[HREF-tech] Föderációs újdonságok

Kristof BAJNOK bajnokk at niif.hu
2010. Feb. 12., P, 09:04:06 CET 

Kedves kollégák,

Néhány változásról szeretnélek benneteket tájékoztatni, ami technikai 
szempontból érinti a pilot föderációt (HREF). A változtatások célja, hogy 
minél közelebb kerüljünk az éles föderáció elindításához.

Tartalom:
---------
 * Új intézmények
 * Metadata változások
 * Attribútum specifikáció
 * Hasznos leírások
 * Névválasztás

1. Új intézmények
==================
Több új IdP is bekapcsolásra került, így jelenleg az alábbiak alkotják a 
föderációt:
 * duf.hu
 * elte.hu
 * georgikon.hu
 * kfki.hu
 * niif.hu
 * ppke.hu
 * sztaki.hu
 * unideb.hu
 * vho.aai.niif.hu
 * zmne.hu

Reméljük, hogy hamarosan a Pécsi Egyetemet is soraink között köszönthetjük. 

Nagyon fontos, hogy minden résztvevő SAML2-képes. Ezzel az elsők között 
vagyunk Európában, akik lebonyolították az áttérést SAML1-ről SAML2-re. 

Kérem, hogy akik eddig még nem tették meg, töltsék ki a felhasználókezelésük 
leírását a https://wiki.aai.niif.hu/index.php/HREF oldalon.

2. Metadata változások
======================
A SAML2-re való áttérés lehetővé tette, hogy a metadata kezelésünkben teljes 
mértékben áttérhessünk a Resource Registry [1] használatára. Ennek számos 
kihatása van a metadatára:
  a) A központi metaadatok elérhetősége megváltozott, az új: 
https://rr.aai.niif.hu/metadata/href-metadata.xml . Kérem, MINDEN IdP-t és 
SP-t frissítsétek, hogy az új forrást használja. A metadata aláírókulcsa [2]
egyelőre nem változott.
  b) Az egyes IdP-k és SP-k metaadatainak konfigurációját akár önállóan is 
elvégezhetitek, ha írtok az aai at niif.hu címre
  c) A Resource Registry egyik legfontosabb újdonsága, hogy testreszabott  
Shibboleth IdP resolver és filter, ill. SP konfigurációs fájlokat lehet 
belőle letölteni. Így a Shibboleth IdP attribute filtere is rávehető, hogy 
csak az elvárt minimális attribútum-halmazt adja ki az SP-knek. Ezt a 
funkciót a közeljövőben szeretnénk megvalósítani SimpleSAMLphp-ra is.
  d) A központi metadata számos új információt tartalmaz, ennek 
specifikációját lásd https://wiki.aai.niif.hu/index.php/HREFMetadataSpec

A Resource Registry (eredetileg a svájci SWITCH fejlesztése) meglehetősen 
komplex rendszer, számos, csak ránk jellemző módosítást valósítottunk meg 
benne. Elképzelhető, hogy maradt benne hiba, ezért hibabejelentéseket 
szívesen veszünk.

[1]: https://wiki.aai.niif.hu/index.php/Resource_Registry
[2]: https://idp.niif.hu/href_signer.crt

3. Attribútum specifikáció
==========================
Elkészült az attribútum specifikáció első "publikus" változata: 
https://wiki.aai.niif.hu/index.php/HREFAttributeSpec

Hozzászólásokat, módosítási- illetve kiegészítő javaslatokat várunk! Fontos, 
hogy ez a specifikáció az éles föderációban már csak nagyon ritkán 
változzon, ezért kérem, minél hamarabb vizsgáljátok meg, hogy 
  - minden számotokra fontos információ benne van-e
  - van-e olyan attribútum, amit használnátok, de jelen formájában nem 
tudjátok megvalósítani

Nem szorosan, de ide kapcsolódik: az NIIF LDAP Schema (niifPerson, 
niifEduPerson) frissített változata itt található: 
https://wiki.aai.niif.hu/index.php/NIIFSchema

4. Hasznos leírások
====================
Sok anyaggal bővült az aai-s wiki, a teljesség igénye nélkül szeretném 
néhányra felhívni a figyelmeteket:
 * https://wiki.aai.niif.hu/index.php/SSP_QuickStart (SimpleSAMLphp)
 * https://wiki.aai.niif.hu/index.php/ShibIdpSLO (Single Logout)
 * https://wiki.aai.niif.hu/index.php/Shib2PersistentId (Persistent NameID)

5. Névválasztás
===============
A föderációnak kell(ene), hogy legyen neve. A HREF (Hungarian Research & 
Education Federation) a pilot föderáció neve, és több szempontból sem 
szerencsés, hogy az "éles" föderációt is így hívjuk.

Készült egy tanulmány [3], amely azt javasolja, hogy a föderációknak 
egységes neve legyen, és erre javaslatot is tesz: (többek között) EduID + 
TLD, azaz esetünkben EduID.hu . Nem vagyok benne teljesen biztos, hogy ezzel 
megtaláltuk "A Nevet" (és nem is biztos, hogy ezt a javaslatot általánosan 
figyelembe veszi a többi föderáció), ezért, ha van javaslatotok, ne 
tartsátok vissza! A későbbi győztesnek nagy mennyiségű tetszőleges színű és 
állagú italt tudok felajánlani valamelyik műintézményben - pl. a 
Networkshopon.

[3]: http://www.terena.org/mail-archives/refeds/msg00490.html

Üdvözlettel,
Kristóf
NIIF AAI

További információk a(z) HREF-tech levelezőlistáról