• Created by Unknown User (timmusto@csc.fi), last modified on Mar 07, 2014

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Next »

Seuraavassa on esitetty Haka-resurssirekisterissä suoritettavat toimenpiteet, joilla Hakaan rekisteröidyn SP:n ylläpitäjä pyytää SP:nsä välittämistä eduGAIN:iin.

  1. Merkitse SP Basic Information -välilehdellä federaatiot, joihin haluat metadatasi julkaistavan (tässä: eduGAIN).
  2. Välilehdellä 'Contact Information' oleva yhteyshenkilön sähköpostiosoitteen tulisi olla rooliin perustuva (esim. techadmin@..) eikä henkilökohtainen.
  3. Metadata UI elementit tulisi olla täytetty mahdollisimman täydellisesti. Tämä tapahtuu täyttämällä tiedot 'Ui Extensions' - välilehdellä. Erityisen tärkeät elementit ovat:
    1. Displayname englanniksi ja itse palvelun kielellä.
    2. Description englanniksi ja itse palvelun kielellä.
  4. eduGAIN Rules -välilehdellä määrittelet, haluatko sitoutua GÉANT-tietosuojakäytäntöön ja mihin eduGAIN:ssä mukana oleviin IdP-palvelimiin luotat (alla).

GÉANT-tietosuojakäytäntö

eduGAIN:ssa loppukäyttäjän tietosuoja ei ole sisäänrakennettua, kuten Hakassa. Sen sijaan IdP ja SP-ylläpitäjät voivat sopia vaikkapa kahdenvälisesti, kuinka henkilötietolain noudattaminen varmistetaan, kun IdP luovuttaa käyttäjän attribuutteja SP:lle. Koska kahdenväliset sopimukset skaalautuvat osapuolten määrän kasvaessa huonosti, on laadittu yhteisiä toimintakäytäntöjä, joihin SP:t voivat ilmoittaa sitoutuvansa. IdP:stä vastaava kotiorganisaatio voi sitten käyttää SP:n sitoutumista toimintakäytäntöön perusteena attribuuttien luovuttamiselle.

GÉANT-tietosuojakäytäntö on Tietosuojadirektiivistä johdettu toimintakäytäntö SP:lle, joka sijaitsee EU/ETA-alueella tai Euroopan komission turvalliseksi katsomassa maassa. GÉANT-projektin julkaisema keittokirja auttaa SP-ylläpitäjää GÉANT-tietosuojakäytäntöön sitoutumiseen liittyvissä konkreettisissa askeleissa.

Haka-luottamusverkostossa SP-ylläpitäjä ilmaisee organisaationsa sitoutumisen GÉANT-tietosuojakäytäntöön rastittamalla seuraavan ruudun Haka-resurssirekisterin eduGAIN Rules-välilehdeltä. Resurssirekisteriin täytettyjen tietojen perusteella resurssirekisteri lisää tarvittavat elementit SP:stä eduGAIN:iin välitettävään SAML-metatietoon:

SP:n luottamat Identity Provider -palvelimet

Haka-resurssirekisterin eduGAIN Rules -välilehdeltä SP-ylläpitäjä voi poimia ne Identity Provider -palvelimet, joiden suorittamaan käyttäjätunnistukseen ja luovuttamiin attribuutteihin SP luottaa. Resurssirekisteri tuottaa SP:n käyttöön mainitut Identity Provider -palvelimet sisältävän SAML 2.0 -metadatatiedoston.

Seuraava kuva selventää yleistä periaatetta. Esimerkkikonfiguraatiota ei tule käyttää tuotantokonfiguraation pohjalla, sen ainoa tarkoitus on valaista sääntöjen käyttöä.


Esimerkin konfiguraation säännöt tulkitaan seuraavasti: "Luota (#0) kaikkiin eduGAIN IdP entityihin, paitsi niihin, jotka on rekisteröinyt (#1) Sveitsin tai (#2) Ruotsin luottamusverkosto. Ruotsalaisten IdP:den joukossa tee kuitenkin (#3) poikkeus IdP:n https://hbidp.hb.se/idp/shibboleth kohdalla ja luota siihen".

Luottamus tiettyyn Entityyn evaluoidaan seuraavasti:

  1. Tutki Entity-tason säännöt (#3). Jos evaluoitavalle Entitylle löytyy sääntö, noudata sitä. Muuten siirry seuraavaan kohtaan.
  2. Tutki federaatiotason säännöt (#1 ja #2). Jos evaluoitavan Entityn kotifederaatiolle löytyy sääntö, noudata sitä. Muuten siirry seuraavaan kohtaan.
  3. Noudata eduGAIN-tason sääntöä (#0).

Voit tarkastella sääntöjesi vaikutusta per eduGAIN IdP "View eduGAIN IdPs" toiminnolla. Esimerkissä on valittu ruotsalainen entity https://hbidp.hb.se/idp/shibboleth, jolle esimerkissä löytyy siis entity-tason sääntö (#3), jonka perusteella siihen luotetaan.

Perustelu näinkin monimutkaiselle tavalle filtteröidä entityjä sekä itse entityn että entityn kotifederaation (Authority) perusteella on eduGAINin käytänteiden monimuotoisuus. Jos olet tyytyväinen esimerkiksi Ruotsin federaation käytänteisiin ja luotat siihen kuin 'Hakaan', voit määritellä Federation-tason säännöllä luottavasi automaattisesti kaikkiin Ruotsin federaation eduGAINiin julkaisemiin IdP:hin. Toisaalta automaattinen luottamussuhteen muodostaminen esimerkiksi brasilialaisiin IdP-palvelimiin ei välttämättä ole kaikille itsestään selvää.

Entity-filtteröinti on tärkeää myös, jotta voit sulkea pois entityjä, jotka saat duplikaattina esimerkiksi Hakasta tai Kalmarin unionista. Näiden pois sulkeminen ei ole täysin välttämätöntä, jos käytät esimerkiksi Shibboleth SP:tä. Shibbolethin oletustoiminta on käyttää kustakin entitystä (entityID:stä) sitä instanssia, joka sijaitsee metadatalähteissä ensimmäisenä. Tästä syystä määrittele vähintääkin Hakan eduGAINiin ilmoittamat jäsenet epäluotetuiksi Authority tason säännöllä.

Tekemäsi (ja operaattorin hyväksymät) muutokset heijastuvat SP-kohtaiseen eduGAIN-metadataasi noin tunnin viiveellä. SP kohtainen metadatasi haetaan SP:n Resurssirekisterin id:n perusteella osoitteesta http://haka.funet.fi/edugain-nightly/gen-edugain/sp-[id]-metadata-eduGain.xml.

 

  • No labels