Metadata

Ahhoz, hogy a föderációban résztvevő entitások biztonságosan tudjanak kommunikálni egymással, szükség van egy metaadat állományra. Ez a metaadat állomány szinte mindig humán felügyelettel jön létre, mivel a szervezetek közötti bizalmi kapcsolat technikai leképzésének ez az elsődleges eleme. (Másodlagos leképzésnek nevezhetjük az attribútum policy IdP és SP oldali megvalósítását.)

SAML 2.0 metaadatok
Pontos szabvány: http://docs.oasis-open.org/security/saml/v2.0/saml-metadata-2.0-os.pdf

A metadata állomány az alábbi fontosabb információkat tartalmazza
 * Érvényesség, aláírás
 * Identity Providerek
 * Attribute authorityk
 * Service Providerek
 * IdP-k és SP-k tanúsítványai
 * IdP-khez és SP-khez kapcsolódó szervezeti és kontakt információk

Egy IdP-hez tartozó metadata
A meglehetősen komplex eseteket leszámítva általában az Identity Provider és az Attribute Authority egyetlen entitásként kezelhető.

Shibboleth 1.3
A Shibboleth (mind az SP, mind az IdP) a metaadatokat kizárólag a másik féllel kapcsolatban használja, tehát a saját konfigurációjával kapcsolatban figyelmen kívül hagyja.

Az 1.3-as verzió kizárólag lokális állományokkal dolgozik (ez változni fog a 2.0-ban).

Scope
A Shibboleth 1.3 kiterjesztette a SAML2 metadata struktúrát egy saját,  mezővel. Ez a "scope" igazából egy postfix tagot definiál, melynek segítségével bizonyos attribútumok értelmezési helye jól meghatározható.

Erre jó példa az  attribútum, mely a felhasználó egyedi azonosítóját adja meg. Ez az azonosító két részből áll:
 * egy intézményen belüli egyedi azonosítóból (pl. )
 * az intézmény azonosítójából, a scope-ból (pl. )

Ha a metadatában használjuk a  mezőt, akkor az SP ellenőrizni tudja, hogy az IdP jogosult-e ilyen scope-pal rendelkező attribútumot kiadni.

Szintén gyakran használt scope-os attribútum az.

Metadata eszközök

 * Metadatatool
 * Siterefresh

Több metadata állomány használata
Mind az IdP, mind az SP képes arra, hogy több metadata állományt használjon. Így például különvehetjük az SP-ket az IdP-ktől, ill. több föderációban lehet benne a provider.

A metadata állományok tartalma összeadódik.

Metadata állományok frissítése
A metadata állományok központi helyről való letöltésére a Siterefresh és a Metadatatool eszközök valók.

Az átszerkesztett/új metadata állományt mind az IdP, mind az SP automatikusan beolvassa, újraindítás nem szükséges.

simpleSAMLphp
Az újabb verziók már támogatják az XML formátumú metaadatokat, de az SSP moduljai szeretik még mindig a flatfile formátumot használni. Van egy metarefresh nevű modul, ami képes webről leszedni a metaadatokat, ellenőrizni az aláírást, és flatfile formátumú metaadatokat generálni. Fontos momentum, hogy figyelembe veszi a  elementet, ezáltal megoldható az IdP-k attribútum kiadási szabályzatának automatikus frissítése is.

--gyufi 2009. július 9., 07:20 (UTC)