Virtuális szervezetek SAML föderációban
Szabó Gyula
<>
NIIF Intézet
Csoportkezelés webes szolgáltatásokban
Ha a szolgáltatásokon belül a felhasználókat csoportokba kell szervezni, a szolgáltatás felelősére adminisztrációs terhek rakódnak. A kérés valódiságát ellenőriznie kell, a kért felhasználót a csoportba kell raknia. A kiosztott jogok megvonása szervezési szinten szintén bonyolult, szembetűnő kockázatokkal jár, ha nem időben, vagy egyáltalán nem történik meg.
Egy azonosítási szövetségben előbb utóbb felmerül az igény egy Attribute Authority-re, ahol központi helyen lehet kezelni a szolgáltatások számára szükséges csoport tagság és egyéb olyan információkat, amiket az IdP-k nem vállalhatnak fel.
Segítségével a projektek vezetői szabadon hozhatnak létre virtuális szervezeteket, amikbe - email-es meghívók segítségével - tagokat toborozhatnak. A tagokat a projekben vázolt szerepkörökbe helyezhetik, és a szerepköreik által meghatározott szolgáltatások jogosultságait adhatják nekik.
A szolgáltatások felelősei szolgáltatásaikat regisztrálják a VO rendszerbe, és definiálják a szolgáltatások által felhasznált csoport vagy jogosultság azonosítókat. A jogosultságokat csomagokba foghatják össze, és ezen csomagokat kiajánlhatják egy-egy virtuális szervezet részére.
Az alkalmazásban gondoskodnak arról, hogy a VO felől érkező felhasználók, a magukkal hozott csoport vagy jogosultság azonosítókat az alkalmazás felhasználja. Ez általában egy azonosító mapping segítségével érhető el. Ezen értékekkel dinamikusan frissítve a lokális felhasználói adatbázist elérjük, hogy a felhasználók naprakészen mindig olyan jogosultságokkal rendelkezzen, amit a projekt vezetői valamint a szolgáltatás felelőse megállapít.
Független szolgáltatás felelősök, független projekt vezetők
A szolgáltatás felelősei ezáltal mentesülnek a felhasználó adminisztrációtól, elég csak a szolgáltatás jogosultság rendszerét karbantartaniuk, valamint meghatározni, hogy mely virtuális szervezetnek milyen jogosultságokat ajánl ki.
Ha egy virtuális szervezet szerepköreiben, tagságában változás történik, nem kell a projekt vezetőknek a hozzá kapcsolódó minden egyes szolgáltatás felelősét megkeresni, hogy a változásokat érvényre juttassa és visszaellenőrizze, elég csak a VO szervezetben végrehajtani a változtatásokat, mert ezzel érvényre juttatja a kapcsolódó szolgáltatások lokális felhasználói adatbázisaiban a jogosultságok változását.
Előadásomban áttekintést nyújtok az NIIF-ben üzemelő VO rendszer állapotáról, illesztett szolgáltatásairól.