„JoiningEduGAIN” változatai közötti eltérés

Innen: KIFÜ Wiki
(Új oldal, tartalma: „'''Hogyan csatlakozhat egy IdP az EduGAIN-hez?''' A folyamat három lépésből áll: 1. Írni kell az aai@niif.hu-nak, hogy a föderációs operátor publikálja az Id…”)
 
(Egyidejű használat)
 
(13 közbenső módosítás, amit 2 másik szerkesztő végzett, nincs mutatva)
1. sor: 1. sor:
'''Hogyan csatlakozhat egy IdP az EduGAIN-hez?'''
+
== Metaadatok ==
 +
Az eduGAIN csatlakozáshoz a csatlakozó entitásnak - akár IdP, akár SP - ismernie kell az eduGAIN-ben résztvevő többi entitást. Ezt vagy a hagyományos módszerrel, az eduGAIN aláírt metaadatainak betöltésével lehet elérni, vagy az igény szerinti metaadat-kiszolgáló (MDX) használatával. 
 +
=== Hagyományos XML állomány ===
 +
Töltse be és rendszeresen frissítse az általunk aláírt eduGAIN  metadatát: http://metadata.eduid.hu/current/edugain.xml. Az aláírókulcs  megegyezik a többi metadata setet aláíró kulccsal  (https://metadata.eduid.hu/href-metadata-signer-2011.crt). Félreértések  elkerülése végett a magyar entitások az újra aláírt eduGAIN metaadatok  között nem szerepelnek, hogy ne legyen duplikáció.
  
A folyamat három lépésből áll:
+
Ennél a módszernél fel kell készülni arra, hogy a metaadat-frissítés hosszadalmas, több percet igénylő folyamat lehet. Néhány jellemző probléma:
 +
* Shibboleth SP el- vagy újraindításakor több percen keresztül <code>ListenerException</code> hiba jelentkezik.
 +
* SimpleSAMLphp esetén a ''metarefresh'' kifut a rendelkezésre álló memóriából, vagy tovább fut, mint a <code>max_execution_timeout</code> vagy a webszerver beállításai ezt lehetővé tennék.
 +
=== Igény szerinti metaadat kiszolgálás ===
 +
Ebben az esetben a metaadatokat csak akkor töltjük le, ha éppen szükség van rájuk. Részletes leírás itt: [[MDX]].
  
1. Írni kell az aai@niif.hu-nak, hogy a föderációs operátor publikálja az IdP-t az EduGAIN metadatába.
+
Ennek a módszernek előnye, hogy sokkal kevesebb erőforrást igényel a szerveren. Az alapértelmezés szerinti gyorstárazási idő is jóval rövidebb, mint a hagyományos esetben, így a változások valamivel hamarabb érvényre jutnak.
 +
=== Egyidejű használat ===
 +
Mind a Shibboleth, mind a SimpleSAMLphp lehetővé teszi, hogy a hagyományos fájl-alapú és az MDX alapú metaadat forrásokat egyidőben használjuk. Például:
 +
* helyi statikus metaadat-állományokat használunk,
 +
* a magyar entitásokat hagyományos módon, az eduGAIN-es entitásokat MDX-szel akarjuk letölteni.
  
2. Be kell konfigurálni a következő metadata URL-t: http://metadata.eduid.hu/current/edugain.xml . Az aláírókulcs megegyezik
+
Ilyen esetben az MDX metaadat-forrást célszerű utolsó helyre tenni a sorban. Ekkor az metaadat-kérés csak akkor hajtódik végre, ha az entitás egyik statikus forrásban sem található meg.
a többi metadata setet aláíró kulccsal (https://metadata.eduid.hu/href-metadata-signer-2011.crt) Félreértések elkerülése végett a magyar entitások az újra aláírt eduGAIN metaadatok között nem szerepelnek, hogy ne legyen duplikáció.
 
