Protokolų naudojimas

LITNET FEDI infrastruktūroje autentifikavimo ir autorizacijos informacijai perduoti yra naudojami šie SAML2 protokolo profiliai:

• Web Browser SSO profilis;
• Identity Provider Discovery Service profilis.

Visos LITNET FEDI infrastruktūroje vykdomos komunikavimo operacijos turi atitikti profilį Interoperable SAML 2.0 Profile

Reikalavimai metaduomenims

Bendri reikalavimai IdP ir SP

• Turi būti palaikomi Name Identifier formatai
  • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
• Atributų pavadinimų formato NameFormat reikšmė turi būti urn:oasis:names:tc:SAML:2.0:attrname-format:uri.
• Visų atributų pavadinimams sudaryti yra naudojami šie XML atributai:
  • atributas Name, priskiriant jam Object Identifier reikšmę,
  • rekomenduojama atributas FriendlyName.
• Visiems mdui ir md elementams turi būti nurodyta:
  • Privaloma nurodyti anglišką informaciją, xml:lang="en",
  • Rekomenduojama nurodyti lietuvių ir kitų palaikomų kalbų versijas.
• Metaduomenų pasirašymui naudojamas RSA raktas, mažiausiai 2048 bitų ilgio.
• Elementas <md:Organization> tinkamai aprašo instituciją, nurodant elementus OrganizationName, OrganizationDisplayName, OrganizationURL.
• Elementas <md:ContactPerson> turi aprašyti contactType=„technical“ ir/arba contactType=„support“ informaciją nurodant mažiausiai el. pašto adresą.
• Elementas <mdui:DisplayName> turi glaustai identifikuoti paslaugą.
• Elementas <mdui:Description> turi apibūdinti paslaugą, jos tikslą, neviršijant 140 simbolių.

Reikalavimai SP metaduomenims

• Elementas <mdui:PrivacyStatementURL> privalo nurodyti autentifikavimo nereikalaujančio puslapio URL, kuriame yra paslaugos privatumo politika. REFEDS gairės privatumo politikos kūrimui...
• Kiekvienam prašomam atributui privaloma nurodyti RequestedAttribute elementas.
• RequestedAttribute elementui privaloma nurodyti XML atributą isRequired, reikšmės true arba false.
• Jeigu SP reikalauja tam tikros (tam tikrų) atributo reikšmės(-ių), privaloma naudoti saml:AttributeValueelementus.
• Rekomenduojama nurodomas Entity Category atributą, nurodantį atitiktį su GÉANT reikalavimams http://www.geant.net/uri/dataprotection-code-of-conduct/v1.

Reikalavimai atributams

IdP privalo palaikyti šiuos atributus

• cn
• eduPersonPrincipalName
• eduPersonTargetedID
• schacHomeOrganization

Rekomenduojama palaikyti šiuos atributus

• eduPersonAffiliation
• eduPersonEntitlement
• eduPersonScopedAffiliation
• schacHomeOrganizationType
• givenName +sn (surname)
• displayName
• mail

Rekomenduojama be apribojimų perduoti šiuos atributus:

• eduPersonTargetedID
• schacHomeOrganization
• schacHomeOrganizationType
• eduPersonAffiliation

Reikalavimai atributų reikšmėms

Reikalavimai atributų žodynams reiškia, kad atributo reikšmės gali būti tik iš išvardintos reikšmių aibės ir konkreti reikšmė priskiriama tik esant įrašytai sąlygai

• Leidžiamos tokios atributo eduPersonAffiliation reikšmės:
• • member – asmuo, priklausantis institucijos akademinei bendruomenei. Įeina grupės faculty, student, employee, staff;
  • faculty – darbuotojas, vykdantis tyrimo arba mokymo veiklą
  • student - asmuo yra aktyvus studentas, dalyvaujantis studijų programose, klausantis kursų, turintis studijų sutartį su institucija
  • employee – asmuo, turintis darbo santykius (darbo sutartį) su institucija
  • staff – darbuotojas, nepriklausantis faculty grupei, aptarnaujantis, administracijos personalas
  • alum – asmuo, anksčiau turėjęs student statusą
  • affiliate – asmuo, turinis tam tikrų, formalių ar neformalių sąsajų su institucija, bet neturintis akademinės bendruomenės nario (member) statuso
  • library-walk-in – asmuo, turintis leidimą naudotis universiteto resursais, tokiais kaip biblioteka ir pan.
• schacHomeOrganizationType atitinka SCHAC Attribute Definitions for Individual Data  nustatytą žodyną