IdP discoveryn uudet mahdollisuudet Hakassa Mikä on Discovery Service? Määritelty Oasis-spesifikaatiolla: Identity Provider Discovery Service Protocol and Profile Tunnistaminen käynnistyy palvelusta (SP). Sen pitäisi ohjata käyttäjä kotiorganisaationsa tunnistuspalveluun Palvelu ei voi tietää, mikä käyttäjän kotiorganisaatio on 1
Mikä on Discovery Service? 1. Palvelu ohjaa käyttäjän tunnistuslähteen päättelypalveluun (nyk. DS, ent. WAYF Where Are You From) 2. DS palauttaa palvelulle käyttäjän kertoman tunnistuslähteen EntityId:n 3. Palvelu ohjaa käyttäjän edelleen käyttäjän valitseman tunnistuspalvelun päätepisteeseen tarkistettuaan sen metadatasta Tieto välitetään käyttäjän selaimessa uudelleenohjauksilla 3 SP 1 IdP 2 Disco Hakan graafinen ohjeistus http://www.csc.fi/hallinto/haka/ohjeet/ohjeet-yllapitajille/logo Luodaan käyttäjille tuttu ilme Haka suojattuihin palveluihin Helpotetaan sivustosuunnittelua Parannetaan Hakaluottamusverkoston tunnettavuutta 2
DS, ongelma? DS saattaa olla ensimmäinen kirjautumiseen liittyvä tapahtuma, jonka käyttäjä näkee Käyttäjä saattaa muodostaa ensivaikutelmansa palvelusta DS:n perusteella Kirjautumisen työvaiheissa käyttöliittymän ulkoasu saattaa vaihtua joka askeleella Palvelua ehkä halutaan tarjota vain muutamalle kotiorganisaatiolle, mutta DS listaa ne kaikki Käyttäjä ei ehkä tunne luottamusverkoston merkitystä ja DS:n suhdetta kirjautumisprosessiin Palvelussa saattaa olla liitoksia useisiin federaatioihin ja muihin tunnistuspalveluihin Joissakin federaatioissa tunnistuslähteitä voi olla paljon Moniportainen DS https://moodle.utu.fi/ 3
Moniportainen DS Vaihtoehtoja keskitetylle DS-palvelulle SP-initiated (Shibboleth Session Initiator Mechanism) IdP-initiated authentication (unsolicited SSO) Embedded Disco 4
SP-initiated https://testsp.funet.fi/shibboleth.sso/login?entityid=https://testidp.funet.fi/id p/shibboleth&target=https://testsp.funet.fi/attribute-test/ 1. https://testsp.funet.fi/ 2. Shibboleth.sso/Login 3. entityid=https://testidp.funet.fi/idp/shibboleth 4. target=https://testsp.funet.fi/attribute-test/ IdP-initiated https://testidp.funet.fi/idp/profile/saml2/unsolicited/sso?providerid=https:// testsp.funet.fi/shibboleth&target=https://testsp.funet.fi/attribute-test/ 1. https://testidp.funet.fi/ 2. idp/profile/saml2/unsolicited/sso 3. providerid=https://testsp.funet.fi/shibboleth 4. target=https://testsp.funet.fi/attribute-test/ 5
Embedded Discovery Service JavaScript-tiedostoja, joilla DS voidaan upottaa esim. palvelun etusivulle Tuki metadatan MDUI-elementeille Voidaan määritellä ulkoasultaan osaksi palvelua Käyttäjä siirtyy saumatta palvelusta päättelypalveluun ja edelleen tunnistuslähteeseen Embedded Discovery Service Shibboleth Embedded Discovery Service (EDS) Luettelee vain ne tunnistuslähteet, joihin palvelulla on luottosuhde Asennetaan SP-palvelimelle ja integroituu osaksi Shibboleth SP:ia DiscoJuice Palvelua isännöi Uninett Voidaan asentaa myös paikallisesti Keskitetty metadatasyöte Metadata JSON-syötteellä 6
Mikä muuttuu? Luottamusverkoston keskitetty DS ei ole häviämässä. Sitä tarvitaan vielä pitkään. Tunnistuslähteen päättely tapahtuu enenevästi SP:n päässä Palvelun on ilmoitettava discovery response osoite metadataan, mikäli suunnittelee käyttävänsä keskitettyä DS-palvelua (SAML 2.0 Interoperable profile v0.2) Jatkossa Hakan DS tarkistaa DS-URL:n, Virtun DS tarkistaa sen jo MDUI-elementit EduGain MDUI-Elementit SAML V2.0 Metadata Extensions for Login and Discovery User Interface Version 1.0 Parantavat käyttöliittymää tuomalla näkyväksi, mihin palveluun ollaan kirjautumassa Korvaavat perinteisiä metadataelementtejä tarkemmin määritellyillä merkityksillä Yhtenäistetään kuvauskenttiä Lisävinkkejä DS:lle käyttäjän kotiorganisaation ehdottamiseen 7
<Extensions> <mdui:uiinfo> <mdui:displayname> <mdui:description> <mdui:keywords> <mdui:privacystatementurl> <mdui:informationurl> <mdui:logo> <mdui:discohints> <mdui:iphint> <mdui:domainhint> <mdui:geolocationhint> MDUI-Elementit Logo Mahdollisimman neliönmuotoinen Vähän tekstiä Pitää näyttää hyvältä kutistettuna kokoon 50x50px Minimissään 300 px png Läpinäkyvä taustaväri Pitäisi näyttää hyvältä valkoisella ja 20% harmaalla pohjalla Pitäisi näyttää hyvältä pitkällä valintalistalla, jolla on paljon myös muita logoja 8
Tehtävälista Muna / Kana Ilman MDUI-tietoja ei synny parempaa käytettävyyttä Ilman tienraivaajia ei saada MDUI-tietoja 1. Täydennä MDUI-tiedot DisplayName Description Keywords PrivacyStatementURL InformationURL Logo 2. Täydennä Discovery Responce Service URL http://dy.fi/old 9