OIO-it-arkitekturkomitémøde, 13. december 2007 Pkt. 1. Dagsorden ...
OIO-it-arkitekturkomitémøde, 13. december 2007 Pkt. 1. Dagsorden ...
OIO-it-arkitekturkomitémøde, 13. december 2007 Pkt. 1. Dagsorden ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
I relation til WSRP og Web Services er dette et bevidst fravalg og således<br />
udenfor scope af profilen. Se svar til kommentar 8 og 39 for detaljer.<br />
Kommentar 42<br />
Afgrænsning til point-to-point interaktion via https. Da udgangspunktet i<br />
ark<strong>it</strong>ekturen er en point-to-point interaktion via https bliver det aktørernes<br />
(IDP, SP) opgave eksplic<strong>it</strong> at tage hånd om sessioner (cookie baseret), ID<br />
provider addresser, og Attribute server addresser, hvor de sidste to via<br />
deres implementering som web service kald jo kunne routes igennem en broker,<br />
hvis der altså indgik denne mulighed i ark<strong>it</strong>ekturen. På samme måde skal<br />
aktørerne også selv bidrage til transaktionsstyring ved, som det<br />
foreslås,anvendelse af Assertion ID som transaktionsidentifier og logning af<br />
disse til aud<strong>it</strong>formål. Igen opgaver som en brokerbaseret ark<strong>it</strong>ektur kan<br />
håndtere - i brokeren.<br />
Styrelsens svar<br />
Styrelsen har ikke set det hensigtsmæssigt eller relevant at indføre en brokerbaseret<br />
ark<strong>it</strong>ektur til Web Browser SSO scenariet, som DK-SAML profilen<br />
dækker. I senere profiler til ident<strong>it</strong>etsbaserede web services kan dette dog blive<br />
en mulighed, som skal overvejes. Se iøvrigt svar til kommentar 8, 39 og 4<strong>1.</strong><br />
Kommentar 43<br />
I afsn<strong>it</strong> 1<strong>1.</strong>3.1 nævnes noget om at publicere meta data lokationer i DNS<br />
records som en option???<br />
Styrelsens svar<br />
Publicering af meta datas lokation i DNS records er en af de mekanismer, der<br />
beskrives i OASIS SAML Meta Data specifikationen. Denne er dog ikke<br />
medtaget som et obligatorisk krav i DK-SAML profilen, da man meget vel kan<br />
tænke sig, at føderationer vil anvende andre mekanismer.<br />
Kommentar 44<br />
Uklarhed omkring anvendelse af OCES virksomhedscertifikat eller lignende?<br />
Flere steder nævnes det at der skal anvendes OCES virksomhedscertifikat eller<br />
lignende ("or equivalent").<br />
Styrelsens svar<br />
Den lidt løse formulering omkring OCES certifikater flere steder skyldes, at<br />
Styrelsen op til høringen overvejede, hvorvidt en ny type OCES certifikater<br />
(Funktionscertifikater) skulle kunne anvendes som trust mekanisme (udover<br />
Virksomhedscertifikater). Imidlertid er det efterfølgende blevet besluttet, at tage<br />
eksplic<strong>it</strong>te krav om OCES som trust mekanisme ud af profilen, men i forhold til<br />
den fællesoffentlige brugerstyringsorganisation må der forventes indførelse af en<br />
pol<strong>it</strong>ik, som stiller krav om brug af OCES certifikater til signering og kryptering<br />
af meddelelser. Se i øvrigt svar til kommentar 32.<br />
Kommentar 45<br />
Service Provider og IDP MUST forbindes via en SSL sikret linie med anvendelse<br />
af OCES Virksomhedscertifikat. Hvad menes der med "or equivalent" i afsn<strong>it</strong><br />
17<br />
IT- og Telestyrelsen<br />
Side 17