Hakan SAML 2.0 Web SSO -profiili perustuu julkishallinnon yhteiseen SAML 2.0 -profiiliin (ver 1.1). Julkishallinnon profiilin kolmannen sarakkeen yleiset kommentit koskevat myös Hakaa.  Hakan lisäykset profiiliin on lueteltu alla.

Hakan lisäykset ja tarkennukset julkishallinnon profiiliin

Hakan SAML-profiili täydentää julkishallinon yhteistä SAML 2.0 -profiilia (ver 1.1) seuraavilla lisäyksillä:

• Hakaan rekisteröidyt IdP- ja SP-palvelimet voivat käyttää kaikkien varmentajien X.509 -varmenteita (mukaanlukien itseallekirjoitetut varmenteet). Varmenteessa käytetyn RSA-avaimen minimikoko on 2048 bittiä.
• SP:n ja IdP:n SAML-viestien vaihtoon rekisteröidyt osoitteet tulee suojata TLS/SSL protokollalla.
• Haka-metadata on allekirjoitettu Digi- ja  väestötietoviraston -varmennepalvelun (DVV) antamalla varmenteella. Metadatan käyttäjän tulee varmistaa allekirjoituksen lisäksi, ettei käytetty varmenne ole sulkulistalla.
• Kappaleessa Additional extensions määritellyn Single logout:in totetuttaminen on valinnaista.
• Hakassa välitettävät attribuutit on kuvattu ja määritelty FunetEduPerson-skeemassa.
• Rajatut attribuutit (scoped attributes). FunetEduPerson skeemassa on kaksi rajattua attribuuttia: eduPersonPrincipalName ja eduPersonScopedAffiliation. Kotiorganisaatiot saavat populoida rajatut attribuutit vain omistamillaan rajauksilla (esim. ePPN jalauros@csc.fi vain CSC:n IdP:n toimesta).  Rajattua attribuuttia hyödyntävän tahon olisi suositeltavaa tarkistaa että rajaus on sallittu. Haka- operaattori julkaisee listan sallituista kotiorganisaatioiden rajauksista osana Haka-metadataa.

Hakan SAML 2.0 Web SSO -profiili perustuu Kantaran SAML V2.0 Deployment Profile for Federation Interoperability profiiliin.  Hakan profiiliin suunnitellut  lisäykset on lueteltu alla.

Hakan profiilin suunnitellut lisäykset ja tarkennukset verrattuna Kantaran profiiliin

Hakan SAML-profiili täydentää Kantaran SAML V2.0 Deployment Profile for Federation Interoperability seuraavilla lisäyksillä:

Kantara SAML V2.0 Deployment Profile for Federation Interoperability profiilin täydennykset

• Muiden kuin profiilissa määriteltyjen algoritmien käyttö on IdP-ylläpidon harkinnan varassa  [SDP-ALG01]
• Hakaan rekisteröidyjen uusien ja päivitettävien IdP- ja SP-palvelimien varmenteessa käytettyjen RSA-avaimen, mukaanlukien itseallekirjoitetut varmenteet, minimikoon on oltava jatkossa 4096 bittiä  [SDP-MD06] 
• Haka-palveluissa ei suositella käytettävän EC-avaimia yhteensopivuushaasteiden vuoksi. [SDP-MD07]
• SubjectID:tä tulee tukea, mutta vanhoja tunnisteita saa myös käyttää [SDP-SP13],[SDP-SP14],[SDP-SP15]
• IdP:den pitää tukea myös vanhoja palveluita, jotka hyväksyvät vain persistent tyyppisiä tunnisteita [SDP-IDP15], [SDP-IDP16], [SDP-IDP17]
• Mikäli SP ei tue useampaa allekirjoitusvarmennetta, voi tämä aiheuttaa SP:lle käyttökatkoja. [SDP-SP37] [SDP-SP38]
• Hakassa välitettävät attribuutit ovat kuvatut ja määritellyt FunetEduPerson-skeemassa.
• Rajatut attribuutit (scoped attributes). FunetEduPerson skeemassa on kaksi rajattua attribuuttia: eduPersonPrincipalName ja eduPersonScopedAffiliation. Kotiorganisaatiot saavat populoida rajatut attribuutit vain omistamillaan rajauksilla (esim. ePPN eskoesimerkki@csc.fi vain CSC:n IdP:n toimesta).  Rajattua attribuuttia hyödyntävän tahon olisi suositeltavaa tarkistaa että rajaus on sallittu. Haka-operaattori julkaisee listan sallituista kotiorganisaatioiden rajauksista osana Haka-metadataa.