Protokolų naudojimas
LITNET FEDI infrastruktūroje autentifikavimo ir autorizacijos informacijai perduoti yra naudojami šie SAML2 protokolo profiliai:
- Web Browser SSO profilis;
- Identity Provider Discovery Service profilis.
Visos LITNET FEDI infrastruktūroje vykdomos komunikavimo operacijos turi atitikti profilį Interoperable SAML 2.0 Profile
Reikalavimai metaduomenims
Bendri reikalavimai IdP ir SP
- Turi būti palaikomi Name Identifier formatai
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
- Atributų pavadinimų formato NameFormat reikšmė turi būti
urn:oasis:names:tc:SAML:2.0:attrname-format:uri
. - Visų atributų pavadinimams sudaryti yra naudojami šie XML atributai:
- atributas
Name
, priskiriant jamObject Identifier
reikšmę, - rekomenduojama atributas
FriendlyName
.
- atributas
- Visiems mdui ir md elementams turi būti nurodyta:
- Privaloma nurodyti anglišką informaciją,
xml:lang="en"
, - Rekomenduojama nurodyti lietuvių ir kitų palaikomų kalbų versijas.
- Privaloma nurodyti anglišką informaciją,
- Metaduomenų pasirašymui naudojamas RSA raktas, mažiausiai 2048 bitų ilgio.
- Elementas
<md:Organization>
tinkamai aprašo instituciją, nurodant elementusOrganizationName
,OrganizationDisplayName
,OrganizationURL
. - Elementas
<md:ContactPerson>
turi aprašyticontactType=„technical“
ir/arbacontactType=„support“
informaciją nurodant mažiausiai el. pašto adresą. - Elementas
<mdui:DisplayName>
turi glaustai identifikuoti paslaugą. - Elementas
<mdui:Description>
turi apibūdinti paslaugą, jos tikslą, neviršijant 140 simbolių.
Reikalavimai SP metaduomenims
- Elementas
<mdui:PrivacyStatementURL>
privalo nurodyti autentifikavimo nereikalaujančio puslapio URL, kuriame yra paslaugos privatumo politika. REFEDS gairės privatumo politikos kūrimui... - Kiekvienam prašomam atributui privaloma nurodyti
RequestedAttribute
elementas. RequestedAttribute
elementui privaloma nurodyti XML atributąisRequired
, reikšmėstrue
arbafalse
.- Jeigu SP reikalauja tam tikros (tam tikrų) atributo reikšmės(-ių), privaloma naudoti
saml:AttributeValue
elementus. - Rekomenduojama nurodomas
Entity Category
atributą, nurodantį atitiktį su GÉANT reikalavimams http://www.geant.net/uri/dataprotection-code-of-conduct/v1.
Reikalavimai atributams
IdP privalo palaikyti šiuos atributus
cn
eduPersonPrincipalName
eduPersonTargetedID
schacHomeOrganization
Rekomenduojama palaikyti šiuos atributus
eduPersonAffiliation
eduPersonEntitlement
eduPersonScopedAffiliation
schacHomeOrganizationType
givenName +sn (surname)
displayName
mail
Rekomenduojama be apribojimų perduoti šiuos atributus:
eduPersonTargetedID
schacHomeOrganization
schacHomeOrganizationType
eduPersonAffiliation
Reikalavimai atributų reikšmėms
Reikalavimai atributų žodynams reiškia, kad atributo reikšmės gali būti tik iš išvardintos reikšmių aibės ir konkreti reikšmė priskiriama tik esant įrašytai sąlygai
- Leidžiamos tokios atributo
eduPersonAffiliation
reikšmės: -
- member – asmuo, priklausantis institucijos akademinei bendruomenei. Įeina grupės faculty, student, employee, staff;
- faculty – darbuotojas, vykdantis tyrimo arba mokymo veiklą
- student - asmuo yra aktyvus studentas, dalyvaujantis studijų programose, klausantis kursų, turintis studijų sutartį su institucija
- employee – asmuo, turintis darbo santykius (darbo sutartį) su institucija
- staff – darbuotojas, nepriklausantis faculty grupei, aptarnaujantis, administracijos personalas
- alum – asmuo, anksčiau turėjęs student statusą
- affiliate – asmuo, turinis tam tikrų, formalių ar neformalių sąsajų su institucija, bet neturintis akademinės bendruomenės nario (member) statuso
- library-walk-in – asmuo, turintis leidimą naudotis universiteto resursais, tokiais kaip biblioteka ir pan.
schacHomeOrganizationType
atitinka SCHAC Attribute Definitions for Individual Data nustatytą žodyną