  
3. Be kell állítani, hogy az SP-k kötelező attribútumait az IdP elküldje. SimpleSAMLphp esetén az attribute filter könnyen jöhet a metadatából, Shibboleth IdP esetén célszerű az alábbi automatikusan frissülő filtert beállítani: https://metadata.eduid.hu/edugain-attribute-filter/2011/edugain.xml
+
HOWTO: [[SimpleSAMLMixedMetadata | SimpleSAMLphp metaadatforrások egyidejű használata]].
  
 +
== IdP csatlakozása az eduGAIN-hez ==
 +
Az IdP-nek értelmeznie kell SP-k attribútum-igényeit. Erre '''erősen ajánlott''' az EntityCategory alapú attribútum kiadást használni, kiegészítve a metadata-alapú (RequestedAttributes) attribútum kiadási mechanizmussal.
 +
* ''SimpleSAMLphp'': a javasolt megoldásról [[SSP_EntityCategories| bővebben erre]].
 +
* ''Shibboleth'': natívan ismeri mindkét attribútumkiadási mechanizmust:
 +
** https://wiki.shibboleth.net/confluence/display/SHIB2/IdPFilterRequirementAttributeInMetadata
 +
** https://wiki.shibboleth.net/confluence/display/IDP30/EntityAttributeExactMatchConfiguration
  
Ezek után már csak várni kell, hogy az SP-k frissítsék a metaadataikat.
+
A metaadatok, illetve az attribútum-kiadás megfelelő konfigurációja '''után''' az IdP csatlakozását az IdP technikai kapcsolattartója kezdeményezi a föderációs adminfelületen (https://rr.eduid.hu), ügyelve arra, hogy az entitáshoz beállított logó is https-en keresztüli url-en legyen elérhető, ill. rögzítésre kerüljenek a különböző leíró dokumentumok angol nyelvű változataira mutató url-ek is.
 +
 
 +
== SP csatlakozása az eduGAIN-hez ==
 +
A metaadatok megfelelő konfigurációja '''után''' az SP adminisztrátora a Resource Registry-ben állíthatja be, hogy az SP az eduGAIN-ben publikálásra kerüljön.
 +
 
 +
A Discovery felület integrációjával kapcsolatban lásd az [[MDX# Fontos tudnivaló Discovery Service használattal kapcsolatban | MDX leírás vonatkozó részét]]!
 +
=== Entitás kategóriák ===
 +
Amennyiben nemzetközi együttműködésben vesz részt az SP, az entitás kategóriák használatával megkönnyíthetjük, hogy az IdP-k az igényelt attribútumokat kiadják.
 +
 
 +
Az entitás kategóriák beállítását az SP kapcsolattartója az info@eduid.hu címen kezdeményezheti.
 +
==== Research & Scholarship ====
 +
Amennyiben a szolgáltatás a kutatást vagy az oktatást támogatja, beállítható a ''Research & Scholarship'' entitás kategória. Részletes szabályok: https://refeds.org/category/research-and-scholarship
 +
 
 +
==== GÉANT Data Protection Code of Conduct ====
 +
Az entitás kategória részletes szabályai itt találhatóak: https://wiki.edugain.org/Recipe_for_a_Service_Provider . Fontos kiemelni, hogy ez a kategória az entitás metaadatainak részletes kitöltését (https://rr.eduid.hu) igényli, valamint egy olyan angol nyelvű adatvédelmi szabályzat meglétét, amely hivatkozik a http://www.geant.net/uri/dataprotection-code-of-conduct/v1 dokumentumra.
 +
 
 +
[[Category: AAI]]
 +
[[Category: EduGAIN]]
 +
[[Category: HOWTO]]

A lap jelenlegi, 2017. november 20., 09:21-kori változata

Metaadatok

Az eduGAIN csatlakozáshoz a csatlakozó entitásnak - akár IdP, akár SP - ismernie kell az eduGAIN-ben résztvevő többi entitást. Ezt vagy a hagyományos módszerrel, az eduGAIN aláírt metaadatainak betöltésével lehet elérni, vagy az igény szerinti metaadat-kiszolgáló (MDX) használatával.

