN:iin rekisteröidyt palvelimet ovat sitoutuneet kukin oman federaationsa käytänteisiin, jotka eivät ole yhteismitallisia. Tämä voi tarkoittaa suomalaiselle SP:lle esimerkiksi sitä, että
- eduGAIN:iin kuuluvasta IdP:stä kirjautuva käyttäjä ei liitoksissa korkeakouluun, vaan kyse on peruskoulun oppilaasta, tai
- käyttäjän ensitunnistus on tehty kevyemmin kuin Haka-luottamusverkostossa.
Suomalaisen IdP:n on puolestaan oltava tarkkana siitä, mitä attribuutteja SP:lle lähetetään. Vastapuoli ei välttämättä sijaitse EU/ETA-alueella tai muussa maassa, jossa henkilötiedoille taataan riittävä tietosuojan taso. Hakan operaattori tarjoaa jokaiselle IdP:lle oman filtterin (Shibboleth), joka räätälöidään IdP:lle asetettujen eduGAIN-sääntöjen mukaan.
Kannattaa tutustua eduGAIN-käytänteisiin, joihin jäsenfederaatiot ovat sitoutuneet liittyessään eduGAIN:iin.
Hakan SAML-profiilin mukaiset IdP ja SP -palvelimet täyttävät pääosin eduGAIN:in tekniset vaatimukset. Lähinnä eroavaisuuksia on Hakan ja eduGAIN:in edellyttämän SAML 2.0 -metadatan sisällössä.
eduGAIN-rekisteröinnin vaiheet
Sekä Identity että Service Provider -palvelinten eduGAIN-rekisteröintiin ja -käyttöön liittyy kolme vaihetta:
- Providerin ylläpitäjä pyytää Haka-luottamusverkostoa operoivalta CSC:ltä, että Provider välitetään eduGAIN:iin. Tämän jälkeen CSC lisää Providerin eduGAIN-metadataan.
- Service Providerin ylläpitäjä päättää, haluaako hän sitoutua GÉANT-tietosuojakäytäntöön. Identity Providerin ylläpitäjä päättää, haluaako hän luovuttaa attribuutteja GÉANT-tietosuojakäytäntöön sitoutuneille Service Providereille.
- Providerin ylläpitäjä valitsee, mihin eduGAIN:iin rekisteröityihin vastapuoliin hän haluaa luottaa. Service Provider -ylläpitäjä valitsee, minkä Identity Provider -palvelinten suorittamaan käyttäjätunnistukseen hän luottaa. Identity Provider -palvelinten ylläpitäjä valitsee, mihin Service Provider -palvelimiin hän haluaa luovuttaa attribuutteja.