OIO-it-arkitekturkomitémøde, 13. december 2007 Pkt. 1. Dagsorden ...

More documents

Recommendations

Info

I relation til WSRP og Web Services er dette et bevidst fravalg og således udenfor scope af profilen. Se svar til kommentar 8 og 39 for detaljer. Kommentar 42 Afgrænsning til point-to-point interaktion via https. Da udgangspunktet i arkitekturen er en point-to-point interaktion via https bliver det aktørernes (IDP, SP) opgave eksplicit at tage hånd om sessioner (cookie baseret), ID provider addresser, og Attribute server addresser, hvor de sidste to via deres implementering som web service kald jo kunne routes igennem en broker, hvis der altså indgik denne mulighed i arkitekturen. På samme måde skal aktørerne også selv bidrage til transaktionsstyring ved, som det foreslås,anvendelse af Assertion ID som transaktionsidentifier og logning af disse til auditformål. Igen opgaver som en brokerbaseret arkitektur kan håndtere - i brokeren. Styrelsens svar Styrelsen har ikke set det hensigtsmæssigt eller relevant at indføre en brokerbaseret arkitektur til Web Browser SSO scenariet, som DK-SAML profilen dækker. I senere profiler til identitetsbaserede web services kan dette dog blive en mulighed, som skal overvejes. Se iøvrigt svar til kommentar 8, 39 og 41. Kommentar 43 I afsnit 11.3.1 nævnes noget om at publicere meta data lokationer i DNS records som en option??? Styrelsens svar Publicering af meta datas lokation i DNS records er en af de mekanismer, der beskrives i OASIS SAML Meta Data specifikationen. Denne er dog ikke medtaget som et obligatorisk krav i DK-SAML profilen, da man meget vel kan tænke sig, at føderationer vil anvende andre mekanismer. Kommentar 44 Uklarhed omkring anvendelse af OCES virksomhedscertifikat eller lignende? Flere steder nævnes det at der skal anvendes OCES virksomhedscertifikat eller lignende ("or equivalent"). Styrelsens svar Den lidt løse formulering omkring OCES certifikater flere steder skyldes, at Styrelsen op til høringen overvejede, hvorvidt en ny type OCES certifikater (Funktionscertifikater) skulle kunne anvendes som trust mekanisme (udover Virksomhedscertifikater). Imidlertid er det efterfølgende blevet besluttet, at tage eksplicitte krav om OCES som trust mekanisme ud af profilen, men i forhold til den fællesoffentlige brugerstyringsorganisation må der forventes indførelse af en politik, som stiller krav om brug af OCES certifikater til signering og kryptering af meddelelser. Se i øvrigt svar til kommentar 32. Kommentar 45 Service Provider og IDP MUST forbindes via en SSL sikret linie med anvendelse af OCES Virksomhedscertifikat. Hvad menes der med "or equivalent" i afsnit 17 IT- og Telestyrelsen Side 17
7.1.3 side 31? Er alle service providers virksomheder, der har et virksomhedscertifikat? Hvad med undenlandkse service providers. Styrelsens svar Se svar til kommentar 32 og 44. Føderationer beslutter nu selv trust mekanismer, og kan i princippet godt inkludere udenlandske Service Providers. Kommentar 46 Afsnit 10.9 I starten (side 46) skrives at SP-Attr Servie Provider skal anvende OCES eller lignende. Senere i afsnittet (side 47 tredje sidste afsnit) skal (MUST) der anvendes et OCES virksomhedscertifikat. Styrelsens svar Se svar til kommentar 32 og 44-46. Kommentar 47 Afsnit 11.5.2 skrives det at OCES virksomhedscertifikatet "is generally mandatory", vil det sige overvejende, altså at undtagelser kan gøres. Styrelsens svar Se svar til kommentar 32 