Hakan teknisiä kuulumisia Haka-käyttäjien kokoontuminen 20.1.2009 Arto Tuomi CSC Tieteen tietotekniikan keskus
SAML2 siirtymä 1.12.2008 Uudet Hakaan rekisteröitävät palvelut (SP) tukevat SAML 2.0 -tekniikkaa Tänään 1.12.2009 Myös vanhat Haka-palvelut on päivitetty SAML 2.0:aan Kaikki Hakaan rekisteröidyt SP:t päivitetty 31.12.2010 Hakaan rekisteröidyt Identity Provider (IdP) palvelimet tukevat SAML 2.0 tekniikkaa Kaikki Hakaan rekisteröidyt IdP:t päivitetty Aikataulu sovittu kaikille jäsenille avoimessa Hakan teknisen ryhmän kokouksessa 21.8.2008
Mitä saavutetaan SAML2-päivityksellä Yhteensopivuus muiden luottamusverkostojen kanssa Virtu, Kalmar Yhteensopivuus eri SAML2-toteutusten kanssa Novell, Sun, Oracle, Ping, Ubisecure Yhteensopivuus uusien sovellusten kanssa Travel Osa normaalia evoluutiota SAML1.1 SAML2 Lopullinen Hakan SAML2-profiili on vielä auki Shibboleth tukee laajaa valikoimaa SAML2 ominaisuuksia, joten ei kiirettä lyödä lukkoon Suurin mahdollinen yhteensopivuus tavoitteena
Logout Nykyään käytössä yksinkertainen kotitekoinen toteutus Hakalogout Ei tue useasta palvelusta samanaikaisesti uloskirjautumista Korvautuu SAML2 SLO:lla Shibboleth 2 SP tukee Shibboleth 2 IdP seuraavassa versiossa 2.2 Monet muut toteutukset tukevat Tukeminen sovelluksissa voi olla haasteellista Mikäli kaikki logout-ketjun osat eivät toimi halutusti, voi seurata ongelmia Selaimen sulkeminen säilynee suositeltavana toteutuksena
Shibbolethilla SAML2:een Shibboleth nyt versiossa 2.1 Voi suositella käytettäväksi 2.2 roadmap Shibboleth Wikissä Kohtuullisen paljon muutoksia tukitoimintoihin Ei kuitenkaan muutoksia protokollaan tai yhteensopivuuteen kuin korkeintaan uusilla ominaisuuksilla (esim. IdP logout) Asennus tukee oletuksena samanaikaisesti Shibboleth 1.3 ja SAML2 Palveluosoitteet muuttuvat, joten siirrossa katkoja tai järjestelyitä
SP:n päivittäminen SAML2 aikaan 1.3 2 Konfiguraatiotiedostot muuttuneet, joten varauduttava niiden tarkistamiseen Palveluosoitteet pysyvät samoina Uudet protokollat voi lisätä metadataan myöhemmin
IdP:n päivittäminen SAML2 aikaan Kokonaan uusi IdP Entityid uusiksi Rekisteröidään uutena IdP:nä metadataan, voi olla samaan aikaan vanhan kanssa Vaihdetaan WAYF/DS osoittamaan uuteen sovittuna ajankohtana Ongelmat Palvelut, jotka ohjaavat suoraan IdP:iin (vain 20% käyttäjistä menee WAYF/DS:n kautta)
IdP:n päivittäminen SAML2 aikaan Samalle entityid:lle IdP2 Vaihdetaan metadatassa IdP:n vanhan entityid:n alle tiedot Ongelmat Katkoja ennen kuin kaikki SP:t päivittäneet metadatansa Palvelut, jotka eivät käytä WAYF/DS:ia muutokseen ja käyttävät SSOpalvelun osoitteita ohjaamiseen saatava mukaan
IdP:n päivittäminen SAML2 aikaan Samalle entityid:lle IdP2 Vaihdetaan metadatassa IdP:n vanhan entityid:n alle tiedot Ohjataan vanhoja osoitteita käyttävät uudelle Ei katkoa riippumatta SP:n käyttämästä metadatasta Ongelmat Lisätyötä Osattava tehdä oikeanlainen ohjaus Jääkö johonkin SP:iin vanhat tiedot
Muulla kuin Shibbolethilla Hakaan Perinteiset käyttötapaukset ja historia eroavat Shibbolethin ja monen kaupallisen tuotteen välillä Eroja suunnittelun lähtokohdissa Shibboleth alusta asti: monta IdP:ia ja monta 2 SP:ia Protokollatasolla yhteensopivuus hyvä Erot ylläpidossa ja hallinnassa Mahdollista, mutta kannattaa testata kunnolla ja miettiä ylläpito Hakan palvelut elävät koko ajan (metadatat, attribuutit jne.), joten ylläpidon oltava helppoa (automaattista) SimpleSAMLphp Lupaava, lähes valmis Hakaan http://rnd.feide.no/simplesamlphp
Attribuuttien siirron hyväksyntä SWITCH:n kehittämä UApprove Lupa attribuuttien siirtoon kysytään vain ensimmäisellä kerralla Uudelleen mikäli siirrettävissä attribuuteissa tapahtuu muutoksia Omat sisäiset palvelun voidaan mustalistata, jolloin niihin siirtämisessä ei kysellä lupaa
Attribuuttien siirron hyväksyntä UApproven käytöllä voi myös tulevaisuudessa helpottaa attribuuttisääntöjen ylläpitoa SP:den tarvitsemat attribuutit metadataan IdP:ssä tehdään attrbuuttifiltteri, joka sallii attribuuttien luovutuksen metadatan mukaisesti IdP-ylläpidon ei tarvitse ylläpitää attribuuttifiltteriä Attribuuttiluovutusmuutokset voimassa heti metadatan mukaisesti
Attribuuttien siirron hyväksyntä Käyttöönotto varsin suoraviivaista Java-sovellus Tukee sekä Shibbolethin omia että REMOTE_USER-pohjaisia käyttäjätunnistuksia Ulkoasun muokkaaminen Vaatii tietokannan (ihan pienet IdP:t selviävät tekstitiedostolla) Tietokanta tarvitaan IdP:ssä kuitenkin persistent-id:n tallentamiseen Käännös suomeksi ja englanniksi löytyy Ruotsi puuttuu, vapaaehtoisia?
Koulutusta Tarvetta koulutukselle Shibbolethin asennuksesta ja käytöstä? Täyttäkää kyselylomakkeeseen arvio tarpeesta Keväälle ehtisi vielä huhtikuusta kesäkuun alkuun Kaikkea tekniikasta voi kysyä haka@csc.fi