• Created by Unknown User (klaalo@csc.fi), last modified by Unknown User (timmusto@csc.fi) on Mar 07, 2014

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 32 Next »

eduGAIN-interfederaatio mahdollistaa luotettavan metadatan vaihdon jäsenfederaatioidensa välillä. Identity tai Service Provider tulee ensin rekisteröidä johonkin jäsenfederaatioon (kuten Hakaan), josta se voidaan ylläpitäjän pyynnöstä välittää myös eduGAIN:iin.

Alkujaan eduGAIN on eurooppalainen palvelu, mutta avoinna kaikille akateemisille federaatioille maailmassa. Tämän hetken jäsentilanteen voi tarkistaa sivulta http://www.edugain.org/federation_status.php.

eduGAIN:in lähtökohtana on ollut mahdollisimman matala osallistumiskynnys jäsenfederaatioille. Erityisesti jäseneksi liittyvien federaatioiden ei tarvitse tehdä muutoksia omiin käytänteisiinsä. Tästä seuraa, että eri federaatioista eduGAIN:iin rekisteröidyt palvelimet ovat sitoutuneet kukin oman federaationsa käytänteisiin, jotka eivät ole yhteismitallisia. Tämä voi tarkoittaa suomalaiselle SP:lle esimerkiksi sitä, että

  • eduGAIN:iin kuuluvasta IdP:stä kirjautuva käyttäjä ei liitoksissa korkeakouluun, vaan kyse on peruskoulun oppilaasta, tai
  • käyttäjän ensitunnistus on tehty kevyemmin kuin Haka-luottamusverkostossa.

Suomalaisen IdP:n on puolestaan oltava tarkkana siitä, mitä attribuutteja SP:lle lähetetään. Vastapuoli ei välttämättä sijaitse EU/ETA-alueella tai muussa maassa, jossa henkilötiedoille taataan riittävä tietosuojan taso. Hakan operaattori tarjoaa jokaiselle IdP:lle oman filtterin (Shibboleth), joka räätälöidään IdP:lle asetettujen eduGAIN-sääntöjen mukaan.

Kannattaa tutustua  eduGAIN-käytänteisiin, joihin jäsenfederaatiot ovat sitoutuneet liittyessään eduGAIN:iin.

Hakan SAML-profiilin mukaiset IdP ja SP -palvelimet täyttävät pääosin eduGAIN:in tekniset vaatimukset. Lähinnä eroavaisuuksia on Hakan ja eduGAIN:in edellyttämän SAML 2.0 -metadatan sisällössä.

eduGAIN-rekisteröinnin vaiheet

Sekä Identity että Service Provider -palvelinten eduGAIN-rekisteröintiin ja -käyttöön liittyy kolme vaihetta:

  1. Providerin ylläpitäjä pyytää Haka-luottamusverkostoa operoivalta CSC:ltä, että Provider välitetään eduGAIN:iin. Tämän jälkeen CSC lisää Providerin eduGAIN-metadataan.
  2. Service Providerin ylläpitäjä päättää, haluaako hän sitoutua GÉANT-tietosuojakäytäntöön. Identity Providerin ylläpitäjä päättää, haluaako hän luovuttaa attribuutteja GÉANT-tietosuojakäytäntöön sitoutuneille Service Providereille.
  3. Providerin ylläpitäjä valitsee, mihin eduGAIN:iin rekisteröityihin vastapuoliin hän haluaa luottaa. Service Provider -ylläpitäjä valitsee, minkä Identity Provider -palvelinten suorittamaan käyttäjätunnistukseen hän luottaa. Identity Provider -palvelinten ylläpitäjä valitsee, mihin Service Provider -palvelimiin hän haluaa luovuttaa attribuutteja.

 

 

  • No labels