Mikä on Discovery Service?
1/16/2012 IdP discoveryn uudet mahdollisuudet Hakassa Mikä on Discovery Service? Määritelty Oasis-spesifikaatiolla: – Identity Provider Discovery Service Protocol and Profile Tunnistaminen käynnistyy palvelusta (SP). Sen pitäisi ohjata käyttäjä kotiorganisaationsa tunnistuspalveluun Palvelu ei voi tietää, mikä käyttäjän kotiorganisaatio on 1 1/16/2012 Mikä on Discovery Service? 1. 2. 3. Palvelu ohjaa käyttäjän tunnistuslähteen päättelypalveluun (nyk. DS, ent. WAYF – Where Are You From) DS palauttaa palvelulle käyttäjän kertoman tunnistuslähteen EntityId:n Palvelu ohjaa käyttäjän edelleen käyttäjän valitseman tunnistuspalvelun päätepisteeseen tarkistettuaan sen metadatasta Tieto välitetään käyttäjän selaimessa uudelleenohjauksilla IdP 3 SP 2 1 Disco Hakan graafinen ohjeistus http://www.csc.fi/hallinto/haka/ohjeet/ohjeet-yllapitajille/logo Luodaan käyttäjille tuttu ilme Haka suojattuihin palveluihin Helpotetaan sivustosuunnittelua Parannetaan Hakaluottamusverkoston tunnettavuutta 2 1/16/2012 DS, ongelma? DS saattaa olla ensimmäinen kirjautumiseen liittyvä tapahtuma, jonka käyttäjä näkee Käyttäjä saattaa muodostaa ensivaikutelmansa palvelusta DS:n perusteella Kirjautumisen työvaiheissa käyttöliittymän ulkoasu saattaa vaihtua joka askeleella Palvelua ehkä halutaan tarjota vain muutamalle kotiorganisaatiolle, mutta DS listaa ne kaikki Käyttäjä ei ehkä tunne luottamusverkoston merkitystä ja DS:n suhdetta kirjautumisprosessiin Palvelussa saattaa olla liitoksia useisiin federaatioihin ja muihin tunnistuspalveluihin Joissakin federaatioissa tunnistuslähteitä voi olla paljon Moniportainen DS https://moodle.utu.fi/ 3 1/16/2012 Moniportainen DS Vaihtoehtoja keskitetylle DS-palvelulle SP-initiated (Shibboleth Session Initiator Mechanism) IdP-initiated authentication (unsolicited SSO) Embedded Disco 4 1/16/2012 SP-initiated https://testsp.funet.fi/Shibboleth.sso/Login?entityID=https://testidp.funet.fi/id p/shibboleth&target=https://testsp.funet.fi/attribute-test/ 1. https://testsp.funet.fi/ 2. Shibboleth.sso/Login 3. entityID=https://testidp.funet.fi/idp/shibboleth 4. target=https://testsp.funet.fi/attribute-test/ IdP-initiated https://testidp.funet.fi/idp/profile/SAML2/Unsolicited/SSO?providerId=https:// testsp.funet.fi/shibboleth&target=https://testsp.funet.fi/attribute-test/ 1. https://testidp.funet.fi/ 2. idp/profile/SAML2/Unsolicited/SSO 3. providerId=https://testsp.funet.fi/shibboleth 4. target=https://testsp.funet.fi/attribute-test/ 5 1/16/2012 Embedded Discovery Service JavaScript-tiedostoja, joilla DS voidaan upottaa esim. palvelun etusivulle Tuki metadatan MDUI-elementeille Voidaan määritellä ulkoasultaan osaksi palvelua Käyttäjä siirtyy saumatta palvelusta päättelypalveluun ja edelleen tunnistuslähteeseen Embedded Discovery Service Shibboleth Embedded Discovery Service (EDS) – Luettelee vain ne tunnistuslähteet, joihin palvelulla on luottosuhde – Asennetaan SP-palvelimelle ja integroituu osaksi Shibboleth SP:ia DiscoJuice – – – – Palvelua isännöi Uninett Voidaan asentaa myös paikallisesti Keskitetty metadatasyöte Metadata JSON-syötteellä 6 1/16/2012 Mikä muuttuu? Luottamusverkoston keskitetty DS ei ole häviämässä. Sitä tarvitaan vielä pitkään. Tunnistuslähteen päättely tapahtuu enenevästi SP:n päässä Palvelun on ilmoitettava discovery response – osoite metadataan, mikäli suunnittelee käyttävänsä keskitettyä DS-palvelua (SAML 2.0 Interoperable profile v0.2) – Jatkossa Hakan DS tarkistaa DS-URL:n, Virtun DS tarkistaa sen jo MDUI-elementit EduGain MDUI-Elementit SAML V2.0 Metadata Extensions for Login and Discovery User Interface Version 1.0 Parantavat käyttöliittymää tuomalla näkyväksi, mihin palveluun ollaan kirjautumassa Korvaavat perinteisiä metadataelementtejä tarkemmin määritellyillä merkityksillä Yhtenäistetään kuvauskenttiä Lisävinkkejä DS:lle käyttäjän kotiorganisaation ehdottamiseen 7 1/16/2012 MDUI-Elementit <Extensions> – <mdui:UIInfo> <mdui:DisplayName> <mdui:Description> <mdui:Keywords> <mdui:PrivacyStatementURL> <mdui:InformationURL> <mdui:Logo> – <mdui:DiscoHints> <mdui:IPHint> <mdui:DomainHint> <mdui:GeolocationHint> Logo Mahdollisimman neliönmuotoinen Vähän tekstiä Pitää näyttää hyvältä kutistettuna kokoon 50x50px Minimissään 300 px png Läpinäkyvä taustaväri Pitäisi näyttää hyvältä valkoisella ja 20% harmaalla pohjalla Pitäisi näyttää hyvältä pitkällä valintalistalla, jolla on paljon myös muita logoja 8 1/16/2012 Tehtävälista Muna / Kana – Ilman MDUI-tietoja ei synny parempaa käytettävyyttä – Ilman tienraivaajia ei saada MDUI-tietoja 1. Täydennä MDUI-tiedot – – – – – – 2. DisplayName Description Keywords PrivacyStatementURL InformationURL Logo Täydennä Discovery Responce Service URL http://dy.fi/old 9
© Copyright 2024