[HREF-tech] eduid szerződés, műszaki követelmények

[Kadlecsik Jozsef]

Sziasztok!

On Fri, 20 May 2011, Kristof Bajnok wrote:

> szerintem nagyon fontos kérdéseket vetsz fel, ezért a href-tech -en 
> válaszolok.
> 
> On Friday 20 May 2011 11:08:07 Kadlecsik Jozsef wrote:
> > Néhány dolgot tisztázni szeretnék a szerződés műszaki követelményeivel 
> > kapcsolatban:
> > 
> > 1.3 és 1.4 pontok: A felhasználónevek egyedisége nem gond. A 
> > felhasználó*nevek* újraosztása viszont problematikus, mert a 
> > felhasználó*azonosítók* azok, amelyeket nem osztunk újra. Gyakorlati 
> > példa: a kiss at rmki.kfki.hu "felhasználónév" kiadandó azonosítója a 10001. 
> > Ő kilép, belép helyette egy másik kiss at rmki.kfki.hu, az ő azonosítója a 
> > 10002. Egy időben természetesen csak egy kiss at rmki.kfki.hu létezik, és az 
> > azonosítókat nem osztjuk újra. Ez elfogadható?
> 
> Az a baj, hogy ha a eduPersonPrincipalName-ben a felhasználónév szerepel, 
> akkor az ezt használó SP-k számára nem megkülönböztethető a két felhasználó. 
> Viszont tüzetesebben megnézve az eduPersonPrincipalName definícióját, nincs 
> benne, hogy az nem osztható ki újra. Ez lehet, hogy hiba.

Akkor számunkra a legegyszerűbbnek tűnő megoldás, ha 
eduPersonPrincipalName-ként "felhasználóazonosító@scope"-ot adunk vissza a 
jelenlegi email cím helyett.
 
> Mivel egyelőre a legtöbb SP eduPersonPrincipalName-et használ (és nem 
> valamilyen targeted értéket), ezért került a követelmények közé a 
> felhasználónév újra kiosztásának a tilalma. Ha a többség úgy dönt, hogy ezt 
> megváltoztassuk, akkor ez lehetséges; viszont akkor az SP-k egy jó részével 
> kitolunk.
> 
> Ha a felhasználónév nem szerepel az eduPersonPrincipalName-ben, akkor az 
> újrakioszthatóság a föderáció szempontjából indifferens. 
> 
> Összefoglalva: valószínűleg célszerűbb lenne az attribútum specifikációban az 
> eduPersonPrincipalName újra ki nem oszthatóságát rögzíteni, és a műszaki 
> követelmények közül az 1.4-es pontot törölni. Vélemény?
> 
> > A 2.3-as pontot (az IdP napi felbontású anonimizált forgalmi 
> > statisztikáinak rendelkezésre bocsátása) hogyan gondoljátok megvalósítani? 
> > Ezt állandóan kell biztosítanunk, vagy kérésre?
> 
> Automatikusan kellene: https://wiki.aai.niif.hu/index.php?title=EduidFedStats

Köszi, ezt beüzemeljük.
 
> > A 3.1-es pont (személyes adatok kezeléséről tranzakció log) sem teljesen 
> > egyértelmű: a "szoftverünk" nem ad tranzakció logot, az operátorok 
> > kötelessége manuálisan vezetni azt. És ez természetesen független a 
> > személyzeti/gazdasági osztály saját adatkezelésétől.
> 
> Itt az IdP és az SP tranzakció log-járól van szó. Az IdP-nek és az SP-nek 
> rögzítenie kell a tranzakciók adatait (mikor, kinek/kitől, milyen attribútumok 
> kerültek átadásra, melyik felhasználóról (IdP)).

Akkor félreértettem a pontot, köszi ezt a pontosítást is.

Üdvözlettel,
Józsi
--
E-mail : kadlec at mail.kfki.hu, kadlec at blackhole.kfki.hu
PGP key: http://www.kfki.hu/~kadlec/pgp_public_key.txt
Address: KFKI Research Institute for Particle and Nuclear Physics
         H-1525 Budapest 114, POB. 49, Hungary