eduGAIN-interfederaatio eli luottamusverkostojen verkosto mahdollistaa luotettavan metadatan vaihdon jäsenfederaatioidensa välillä. Identity tai Service Provider tulee ensin rekisteröidä johonkin jäsenfederaatioon (kuten Hakaan), josta se voidaan ylläpitäjän pyynnöstä välittää myös eduGAIN:iin.
Alkujaan eduGAIN on eurooppalainen palvelu, mutta avoinna kaikille akateemisille federaatioille maailmassa. Tämän hetken jäsentilanteen voi tarkistaa eduGAIN:in teknisiltä sivulta.
| eduGAINeduGAIN on alajoukko muiden federaatioiden IdP sekä SP-palvelimista. IdP sekä SP-palvelimet liittyvät kansalliseen federaatioon. Kansallinen federaatio liittyy eduGAIN-interfederaatioon. IdP sekä SP-palvelimet pyytävät tulla julkaistuksi eduGAIN-interfederaatioon. IdP-palvelimet valitsevat resurssirekisterissä mitkä palvelut ovat luotettuja sekä mitä attribuutteja luovuttavat. SP palvelimet valitsevat resurssirekisterissä luotetut IdP-palvelimet. Sääntöjen pohjalta luodaan jokaiselle palvelimelle oma räätälöity metadata-tiedosto määriteltyjen eduGAIN sääntöjen perusteella.
|
---|
eduGAIN:n toimintakäytännöistä
eduGAIN:iin rekisteröidyt palvelimet ovat sitoutuneet kukin oman federaationsa käytänteisiin, jotka eivät ole yhteismitallisia. Lisätietoa asiasta on eduGAIN-toimintakäytänteissä, jotka sitovat eduGAIN:iin liittyneitä federaatioita.
Luottosuhteen automaattisuus
- Hakassa lähtökohta on, että Haka IdP:t luottavat (luovuttavat attribuutteja) kaikkiin Haka SP:iin ja päinvastoin
- eduGAIN:ssä ei voi automaattisesti olettaa, että kaikki eduGAIN:iin rekisteröidyt IdP:t ja SP:t luottavat toisiinsa
Hakaan rekisteröidyn SP:n ylläpitäjän tulee lisäksi huomioida mm. seuraavaa
- Kattavuus. eduGAIN:in kautta saattaa kirjautua myös käyttäjiä, jotka eivät ole liitoksissa korkeakouluun (esim. alemmat koulutusasteet)
- Tunnistuksen tukevuus. eduGAIN:in kautta kirjautuvien käyttäjien tunnistuksen luotettavuus saattaa olla Hakaa heikompi. Myös ryhmätunnukset ovat mahdollisia, samoin erilaiset testitunnukset ja -palvelimet
- Attribuutit. Käyttäjien attribuuttien saatavuus, semantiikka ja luotettavuus saattaa olla erilainen eduGAIN:n kautta kirjautuville käyttäjille
Tietosuoja-asiat. Hakaan rekisteröidyn IdP:n ylläpitäjän tulee huomioida
- eduGAIN:iin rekisteröitynyt SP ei välttämättä ole sitoitunut yhtä kattaviin tietosuojaa koskeviin pelisääntöihin kuin Hakaan rekisteröidyt (katso GÉANT-tietosuojakäytäntö)
- eduGAIN:iin rekisteröidyt SP:t eivät välttämättä ole EU/ETA-alueella, mikä tulee huomioida henkilötietoja luovutettaessa
Hakan SAML-profiilin mukaiset IdP ja SP -palvelimet täyttävät pääosin eduGAIN:in tekniset vaatimukset. Lähinnä eroavaisuuksia on Hakan ja eduGAIN:in edellyttämän SAML 2.0 -metadatan sisällössä.
eduGAIN-käyttöönoton vaiheet
Sekä Identity että Service Provider -palvelinten eduGAIN-rekisteröintiin ja -käyttöön liittyy neljä vaihetta. Vaiheet 1-3 konfiguroidaan Haka-resurssirekisterissä:
Service Providerin ylläpitäjä päättää, haluaako hän sitoutua GÉANT-tietosuojakäytäntöön.
Identity Providerin ylläpitäjä päättää, haluaako hän luovuttaa attribuutteja GÉANT-tietosuojakäytäntöön sitoutuneille Service Providereille.
2. Metadata export. Providerin ylläpitäjä pyytää Haka-resurssirekisterissä, että Provider välitetään eduGAIN:iin.
3. Metadata import. Providerin ylläpitäjä valitsee Haka-resurssirekisteristä, mihin eduGAIN:iin rekisteröityihin vastapuoliin hän haluaa luottaa.
- Service Provider -ylläpitäjä valitsee, minkä Identity Provider -palvelinten suorittamaan käyttäjätunnistukseen hän luottaa.
- Identity Provider -palvelinten ylläpitäjä valitsee, mihin Service Provider -palvelimiin hän haluaa luovuttaa attribuutteja.
4 Tekniset konfiguraatiot.
- Identity ja Service Provider -ylläpitäjät konfiguroivat palvelimeensa lukemaan Haka-metadatan rinnalla myös eduGAIN-metadatatiedostoa, jonka Haka-resurssirekisteri räätälöi erikseen kullekin Providerille kohtien 1-3 valintojen perusteella
- Service Provider -ylläpitäjä asentaa palvelimeensa Discovery Servicen (eduGAIN:ssä ei ole Hakan tapaista keskitettyä DS-palvelinta)
Yksityiskohtaiset ohjeet IdP- ja SP-ylläpitäjille