[HREF-tech] Az attribútumok fontosságáról...

[Kristof Bajnok]

Sziasztok!

Szeretnék röviden beszámolni egy tanulságos történetről az eduGAIN háza
tájáról.

Talán többen ismerik az ORCID-ot. Ez egy nemzetközi digitális
azonosító-szolgáltató, amely alkalmas arra, hogy kutatók és szerzők
egyszerűen és egyértelműen hivatkozni tudják a saját személyüket. Néhány
hónapja az ORCID eduGAIN azonosítással is használható.

Múlt héten (lásd az itt kezdődő thread-et: [1]) az ORCID bejelentette,
hogy azonnali hatállyal felfüggesztette az eduGAIN kapcsolatát, mert két
olyan IdP-t is talált, amelyekről bebizonyosodott, hogy több személynek
osztotta ki ugyanazt az eduPersonTargetedId (ill. esetleg
eduPersonPrincipalName) attribútumot, és emiatt egy ember egy másik
ember ORCID-jével jelenhetett meg.

Azóta ismertté vált, hogy:
 -  az érintett spanyol, ill. amerikai IdP-k közül egyik sem
SimpleSAMLphp-t vagy Shibboleth-et használt (de mindkettő mást);
 - a problémát valószínűleg egy-egy upgrade során elkövetett
konfigurációs hiba okozta. Feltételezik, hogy az eduPersonTargetedId
forrásattribútuma mindenkinél üres volt, és ezt az implementációk
vidáman sózták és hash-elték, így mindenkinél azonos volt a hash.

A REFEDs listán élénk vita kezdődött arról, hogy az ORCID lépése túlzó
volt-e: jogos-e az egész eduGAIN közösséget "büntetni" hibás IdP-k
miatt. (Érdekes módon a kutatási SP-k nagyobb szövetségei (EGI, CERN)
egységesen amellett foglaltak állást, hogy ez volt a megfelelő eljárás.)

De azt mindenképpen tanulságosnak tartom, hogy az IdP-k megfelelő
adminisztrációja az egész föderatív világ működése szempontjából fontos.
Dolgozzunk hát felelősségünk tudatában... :)

Üdv,
Kristóf


[1]: https://lists.refeds.org/sympa/arc/refeds/2016-11/msg00072.html