Thomas Lenggenhager
SAML2 Metadata Exchange & Tagging
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=53
Nykyisin muodostetaan yhä useampia kansallisia SAML:iiin perustuvia federaatioita. Thomasin puhe käsittele sitä kuinka muodostaa federaatioiden federaatioita.
Yksi käytännöllinen ratkaisu olisi suora SAML2.0:aan perustuva end-to-end kommunikointi jolloin entiteettien metadatassa olisi vain kaikki entiteetit joiden kanssa kommunikoidaan.
Nykyisin metadata jaetaan usein kuten Suomalaisessa Haka-federaatiossa, eli eri toimijat (SP ja IdP:t) antavat tietonsa federaation metadatan ylläpitäjälle.
Luottamus federaatiossa voidaan jakaa tekniseen ja sopimuksiin perustuvaan luottamukseen. Teknisen puolen tietoturvallisuus hoidetaan käyttämällä sopivia yhteyskäytäntöjä ja sopimuksiin perustuva luottamus sopimalla säännöistä federaatiossa.
Confederaatiossa federaatiot voisivat rekisteröidä omat tietonsa yhdelle
metada Aggregaattorille, jonka toimintoja olisi rekisteröinti, subscription, transform, merging, ja julkaisu. Käytännössä entiteetit voisivat näin valita haluamansa metadatan.
Metadatassa voidaan entiteetteihin liittää ylimääräinen tagi, jonka avulla voidaan entiteettejä suodattaa haluttujen kriteerien ja käyttötarpeen mukaan. Scott Cantor tehnyt esityksen SAML-protokollaan lisäykseksi.
Vaatimuksena confederaatioiden toiminnalle on yhteinen kaikkien osallistujien hyväksymä politiikka ja toimintamallit.
Kristof Bajnok
eduGAIN attributes
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=54
Edugain ylläpitää confederaatiota eli se yhdistää useita federaatioita toisiinsa. Toistaiseksi federaatioiden yhdistäminen on ollut monimutkaista koska federaatiot on toteutettu erilaisilla tekniikoilla. SAML2.0 on muuttamassa tilanteen selkeämmäksi.
Edugainissa on todettu suurimmiksi ongelmiksi erilaiset politiikat eri federaatioitden kesken ja on todettu näiden yhtenäistämisen vaikeus. Ongelmia voi tuottaa esim. federaatioiden käyttämät erilaiset attribuutit: eri nimet samoille attribuuteille, eri merkintätavat tai merkitykset samoille attribuuteille.
Ongelmaa voidaan helpottaa tietyin osin teknisesti muokkaamalla attribuutteja
eri rajapinnoissa tarpeen mukaan. Niitä voi muokata myös esim. Shibboleth 2
IdP:n attribute-filterin avulla. Tätä keinoa voidaan käyttää tilanteessa jossa samalle attribuutille käytetään eri nimeä. Attribuuttien muutosta ja filterointiä voi tehdä myös simpleSAMLphp:n modulilla.
Lisätietoa:
http://wiki.edugain.org/
Andreas Åkre Solberg
Everything you want to know about Global Logout
http://tnc2009.terena.org/schedule/presentations/show.php?pres_id=55
Alunperin http oli tilaton protokolla. Cookieiden myötä myös sessioiden
ylläpitäminen tuli mahdolliseksi. Normaalisti cookie sessiot toimivat vain yhden domainin sisällä. WebSSO tekee mahdolliseksi domainien välisen session.
Logoutin toteuttaminen on hankalaa. Se voidaan toteuttaa muutamalla eri tavalla.
-Paikallinen logout ei ole hyvä idea, koska käyttäjän tullessa takaisin SSO järjestelmä muodostaa uuden session.
-Paikallinen logout + Idp Logout ei sekään ole hyvä idea koska käyttäjän on hankala hahmottaa missä kaikissa SP:issä hänella on sessio.
-Single logout on muuten hyvä ratkaisu mutta sisältää joitain ratkaisemattomia ongelmia kuten miten toimitaan jos joku entitetti ei pysty jostain syystä tekemään logoutia jne.
Logout on mahdollista toteuttaa (ainakin SAML2.0) front-channelin tai back-channelin avulla. Front-channelin ongelmana on mahdolliset SP:n serverin ongelmatilanteet ja back-channelin ongelmat on siinä että on hankala päästä käsiksi cookieihin. Suuri single logoutin ongelma on myös se, kuinka käyttäjä saadaan ymmärtämään mitä on tapahtumassa.
Uninett on toteuttanut SLO:n front-channelin kautta siten että käyttäjälle näytetään mihin palveluihin hän on kirjautunut. Käyttäjälle annetaan mahdollisuus kirjautua ulos kaikista palveluista kerrallaan tai vain yhdestä. Mahdolliset SP:iden antamat palvelinvirheet voidaan hallita piilotettujen iFramien avulla. Toteutus on tehty käyttäen iFramea+ AJAX+simpleSAMLphp