• Created by Unknown User (klaalo@csc.fi), last modified by Unknown User (mlinden@csc.fi) on Mar 05, 2014

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 29 Next »

eduGAIN-interfederaatio mahdollistaa luotettavan metadatan vaihdon jäsenfederaatioidensa välillä. Identity tai Service Provider tulee ensin rekisteröidä johonkin jäsenfederaatioon (kuten Hakaan), josta se voidaan ylläpitäjän pyynnöstä välittää myös eduGAIN:iin.

Alkujaan eduGAIN on eurooppalainen palvelu, mutta avoinna kaikille akateemisille federaatioille maailmassa. Tämän hetken jäsentilanteen voi tarkistaa sivulta http://www.edugain.org/federation_status.php.

eduGAIN:in lähtökohtana on ollut mahdollisimman matala osallistumiskynnys jäsenfederaatioille. Erityisesti jäseneksi liittyvien federaatioiden ei tarvitse tehdä muutoksia omiin käytänteisiinsä. Tästä seuraa, että eri federaatioista eduGAIN:iin rekisteröidyt palvelimet ovat sitoutuneet kukin oman federaationsa käytänteisiin, jotka eivät ole yhteismitallisia. Tämä voi tarkoittaa suomalaiselle SP:lle esimerkiksi sitä, että

  • eduGAIN:iin kuuluvasta IdP:stä kirjautuva käyttäjä ei liitoksissa korkeakouluun, vaan kyse on peruskoulun oppilaasta, tai
  • käyttäjän ensitunnistus on tehty kevyemmin kuin Haka-luottamusverkostossa.

Suomalaisen IdP:n on puolestaan oltava tarkkana siitä, mitä attribuutteja SP:lle lähetetään. Vastapuoli ei välttämättä sijaitse EU/ETA-alueella tai muussa maassa, jossa henkilötiedoille taataan riittävä tietosuojan taso. Hakan operaattori tarjoaa jokaiselle IdP:lle oman filtterin (Shibboleth), joka räätälöidään IdP:lle asetettujen eduGAIN-sääntöjen mukaan.

Kannattaa tutustua  eduGAIN-käytänteisiin, joihin jäsenfederaatiot ovat sitoutuneet liittyessään eduGAIN:iin.

Hakan SAML-profiilin mukaiset IdP ja SP -palvelimet täyttävät pääosin eduGAIN:in tekniset vaatimukset. Lähinnä eroavaisuuksia on Hakan ja eduGAIN:in edellyttämän SAML 2.0 -metadatan sisällössä.

eduGAIN-rekisteröinnin vaiheet

Sekä Identity että Service Provider -palvelinten eduGAIN-rekisteröintiin ja -käyttöön liittyy kolme vaihetta:

  1. Providerin ylläpitäjä pyytää Haka-luottamusverkostoa operoivalta CSC:ltä, että Provider välitetään eduGAIN:iin. Tämän jälkeen CSC lisää Providerin eduGAIN-metadataan.
  2. Service Providerin ylläpitäjä päättää, haluaako hän sitoutua GÉANT-tietosuojakäytäntöön. Identity Providerin ylläpitäjä päättää, haluaako hän luovuttaa attribuutteja GÉANT-tietosuojakäytäntöön sitoutuneille Service Providereille.
  3. Providerin ylläpitäjä valitsee, mihin eduGAIN:iin rekisteröityihin vastapuoliin hän haluaa luottaa. Service Provider -ylläpitäjä valitsee, minkä Identity Provider -palvelinten suorittamaan käyttäjätunnistukseen hän luottaa. Identity Provider -palvelinten ylläpitäjä valitsee, mihin Service Provider -palvelimiin hän haluaa luovuttaa attribuutteja.

SP:n rekisteröiminen eduGAIN:iin

Seuraavassa on esitetty Haka-resurssirekisterissä suoritettavat toimenpiteet, joilla Hakaan rekisteröidyn SP:n ylläpitäjä pyytää SP:nsä välittämistä eduGAIN:iin.

