[HREF-tech] eduid szerződés , műszaki követelmények

Kristof Bajnok bajnokk at niif.hu
2011. Május. 20., P, 12:42:11 CEST 

Szia Józsi,

szerintem nagyon fontos kérdéseket vetsz fel, ezért a href-tech -en 
válaszolok.

On Friday 20 May 2011 11:08:07 Kadlecsik Jozsef wrote:
> Néhány dolgot tisztázni szeretnék a szerződés műszaki követelményeivel 
> kapcsolatban:
> 
> 1.3 és 1.4 pontok: A felhasználónevek egyedisége nem gond. A 
> felhasználó*nevek* újraosztása viszont problematikus, mert a 
> felhasználó*azonosítók* azok, amelyeket nem osztunk újra. Gyakorlati 
> példa: a kiss at rmki.kfki.hu "felhasználónév" kiadandó azonosítója a 10001. 
> Ő kilép, belép helyette egy másik kiss at rmki.kfki.hu, az ő azonosítója a 
> 10002. Egy időben természetesen csak egy kiss at rmki.kfki.hu létezik, és az 
> azonosítókat nem osztjuk újra. Ez elfogadható?

Az a baj, hogy ha a eduPersonPrincipalName-ben a felhasználónév szerepel, 
akkor az ezt használó SP-k számára nem megkülönböztethető a két felhasználó. 
Viszont tüzetesebben megnézve az eduPersonPrincipalName definícióját, nincs 
benne, hogy az nem osztható ki újra. Ez lehet, hogy hiba.

Mivel egyelőre a legtöbb SP eduPersonPrincipalName-et használ (és nem 
valamilyen targeted értéket), ezért került a követelmények közé a 
felhasználónév újra kiosztásának a tilalma. Ha a többség úgy dönt, hogy ezt 
megváltoztassuk, akkor ez lehetséges; viszont akkor az SP-k egy jó részével 
kitolunk.

Ha a felhasználónév nem szerepel az eduPersonPrincipalName-ben, akkor az 
újrakioszthatóság a föderáció szempontjából indifferens. 

Összefoglalva: valószínűleg célszerűbb lenne az attribútum specifikációban az 
eduPersonPrincipalName újra ki nem oszthatóságát rögzíteni, és a műszaki 
követelmények közül az 1.4-es pontot törölni. Vélemény?

> A 2.3-as pontot (az IdP napi felbontású anonimizált forgalmi 
> statisztikáinak rendelkezésre bocsátása) hogyan gondoljátok megvalósítani? 
> Ezt állandóan kell biztosítanunk, vagy kérésre?

Automatikusan kellene: https://wiki.aai.niif.hu/index.php?title=EduidFedStats

> A 3.1-es pont (személyes adatok kezeléséről tranzakció log) sem teljesen 
> egyértelmű: a "szoftverünk" nem ad tranzakció logot, az operátorok 
> kötelessége manuálisan vezetni azt. És ez természetesen független a 
> személyzeti/gazdasági osztály saját adatkezelésétől.

Itt az IdP és az SP tranzakció log-járól van szó. Az IdP-nek és az SP-nek 
rögzítenie kell a tranzakciók adatait (mikor, kinek/kitől, milyen attribútumok 
kerültek átadásra, melyik felhasználóról (IdP)).

> 
> Üdvözlettel,
> Józsi
> 
> Ui: Megérkezett hozzánk az aláírandó eduid szerződés, aminek az aláírása 
> egészen biztosan több hétig húzódni fog...

Köszönöm, várjuk!

Kristóf

További információk a(z) HREF-tech levelezőlistáról