Hagyományos XML állomány

Töltse be és rendszeresen frissítse az általunk aláírt eduGAIN metadatát: http://metadata.eduid.hu/current/edugain.xml. Az aláírókulcs megegyezik a többi metadata setet aláíró kulccsal (https://metadata.eduid.hu/href-metadata-signer-2011.crt). Félreértések elkerülése végett a magyar entitások az újra aláírt eduGAIN metaadatok között nem szerepelnek, hogy ne legyen duplikáció.

Ennél a módszernél fel kell készülni arra, hogy a metaadat-frissítés hosszadalmas, több percet igénylő folyamat lehet. Néhány jellemző probléma:

  • Shibboleth SP el- vagy újraindításakor több percen keresztül ListenerException hiba jelentkezik.
  • SimpleSAMLphp esetén a metarefresh kifut a rendelkezésre álló memóriából, vagy tovább fut, mint a max_execution_timeout vagy a webszerver beállításai ezt lehetővé tennék.

Igény szerinti metaadat kiszolgálás

Ebben az esetben a metaadatokat csak akkor töltjük le, ha éppen szükség van rájuk. Részletes leírás itt: MDX.

Ennek a módszernek előnye, hogy sokkal kevesebb erőforrást igényel a szerveren. Az alapértelmezés szerinti gyorstárazási idő is jóval rövidebb, mint a hagyományos esetben, így a változások valamivel hamarabb érvényre jutnak.

Egyidejű használat

Mind a Shibboleth, mind a SimpleSAMLphp lehetővé teszi, hogy a hagyományos fájl-alapú és az MDX alapú metaadat forrásokat egyidőben használjuk. Például:

  • helyi statikus metaadat-állományokat használunk,
  • a magyar entitásokat hagyományos módon, az eduGAIN-es entitásokat MDX-szel akarjuk letölteni.

Ilyen esetben az MDX metaadat-forrást célszerű utolsó helyre tenni a sorban. Ekkor az metaadat-kérés csak akkor hajtódik végre, ha az entitás egyik statikus forrásban sem található meg.

HOWTO: SimpleSAMLphp metaadatforrások egyidejű használata.

IdP csatlakozása az eduGAIN-hez

Az IdP-nek értelmeznie kell SP-k attribútum-igényeit. Erre erősen ajánlott az EntityCategory alapú attribútum kiadást használni, kiegészítve a metadata-alapú (RequestedAttributes) attribútum kiadási mechanizmussal.

A metaadatok, illetve az attribútum-kiadás megfelelő konfigurációja után az IdP csatlakozását az IdP technikai kapcsolattartója kezdeményezi a föderációs adminfelületen (https://rr.eduid.hu), ügyelve arra, hogy az entitáshoz beállított logó is https-en keresztüli url-en legyen elérhető, ill. rögzítésre kerüljenek a különböző leíró dokumentumok angol nyelvű változataira mutató url-ek is.

SP csatlakozása az eduGAIN-hez

A metaadatok megfelelő konfigurációja után az SP adminisztrátora a Resource Registry-ben állíthatja be, hogy az SP az eduGAIN-ben publikálásra kerüljön.

A Discovery felület integrációjával kapcsolatban lásd az MDX leírás vonatkozó részét!

Entitás kategóriák

Amennyiben nemzetközi együttműködésben vesz részt az SP, az entitás kategóriák használatával megkönnyíthetjük, hogy az IdP-k az igényelt attribútumokat kiadják.

Az entitás kategóriák beállítását az SP kapcsolattartója az info@eduid.hu címen kezdeményezheti.

Research & Scholarship

Amennyiben a szolgáltatás a kutatást vagy az oktatást támogatja, beállítható a Research & Scholarship entitás kategória. Részletes szabályok: https://refeds.org/category/research-and-scholarship

GÉANT Data Protection Code of Conduct

Az entitás kategória részletes szabályai itt találhatóak: https://wiki.edugain.org/Recipe_for_a_Service_Provider . Fontos kiemelni, hogy ez a kategória az entitás metaadatainak részletes kitöltését (https://rr.eduid.hu) igényli, valamint egy olyan angol nyelvű adatvédelmi szabályzat meglétét, amely hivatkozik a http://www.geant.net/uri/dataprotection-code-of-conduct/v1 dokumentumra.