Login Login

Słownik pojęć

Z MAN-HA wiki

Poniżej prezentujemy zestaw najczęściej spotykanych pojęć. W większości przypadków staramy się znajdować/tworzyć polskie odpowiedniki nazw angielskich, ale na liście umieszczamy również angielskie oryginały, ze względu na to, że większość dokumentacji na świecie powstaje właśnie po angielsku.

Asercja SAML
Komunikat przekazywany przez IdP (lub Attribute Authority) do SP będący potwierdzeniem statusu użytkownika. Asercje SAML mogą zawierać trzy rodzaje stwierdzeń:
  • potwierdzenia uwierzytelnienia (authentication statements)
  • informacje o atrybutach (attribute statements)
  • potwierdzenia uprawnień (authorization decission statements)
Autoryzacja (Authorization - AuthZ)
Nie mylić z Uwierzytelnieniem! Proces weryfikacji uprawnień użytkownika do korzystania z usługi bądź jej elementów.
Atrybut
TODO
Dostawca Usługi
W zależności od kontekstu:
  • Instytucja dostarczająca usługę świadczoną drogą elektroniczną, korzystająca z mechanizmów logowania federacyjnego;
  • Instalacja usługi elektronicznej, korzystająca z mechanizmów logowania federacyjnego.
Code of Conduct (CoC)
patrz Kodeks postępowania
Consent
patrz Wyrażenie zgody
Członek PIONIER.Id
Instytucja akademicka lub naukowa, które zadeklarowała chęć przystąpienia do federacji PIONIER.Id i zaakceptowała Regulamin PIONIER.Id.
Discovery Service
Usługa zapewniająca użytkownikowi wybór instytucji, za pośrednictwem której zamierza się uwierzytelnić. Taka usługa bywa również nazywana Where-Are-You-From (WAYF).
eduGAIN
Konfederacja (federacja federacji) zbudowana w ramach projektu GEANT obejmująca swoim zasięgiem cały świat. Założeniem eduGAIN jest uproszczenie procedur rejestracyjnych. W tym modelu Dostawca Usługi przystępujący do jednej z federacji skupionych w eduGAIN może być automatycznie widoczny w pozostałych federacjach.Więcej na stronach eduGAIN
Encja
Obiekt języka XML opisujący IdP lub SP
Entity
patrz #entity_pl Encja
Hub & Spoke Federation
Federacja oparta na modelu scentralizowanym, w którym cała komunikacja uwierzytelniająca i autoryzacyjne przechodzi przez centralny serwer (hub). W tym modelu wszystkie SP i IdP konfigurują tylko jeden punkt uwierzytelniania - hub Federacji. Hub realizuje politykę udostępniania atrybutów konfigurowaną przez administratorów poszczególnych IdP.
Identyfikator pseudoanomimowy
Token przekazany SP przez IdP przypisany na stałe danemu użytkownikowi. Wartość identyfikatora generowana dla różnych SP powinna być różna. Algorytm generujący identyfikator na podstawie rzeczywistej tożsamości użytkownika powinien być odporny na ataki typu brute-force. Identyfikatory różnych użytkowników generowane dla jednego SP muszą być różne. SP korzystając z identyfikatorów pseudoanonimowych musi je łączyć z identyfikatorem IdP, na wypadek gdyby dwa IdP przesłały identyczne wartości identyfikatorów.
IdP - Identity Provider
patrz Instytucja uwierzytelniająca.
Instytucja uwierzytelniająca (IdP)
W zależności od kontekstu:
  • instytucja, która umożliwia swoim użytkownikom logowanie do usług oferowanych przez Federację;
  • instalacja serwera uwierzytelniającego użytkowników.
W trakcie procesu logowania do usługi, użytkownicy są przekierowywani na stronę IdP, gdzie wprowadzają swoje dane logowania. IdP przekazuje zalogowanego użytkownika do usługi, jednocześnie przesyłając pewien zestaw danych o użytkowniku.
Kategorie obiektów (Entity categories)
Pojęcie ułatwiające przede wszystkim zarządzanie polityką udostępniania atrybutów poprzez zadeklarowanie, że SP dotrzymuje warunków przewidzianych w definicji danej kategori; przynależność do danej kategorii deklaruje się przy pomocy atrubutu http://macedir.org/entity-category; IdP mogą korzystać z informacji o przynależności SP do danej kategorii i automatycznie udostępniać oczekiwane atrybuty; kategorie obiektów mogą być również deklarowane przez IdP w celu przekazania informacji usługodawcom; nadanie danej kategorii konkretnemu obiektowi jest kontrolowane przez Federację.
Kodeks postępowania (Code of Conduct - CoC)
Kategoria obiektów określająca SP, które gwarantują odpowiedni poziom obsługi atrybutów zgodny z europejskimi wytycznymi ochrony danych osobowych; w przypadku SP deklarujących CoC,automatyczne udostępnianie atrubutów może być realizowane bez ryzyka naruszenia przepisów ochrony danych osobowych
Metadane
Opis techniczny Dostawcy Usługi lub Dostawcy Tożsamości pozwalający na realizację
Mesh Federation