  1. Merkitse SP Basic Information -välilehdellä federaatiot, joihin haluat metadatasi julkaistavan (tässä: eduGAIN).
  2. Välilehdellä 'Contact Information' oleva yhteyshenkilön sähköpostiosoitteen tulisi olla rooliin perustuva (esim. techadmin@..) eikä henkilökohtainen.
  3. Metadata UI elementit tulisi olla täytetty mahdollisimman täydellisesti. Tämä tapahtuu täyttämällä tiedot 'Ui Extensions' - välilehdellä. Erityisen tärkeät elementit ovat:
    1. Displayname englanniksi ja itse palvelun kielellä.
    2. Description englanniksi ja itse palvelun kielellä.
  4. eduGAIN Rules -välilehdellä määrittelet, haluatko sitoutua GÉANT-tietosuojakäytäntöön ja mihin eduGAIN:ssä mukana oleviin IdP-palvelimiin luotat.

GÉANT-tietosuojakäytäntö

eduGAIN:ssa loppukäyttäjän tietosuoja ei ole sisäänrakennettua, kuten Hakassa. Sen sijaan IdP ja SP-ylläpitäjät voivat sopia vaikkapa kahdenvälisesti, kuinka henkilötietolain noudattaminen varmistetaan, kun IdP luovuttaa käyttäjän attribuutteja SP:lle. Koska kahdenväliset sopimukset skaalautuvat osapuolten määrän kasvaessa huonosti, on laadittu yhteisiä toimintakäytäntöjä, joihin SP:t voivat ilmoittaa sitoutuvansa. IdP:stä vastaava kotiorganisaatio voi sitten käyttää SP:n sitoutumista toimintakäytäntöön perusteena attribuuttien luovuttamiselle.

GÉANT-tietosuojakäytäntö on Tietosuojadirektiivistä johdettu toimintakäytäntö SP:lle, joka sijaitsee EU/ETA-alueella tai Euroopan komission turvalliseksi katsomassa maassa. GÉANT-projektin julkaisema keittokirja auttaa SP-ylläpitäjää GÉANT-tietosuojakäytäntöön sitoutumiseen liittyvissä konkreettisissa askeleissa

Haka-luottamusverkostossa SP-ylläpitäjä ilmaisee organisaationsa sitoutumisen GÉANT-tietosuojakäytäntöön rastittamalla seuraavan ruudun Haka-resurssirekisterin eduGAIN Rules-välilehdeltä. Resurssirekisteriin täytettyjen tietojen perusteella resurssirekisteri lisää tarvittavat elementit SP:stä eduGAIN:iin välitettävään SAML-metatietoon:

SP:n luottamat Identity Provider -palvelimet

Haka-resurssirekisterin eduGAIN Rules -välilehdeltä SP-ylläpitäjä voi poimia ne Identity Provider -palvelimet, joiden suorittamaan käyttäjätunnistukseen ja luovuttamiin attribuutteihin SP luottaa. Resurssirekisteri tuottaa SP:n käyttöön mainitut Identity Provider -palvelimet sisältävän SAML 2.0 -metadatatiedoston.

Seuraava kuva selventää yleistä periaatetta. Esimerkkikonfiguraatiota ei tule käyttää tuotantokonfiguraation pohjalla, sen ainoa tarkoitus on valaista sääntöjen käyttöä.


Esimerkin konfiguraation säännöt tulkitaan seuraavasti: "Luota (#0) kaikkiin eduGAIN IdP entityihin, paitsi niihin, jotka on rekisteröinyt (#1) Sveitsin tai (#2) Ruotsin luottamusverkosto. Ruotsalaisten IdP:den joukossa tee kuitenkin (#3) poikkeus IdP:n https://hbidp.hb.se/idp/shibboleth kohdalla ja luota siihen".

