Haka tekninen ryhmä – 10.9.2015 – Agenda

View Github Repository Open presentation in a new window

klaalo

See all presentation from klaalo

Haka tekninen ryhmä – 10.9.2015 – Agenda

0 0

Haka-reveal

Repository for Haka slides

On Github klaalo / Haka-reveal

Haka tekninen ryhmä

10.9.2015

Kari Laalo / Keijo Korte / Sami Silén

Tallentaminen

Kokous tallennetaan läsnäolijoiden toteamisen ja muistion kirjaamisen tueksi. Tallennetta ei julkaista ja se poistetaan käyttötarkoituksen toteuduttua.

Agenda

  • Järjestäytyminen
  • FunetEduPersonSkeema
  • SHA2:een siirtyminen
  • Muuta
    • Kirjautumistilastojen kehittäminen

Yleistä aikatauluasiaa

  • Shibboleth IdPv2 tuki päättyy 31.6.2016
  • Shibboleth IdPv3 käyttöönotto workshop järjestetään Maanantaina 2.11.2015

FunetEduPerson-skeeman päivittäminen

Haka-ohjausryhmän 1/2013 aloitteesta käynnistyi päivitystyö ensisijaisena tavoitteena tutkijastatuksen tunnistaminen. Myös muuta päivitystarvetta oli jo tunnistettu

Päivityksen taustaa

  • Tutkijastatuksen tunnistaminen
  • Nimiattribuuttien yhtenäistäminen
  • Taustaskeemojen päivitykset
    • eduPerson
    • schac
  • Uudet attribuuttitarpeet
    • Oppijatunniste
    • Orcid

Työnkulku

Haka-operaattori (CSC) valmistelee skeemaluonnoksen teknisen ryhmän käsiteltäväksi Tekninen ryhmä laatii päätösehdotuksen ohjausryhmää varten Haka-ohjausryhmä päättää uuden skeeman käyttöönotosta Hakassa

Seuraava Haka-ohjausryhmän kokous on 2.10.2015.

Tapahtunut

  • 24.10.2013 wikissä draftin ensimmäinen revisio (current v.83)
  • 12.12.2013 Teknisen ryhmän Kick-off
  • Useita IAM-ryhmän tapaamisia
  • Mikael Linden schac-toimituskunnassa
  • schac-skeemasta saatiin päivitys keväällä 2015
  • eduPerson versiopäivitys

Mikä muuttuu?

ChangeLog: https://confluence.csc.fi/x/fQ0lAg

Draft-dokumentissä muutokset värjätty sinisellä

eduPersonAffiliation

Tutkijastatuksen tunnistaminen: arvo FACULTY määriteltävä, milloin mahdollista

Huomaa myös eduPerson-skeeman muutos: member-arvo asetettava tietyissä tilanteissa

Nimiattribuuttimuutokset

Kansainvälisesti paremmin yhteensopiva semantiikka

Nimiattribuuttimuutokset

Muutos ei ole taaksepäin yhteensopiva aiempien skeemaversioiden kanssa

Uudet attribuutit

Vain olennaisimmat lueteltu. Muiden osalta, katso changeLog

  • funetEduPersonLearnerId
  • eduPersonOrcid
  • Julkisen sektorin skeemasta (The Finnish Public Sector Attribute Profile):
    • electronicIdentificationNumber
    • nationalIdentificationNumber

Viimehetken muutos

Operoinnin tietoon saatettiin, että koulutusohjelmakoodistoa ei enää ylläpidetä. Vähintään funetEduPersonProgram -attribuutin sanasto on täydennettävä, tai mahdollisesti koko attribuutin käyttötarvetta on harkittava.

Operaattorilla ei vielä ole ratkaisuehdotusta.

Käyttöönotto

Operaattori esittää

  • Esitellään käyttöönotettavaksi ohjausryhmän kokoukselle 3/2015
  • Käyttöönottopäivä 4.1.2016
  • Käyttöönottopäivän jälkeen 2.2 aiemmat versiot katsotaan vanhentuneeksi
  • Ohjausryhmä 2/2015 suositti etupainotteista käyttöönottoa siellä, missä mahdollista

SHA2:een siirtyminen

Miksi siirtyä käyttämään SHA2-allekirjoitusalgoritmeja HTTPS-liikenteessä

  • SHA1-allekirjoitusalgoritmi on 20 vuotta vanha ja se on todettu haavoittuvaiseksi
  • Modernien selainten antamat virheilmoitukset
  • Vältetään käyttäjien ylimääräiset yhteydenotot helpdeskiin
  • "Se miltä Haka-kirjautuminen näyttää ulospäin"

Miten siirtyä käyttämään SHA2-algoritmeja

  • Tarkistettava mikä hajautusalgoritmi on käytössä esimerkiksi: SSLLABSin sivuilta
  • Pyydettävä uusi varmenne CA:lta
    • Osa varmentajista suostuu allekirjoittamaan vanhat, olemassa olevat varmenteet uudelleen uudella algoritmillä
  • Konfiguroitava https-palvelin käyttämään uutta varmenetta

Aikataulu

  • Google Chrome varoittaa(1) varmenteista jotka ovat voimassa > 1.1.2016
    • Varmenteet jotka ovat voimassa > 1.1.2017 aiheuttavat "Palvelimen varmenne ei ole luotettu" -sivun esittämisen
  • Mozilla Firefox lopettaa kokonaan tuen SHA1-algoritmille 1/2017, käytännössä varoittaa jo nyt samalla tavalla kuin Chrome
  • Micorsoft lopettaa tuen SHA1-algoritmille websivuissa 1/2017, käytännössä jo ensi vuonna

SAML-viestien allekirjoitukset

  • Shibboleth IdPv2 ei pysty tuottamaan SHA2-allekirjoitettuja autentikaatiovastauksia
    • Tuki SHA2:lle saatavissa erillisellä laajennoksella
  • Shibboleth SP versiot 2.4.3 & 2.5.x pystyvät muodostamaan SHA2-allekirjoitettuja autentikaatiopyyntöjä. Vaatii pienen konfiguraatiomuutoksen

Operaattori esittää

HTTPS-varmenteet uusitaan mahdollisimman nopeasti, mutta viimeistään vuoden 2016 toisella vuosineljänneksellä

SAML-viestien SHA2 allekirjotukset synkronoidaan IdPv3 käyttöönoton kanssa, mutta viimeistään vuoden 2016 toisella vuosineljänneksellä

Lisätietoja ja linkkejä

Comodon selvitys

Infoworld -artikkeli

Mozillan ilmoitus

Googlen ilmoitus

Muuta

Kirjautumistilastojen kehittäminen

Kirjautumistilastot nousevat usein esiin kehitystöiden joukosta. Monet federaatiot ovat toteuttaneet omia työkalujaan ja tämä herättää aina keskustelua.

Kirjautumistilastot nyt

Kirjautumistilastojen tulevaisuus

Federaatiorintamalla on ollut puhetta keskitetystä statistiikka-palvelusta joka tuo kolmannen kehityssuunnan mukanaan julkisuus kysymyksen.

Kehitetään nykyistä statistiikkatyökalua Tutustutaan muiden federaatioiden tuotteisiin, esim: Osallistutaan keskitettyyn palveluun
  • Ovatko statistiikat julkista tietoa?
Haka tekninen ryhmä 10.9.2015 Kari Laalo / Keijo Korte / Sami Silén