Federacja oparta ma modelu rozproszonym, w którym komunikacja uwierzytelniająca i autoryzacyjna odbywa się bezpośrednio między IdP i SP. W tym modelu rola federacji ogranicza się do kwestii formalnych oraz utrzymywania zaufanego punktu dystrybucji metadanych. Jest to model przyjęty przez PIONIER.Id.
OASIS
Organization for the Advancement of Structured Information Standards - organizacja tworząca otwarte standardy służące interoperacyjności, wykorzystujące potencjał języka SGML. Jednym ze standardów OASIS jest SAML będący podstawą akademickich federacji zarządzania tożsamością.
OAuth
otwarta technologia autoryzacji rozwijana w ramach IETF
OpenId
Technologia uwierzytelniania tworzona przez OpenID Foundation
Operator PIONIER.Id
PCSS jako operator sieci PIONIER
Partner PIONIER.Id
Instytucja, która zadeklarowała chęć świadczenia usług dla członków PIONIER.Id opartych o model federacyjnego zarządzania tożsamością i zaakceptowała Regulamin PIONIER.Id
REFEDS
REFEDS jest międzynarodową grupą roboczą pracującą nad najistotniejszymi tematami w zakresie zarządzania tożsamością w kontekście akademickich i naukowych federacji. Więcej na stronach REFEDS.
Regionalny Operator PIONIER.Id
Członek Konsorcjum PIONIER, który zadeklarował chęć reprezentowania PIONIER.Id względem instytucji będącymi abonentami właściwej sieci MAN.
SAML
Standard OASIS stworzony na potrzeby rozproszonego zarządzania tożsamością; powstał przy silnym współudziale Intrenet2 pracującego nad implementacją oprogramowanie Shibboleth
SAML Assertion
patrz. Asercja
SAML profile
Rozszerzenie standardowej definicji SAML doprecyzowujące jakieś konkretne zastosowania, np. na potrzeby Web SSO, albo definiujące słowniki atrybutów w celu osiągnięcia interoperacyjności.
saml2int
Interoperable SAML 2.0 Profile - profil SAML stworzony przez akademickie federacje zarządzania tożsamością mający na celu znaczące doprecyzowanie formatu i znaczenia informacji zawartej zarówno w metadanych, jak i asercjach SAML, uwzględniający typowe potrzeby Web SSO. saml2int jest wspierany przez większość federacji akademickich i jest podstawą interoperacyjności w ramach eduGAIN. Strona domowa saml2int.
simpleSAMLphp
Lekka Implementacja SAML i kilku innych protokołów (np. OpenId) autorstwa UNINET napisana w całości w PHP. Ogromną zaletą tej implementacji jest łatwość wdrożenia i konfiguracji oraz interoperacyjność wielu protokołów. Więcej: strona domowa projketu simpleSAMLphp, [[[Federacja:SimpleSAMLphp|opis konfiguracji IdP]], opis konfiguracji SP.
Shibboleth
Prawdopodobnie najbardziej znana implementacja SAML stworzona przez Internet2. Z uwagi na swoją popularność nazwa Shibboleth jest często używana jako synonim federacyjnego zarządzania tożsamością. Więcej: strona domowa projektu Sibboleth, opis konfiguracji IdP, opis konfiguracji SP.
Single-Sign-In (SSO)
Naturalna konsekwencja modelu Federacyjnego polegająca na tym że zalogowanie w jednej aplikacji pociąga za sobą zalogowanie we wszystkich dostępnych dla danego użytkownika.
Single-Sign-Out
Proces odwrotny do jednokrotnego zalogowania, powodujący wylogowanie ze wszystkich usług dostępnych dla danego użytkownika. Realizacja Single-Sign-Out jest złożonym procesem i na ogół nie jest doskonała.
SP - Service Provider
patrz Dostawca Usługi.
SP Proxy
Serwer pośredni pozwalający zmniejszyć złożoność konfiguracji Dostawców Usług poprzez przejęcie procesów odszukiwania partnerów uwierzytelniania.
Trust
patrz Zaufanie.
Uwierzytelnienie (Authentication - AuthN)
Proces weryfikacji tożsamości użytkownika.
Użytkownik końcowy PIONIER.Id
Użytkownikami końcowymi Usługi Federacji PIONIER.Id są osoby fizyczne, których tożsamością elektroniczna zarządzają Dostawcy Tożsamości. Każdy Użytkownik końcowy musi być identyfikowany przez co najmniej jednego członka PIONIER.Id (Dostawcę Tożsamości).
WAYF
TODO
WAYF-less URL
URL Dostawcy Usługi zawierający informację i IdP, którego należy użyć do uwierzytelnienia. Jest to bardzo wygodny mechanizm pozwalający Instytucjom Uwierzytelniającym za umieszczanie katalogu usług z bezpośrednim wejściem. Użytkownik zalogowany w SSO uzyskuje za pomocą takiego URL natychmiastowy dostęp bez potrzeby wybierania i zatwierdzania IdP.
Wyrażenie zgody (Consent)
W kontekście logowania federacyjnego, zgoda użytkownika na przekazanie dotyczących go atrybutów do Dostawcy Usługi.
Zaufanie
Podstawa działania federacyjnego zarządzania tożsamością, zgodnie z którą Dostawca Usługi dopuszcza korzystanie z usługi przez użytkownika, który został uwierzytelniony w innej instytucji. Typowym modelem zaufania jest tzw. Zaufana Trzecia Strona (Trusted Third Party. Rolę tej zaufanej strony pełni operator Federacji.