Luottamus tiettyyn Entityyn evaluoidaan seuraavasti:

  1. Tutki Entity-tason säännöt (#3). Jos evaluoitavalle Entitylle löytyy sääntö, noudata sitä. Muuten siirry seuraavaan kohtaan.
  2. Tutki federaatiotason säännöt (#1 ja #2). Jos evaluoitavan Entityn kotifederaatiolle löytyy sääntö, noudata sitä. Muuten siirry seuraavaan kohtaan.
  3. Noudata eduGAIN-tason sääntöä (#0).

Voit tarkastella sääntöjesi vaikutusta per eduGAIN IdP "View eduGAIN IdPs" toiminnolla. Esimerkissä on valittu ruotsalainen entity https://hbidp.hb.se/idp/shibboleth, jolle esimerkissä löytyy siis entity-tason sääntö (#3), jonka perusteella siihen luotetaan.

Perustelu näinkin monimutkaiselle tavalle filtteröidä entityjä sekä itse entityn että entityn kotifederaation (Authority) perusteella on eduGAINin käytänteiden monimuotoisuus. Jos olet tyytyväinen esimerkiksi Ruotsin federaation käytänteisiin ja luotat siihen kuin 'Hakaan', voit määritellä Federation-tason säännöllä luottavasi automaattisesti kaikkiin Ruotsin federaation eduGAINiin julkaisemiin IdP:hin. Toisaalta automaattinen luottamussuhteen muodostaminen esimerkiksi brasilialaisiin IdP-palvelimiin ei välttämättä ole kaikille itsestään selvää.

Entity-filtteröinti on tärkeää myös, jotta voit sulkea pois entityjä, jotka saat duplikaattina esimerkiksi Hakasta tai Kalmarin unionista. Näiden pois sulkeminen ei ole täysin välttämätöntä, jos käytät esimerkiksi Shibboleth SP:tä. Shibbolethin oletustoiminta on käyttää kustakin entitystä (entityID:stä) sitä instanssia, joka sijaitsee metadatalähteissä ensimmäisenä. Tästä syystä määrittele vähintääkin Hakan eduGAINiin ilmoittamat jäsenet epäluotetuiksi Authority tason säännöllä.

Tekemäsi (ja operaattorin hyväksymät) muutokset heijastuvat SP-kohtaiseen eduGAIN-metadataasi noin tunnin viiveellä. SP kohtainen metadatasi haetaan SP:n Resurssirekisterin id:n perusteella osoitteesta http://haka.funet.fi/edugain-nightly/gen-edugain/sp-[id]-metadata-eduGain.xml.

IdP:n rekisteröiminen eduGAIN:iin

Seuraavassa on esitetty Haka-resurssirekisterissä suoritettavat toimenpiteet, joilla Hakaan rekisteröidyn IdP:n ylläpitäjä saa IdP:nsä näkymään eduGAIN:iin.

  1. Merkitse IdP Basic Information -välilehdellä federaatiot, joihin haluat metadatasi julkaistavan (tässä: eduGAINiin).
  2. Välilehdellä 'Contact Information' oleva yhteyshenkilön sähköpostioitteen tulisi olla rooliin perustuva (esim. techadmin@..) eikä henkilökohtainen.
  3. Metadata UI elementit tulisi olla täytetty mahdollisimman täydellisesti. Tämä tapahtuu täyttämällä tiedot 'Ui Extensions' -välilehdellä. Erityisen tärkeät elementit ovat:
    1. Displayname englanniksi ja itse palvelun kielellä.
    2. Description englanniksi ja itse palvelun kielellä.
  4. eduGAIN Rules -välilehdellä määrittelet, mihin eduGAIN:ssä mukana oleviin SP-palvelimiin luotat, ja mitä attribuutteja halaut millekin SP:lle luovuttaa.

IdP Trust Rules

Voit määrittää Resurssirekisteristä ne Service Provider -palvelimet, joihin haluat luottosuhteen.