og 44-47. Kommentar 48 Mapning af pseudonym og subject ID hosService Provider. Afsnit 9.2 Mapningen mellem Persistent pseudonyme Attribute er det vel kun SP der skal mappe til det interne subject ID. Derfor ikke "Both Identity provider... and the mapping ....." sidste afsnit side 42. Styrelsens svar Det er et krav, at Identity Provideren genererer forskellige pseudonymer til forskellige Service Providere (for samme bruger), så disse ikke kan korollere oplysninger om brugerens identitet. Det, der ligger i den beskrevne formulering, er således, at Identity Provider vil have behov for at mappe fra brugerens interne identitet til det pseudonym, der skal anvendes til den pågældende Service Provider. Kommentar 49 Hvad er årsagen til at 'Transient pseudonym profile' ikke understøttes? Styrelsens svar Dette skyldes, at der ikke har været vurderet et stort behov for denne mekanisme indenfor profilens målgruppe og anvendelsesområde. Profilen er bevidst holdt fokuseret med henblik på at lette praktiske implementeringer og skabe mest mulig klarhed for anvenderne. Såfremt der skulle vise sig et vigtigt behov for denne mekanisme, vil Styrelsen overveje at inkludere denne i profilen. Det er igen også vigtigt at fastslå at profilen ikke forbyder anvendelse af yderligere dele af OASIS SAML 2.0 standarden. Der er således intet til hinder for at en føderation muliggør yderligere funktionalitet udover hvad der er beskrevet i DK- SAML 2.0. 18 IT- og Telestyrelsen Side 18
Page 1 and 2: Cover Dagsordenspunkt 1, OIO-it-ark
Page 3 and 4: Styregruppen omkring brugerstyring
Page 5 and 6: Orientering ved Kasper Færgemann,
Page 7 and 8: samling af eksisterende og planlagt
Page 9 and 10: standard fra OASIS som fundament fo
Page 11 and 12: og vil adressere disse behov og øn
Page 13 and 14: Styrelsen vil i forbindelse med god
Page 15 and 16: Kommentar 10 Hvis klinikeren anvend
Page 17 and 18: Styrelsens svar Der er ikke noget t
Page 19 and 20: føderationer). Regionen opfordrer
Page 21 and 22: Styrelsens svar Denne kommentar ber
Page 23 and 24: Endvidere er HTTP-Redirect favorise
Page 25: Kommentar 40 Med kravet om anvendel
Page 29 and 30: OIO Web SSO Profile 2.0 - Requireme
Page 31 and 32: Document History Version Date Initi
Page 33 and 34: 2 Web SSO Profile The OASIS Web SSO
Page 35 and 36: The XML attribute on the element
Page 37 and 38: Attributes specific to a sector or
Page 39 and 40: 4 Single Logout Profile Identity- a
Page 41 and 42: 5.3 Processing Rules If the subject
Page 43 and 44: Other A Service Provider must enfor
Page 45: Gartner Consulting. [EAuth-V2] E-Au
Page 50 and 51: direkte eller i forbindelse med off
Page 52 and 53: dokumentere, at en given udveksling
Page 54 and 55: Notat Notat vedrørende høring af
Page 56 and 57: Styrelsens svar Kommentaren beror p
Page 58 and 59: SMTP er tænkt anvendt hos de små
Page 60 and 61: Side 16 nederst: henvisningen til I
Page 62 and 63: ugerens SAML token, men dette er de
Page 64 and 65: Kommentarer fra KMD Kommentar 1 Anv
Page 66 and 67: Styrelsens svar Figur 2 er en illus
Page 70 and 71: XPDL 2.0 (udveksling af forretnings
Page 72 and 73: FESD-standarder FESD Skanning v. 2.
Page 74 and 75: DNG adobe billedformat EDGE, WAP, U
Page 76 and 77:
Cover Dagsordenspunkt 4, OIO-it-ark
Page 78:
Cover Dagsordenspunkt 9, OIO-it-ark
show all

OIO-it-arkitekturkomitémøde, 13. december 2007 Pkt. 1. Dagsorden ...

Create successful ePaper yourself

Delete template?

Save as template?