[HREF-tech] Metadata és Discovery Service változások

[Adam Lantos]

Sziasztok,

2010/4/13 Adam Lantos <adam.lantos at niif.hu>:
> Sziasztok,
>
> szeretném felhívni a figyelmetek, hogy a közeljövőben (1-2 héten
> belül) le fogjuk cserélni a metadata aláíró kulcsot, valamint a
> metadata és a discovery service elérhetőségei is megváltoznak, hogy
> jobban igazodjanak az 'eduID' koncepcióhoz, illetve ne NIIF-es
> domaineken fussanak. Az aláíró kulcs cseréje az új URL-ek
> bevezetésével szinkronban fog történni. Természetesen a tervezett 30
> nap átfutási idő alatt a jelenlegi formában minden elérhető marad.

elérkezettnek látjuk az időt, hogy megindítsuk az új metadatára
történő átállást.

Az új metadata fájlok a http://metadata.eduid.hu/2010/ url-en
láthatóak, alapvetően négy típusuk ismert:

- href.xml: a HREF föderáció hivatalos metadatája
- edugain-*.xml: EduGAIN európai konföderáció entitásai
- href-test.xml: teszt metadata
- niifi.xml, bme.xml, ...: egyéb metadata fájlok

Utóbbi kettőre nem alkalmazunk semmilyen megkötést, tehát a teszt
metadatába bármilyen entitás bekerülhet, és intézményi kérésre tudunk
biztosítani olyan, intézmény-specifikus metadata fájlokat, amelyek
csak bizonyos entitásokat tartalmaznak (például egy intézmény összes
entitása).

A HREF metadatába valamint annak az EduGAIN felé kiajánlott részébe
csak olyan entitások fognak bekerülni, amelyek az éles föderáció
tagjai (tehát jelenleg a pilot résztvevőket tartalmazzák, a szerződés
elkészülte után pedig az ismert játékszabályok szerint kerülhetnek be
entitások).


Az új metadatához új aláíró kulcs is dukál, erről az információkat a
fenti link tartalmazza (SHA1 fingerprint:
09:C2:8B:09:AB:9E:C2:9B:A5:71:37:E7:36:C6:10:FF:96:9F:D7:FE). A
metadata tanúsítványát az NIIF Root CA hitelesíti, lehet PKI
ellenőrzést is végezni, így a későbbi, 2-3 évenkénti kulccsere nem
okoz problémát. Ebben az esetben az URL-eket érdemes
http://metadata.eduid.hu/current/ -tel prefixelni, ott mindig az
aktuális aláíró kulcs az érvényes.

A metadaták elérhetőek http és https felett is, de érdemes a http
protokollt használni, hiszen a https semmilyen extra védelmet nem
biztosít, cserébe plusz szerver terhelést jelent. A HREF-specifikus
fájlok tartalmuk változása esetén automatikusan, de legfeljebb 4
óránként újra aláírásra kerülnek. Ne feledjétek, hogy a HREF esetén
/kötelező/ legalább naponta frissíteni a metadatát.


Szeretnénk felhívni a figyelmetek egy új feature-re is: bizonyos
speciális URL-eken keresztül XSLT transzformációkat is biztosítunk,
például a https://metadata.eduid.hu/entities/current/${metadata}.xml
URL-en plain text formátumban kerül felsorolásra az adott föderáció
összes ismert entitása - és azok szerepei -, a
https://metadata.eduid.hu/php-ds-idp/current/${metadata}.xml URL pedig
a SWITCH-féle discovery service-hez generál egy konfigurációs fájlt.
Fontos, hogy ezek a transzformációk csak HTTPS felett elérhetőek. Ha
van saját XSLT transzformációtok, azt szívesen beállítjuk, hogy a
többiek is hasznát vehessék!


Terveink szerint a régi metadata URL-t
(https://rr.aai.niif.hu/metadata/href-metadata.xml) október közepén,
de legkésőbb a föderáció hivatalos indulása után egy héttel
megszüntetjük.


üdv,
 Lantos Ádám
 NIIF AAI