    1. Basic eduGAIN Rules: Määrittele käyttäytymissäännöt, joihin IdP-palvelimen haluat luottavan.
      1. IdP-palvelin luottaa näin kaikkiin niihin eduGAINssa oleviin SP-palvelimiin, jotka ovat sitoutuneet samoihin käyttäytymissääntöihin.
        1. Esim. jos haluat IdP-palvelimen luottavan kaikkiin SP-palvelimiin, jotka ovat ilmoittaneet noudattavansa tiettyä eduGAIN-käyttäytymissääntöä (Code of Conduct), ruksita kyseinen käyttäytymissääntö. Keittokirja osoitteessa: https://wiki.edugain.org/Data_Protection_Code_of_Conduct_Cookbook
      2. SP-kohtaiset säännöt (Advanced Rules) ovat Basic -sääntöjä vahvempia.
    2. Advanced EduGAIN Rules: Määrittele, mitkä SP-palvelimet hyväksyt kaikkien eduGAIN SP-palvelinten joukosta metadataasi. Katso vastaava kohta SP:n kohdalta (SP Trust Rules).
      1. Nämä säännöt ovat edellä olevia käyttäytymissääntöjä (Basic Rules) vahvempia.

IdP Trust Rules: Basic

Haka-resurssirekisterissä IdP-ylläpitäjä voi yksinkertaisesti konfiguroida IdP:n luottamaan (luovuttamaan attribuutteja) kaikille SP:lle, jotka ovat sitoutuneet GÉANT-tietosuojakäytäntöön (kuva alla). Tällöin resurssirekisteri tuottaa IdP-ylläpitäjälle SAML-metadata-tiedoston ja attribute filter policy -tiedoston, joka sisältää mainitut SP:t.

GÉANT-tietosuojakäytäntö on Tietosuojadirektiivistä johdettu toimintakäytäntö SP:lle, joka sijaitsee EU/ETA-alueella tai Euroopan komission turvalliseksi katsomassa maassa. GÉANT-projektin julkaisema keittokirja auttaa IdP-ylläpitäjää GÉANT-tietosuojakäytäntöön nojaamiseen liittyvissä askeleissa. Keittokirjassa mainittu maksimaalinen attribuuttilista asetetaan tuonnempana esitettävästä Haka-resurssirekisterin "IdP Attribute Rules" -kohdasta.

IdP Trust Rules: Advanced

Basic-tason sääntöjen lisäksi/sijaan IdP-ylläpitäjä voi poimia yksitellen ne SP:t, joihin haluaa luottaa. Advanced-tason säännöt ohittavat aina Basic-tason säännöt. Toimintaperiaate on sama kuin edellä kohdassa "SP:n luottamat Identity Provider -palvelimet".

 

IdP Attribute Rules

Sen lisäksi että IdP-ylläpitäjä voi määritellä Entity-, kotifederaatio- tai eduGAIN-tason säännöt niistä SP:stä, joihin IdP-palvelin luottaa, IdP-ylläpitäjä voi myös asettaa perälaudan kullekin SP:lle luovutettavien attribuuttien listalle. Periaattena, on, että attribuutti luovutetaan,

  • jos SP pyytää kyseistä attribuuttia (käyttämällä SAML-metadatan md:RequestedAttributes-elementtiä) JA
  • jos IdP Attribute Rules sallii kyseisen attribuutin luovuttamisen

Näiden sääntöjen perusteella Haka-resurssirekisteri muodostaa kullekin IdP-palvelimelle attribute filter policy (afp) -tiedoston. Sen perusteella Shibboleth IdP -palvelin päättää, mitä attribuutteja lähetetään kullekin SP:lle.

'eduGAIN Rules' -välilehdellä on toiminto, jolla voi rakentaa sääntöjä attribuuttikohtaisesti. Alla oleva esimerkkikonfiguraatio selventää sääntöjen toimintaa eikä ole sellaisenaan malli tuotantokonfiguraatiolle.

