Federacja:Atrybuty
W procesie logowania federacyjnego następuje przekazanie tzw. atrybutów czyli informacji na temat użytkownika. Ta kwestia bardzo istotnie dotyczy prywatności użytkownika. Question poświęconym RODO poświęciliśmy dedykowaną stronę na portalu PIONIER.Id
Podstawową zasadą przy przekazywaniu atrybutów powinna być minimalizacja informacji, co nie oznacza, że należy blokować informacje do usług, które mają uzasadnione potrzeby.
Teoretycznie każdy administrator IdP może samodzielnie ustalać polityki atrybutów dla konkretnych usług, ale obecnie w eduGAIN jest prawie 3500 usług, więc doglądanie ustawień per usługa jest niewykonalne.
Każdy usługodawca może deklarować w swoich metadanych zakres danych, które są mu niezbędne. IdP nie powinno jednak bezkrytycznie ufać tej informacji. Poniżej opisujemy rozwiązania, które naszym zdaniem maksymalnie ograniczają ryzyko i pracochłonność, należy jednak pamiętać, że ostateczna odpowiedzialność za stosowanie konkretnego podejścia spada na administratora IdP.
Oznaczanie oczekiwanego zakresu danych w metadanych usługi może być realizowane na dwa sposoby:
- wymienienie listy oczekiwanych atrybutów
- zadeklarowanie kategorii usługodawcy, która definiuje listę atrybutów
Określenie kategorii usługodawcy realizuje się przez dodanie atrybuty entityCategory o wartości wskazującej na daną kategorię. Szczegółowy opis co dana kategoria oznacza znajduje się w odpowiedniej specyfikacji powiązanej z kategorią. Może się zdążyć, że w atrybutach będą się pojawiały kategorie stosowane wyłącznie w obrębie jakieś federacji krajowej, a zatem kategorie, których IdP nie rozpoznaje będą po prostu pomijane.
eduGAIN proponuje rozwiązania ułatwiające zarządzane tym problemem, które polegają na znakowaniu metadanych usługodawców