Esimerkki konfiguraatio ilmaisee että "Lähetä attribuutti 'cn' kaikille sitä pyytäville (#0) eduGAIN SP-palvelimille paitsi, jos palvelun kotifederaatio on (#1) Norjan Feide. Norjan federaation palveluiden joukossa (#2) tee kuitenkin poikkeus foodl.org-palvelun osalta ja lähetä sille cn pyydettäessä".

Samoin kuin luottamusta evaluoitaessa, myös attribuuttien kohdalla säännöt evaluoidaan entity-tasolta ylöspäin. Sääntö #2 on voimakkain, koska se koskee yhtä nimenomaista entityä. Toisena tulee Federation-tason sääntö #1 ja viimeisenä eduGAIN-sääntö #0.

Myös IdP voi tarkastella omien sääntöjensä vaikutusta per eduGAIN SP.

Ensimmäinen taulukko kertoo, että foodl.org-niminen SP on sääntöjen perusteella luotettu ja sisällytetty IdP:n saamaan eduGAIN-metadataan. Toisesta taulukosta näet attribuuttisääntöjesi vaikutuksen luovutettaviin attribuutteihin. Haka-resurssirekisteri generoi kerran tunnissa IdP:llesi näiden sääntöjen perusteella metadatan, joka sisältää valitsemasi eduGAIN-SP:t sekä niille afp:n. Jos tiettyä attribuuttia ei sääntöjesi mukaan saa luovuttaa kohteelle, kyseinen attributti kommentoidaan ulos sekä metadatasta että afp:stä.

Tekemäsi muutokset heijastuvat IdP-kohtaiseen eduGAIN-metadataasi noin tunnin viiveellä siitä, kun Haka-operaattori on hyväksynyt ne. IdP:täsi varten räätälöity metadatatiedosto haetaan IdP:n Resurssirekisteri-id:n perusteella osoitteesta http://haka.funet.fi/edugain-nightly/gen-edugain/idp-[id]-metadata-eduGain.xml

Huom. Attribuuttisääntöjen perusteella luodaan myös IdP-kohtainen attribute-filter.xml -tiedosto, joka löytyy osoitteesta http://haka.funet.fi/edugain-nightly/gen-edugain/idp-[id]-afp-eduGain.xml.

Homeless-entity eduGAIN:ssä

Päätös luottaa eduGAIN:issa olevaan Identity tai Service Provider -palvelimeen riippuu ainakin sen kotifederaatiosta, ja kotifederaation toimintakäytänteistä . 'eduGAIN Rules' - välilehden alasvetovalikoissa kotifederaatio ilmaistaan sen Authority-arvon perusteella, mikä taas on osa eduGAIN-metadataa. Vaikka tämä arvo on pakollinen, niin valitettavasti ainakin tällä hetkellä kaikki entityt eivät kerro eduGAIN-metadatassaan kotifederaatiotaan. Haka-resurssirekisteri on niputtanut kyseiset kodittomat 'Homeless'-kotifederaation alle.

SP:n / IdP:n eduGAIN downstream metadata - Eli se minkä otat käyttöösi.

Taulukossa käytetyn id arvon saat SP/IdP:llesi kirjautumalla Resurssirekisteriin.

Selitys 
SP:n metadatahttps://haka.funet.fi/edugain-nightly/gen-edugain/sp-[id]-metadata-eduGain.xml
IdP:n metadatahttps://haka.funet.fi/edugain-nightly/gen-edugain/idp-[id]-metadata-eduGain.xml
eduGAIN metadatan allekirjoitusvarmenne 

IdP:n attribute-filter.xml (Shibboleth)

Taulukossa käytetyn id arvon saat IdP:llesi kirjautumalla Resurssirekisteriin.

Selitys 
IdP:n attribute-filter.xmlhttps://haka.funet.fi/edugain-nightly/gen-edugain/idp-[id]-afp-eduGain.xml

 

 

  • No labels