Skip to content

Changes

Page history
Create EduID üzemeltetés authored by maronicsj's avatar maronicsj
Hide whitespace changes
Inline Side-by-side
EduID-üzemeltetés.md 0 → 100644
View page @ 11443416
# 1. Az eduID üzemeltetési dokumentációja
## 1.1. Szolgáltatásban résztvevő személyek
Szolgáltatás felelős/Szolgáltatás gazda
Molnár Péter, Mohácsi János
Szolgáltatás működtetésében és fejlesztésében résztvevők
Debreceni Attila, Giusti Matteo, Kovács Krisztián, Mohácsi János, Molnár
Péter
## 1.2. Szolgáltatás leírása
Az **eduID** szolgáltatás tartalma, hogy a KIFÜ egy országos szintű
megbízható szövetségi azonosítást és jogosultságkezelést támogató
adatbázist és infrastruktúrát működtet, amely lehetővé teszi az eduID
tagok számára, hogy saját azonosítási és jogosultságkezelési
infrastruktúrát működtetve részt vegyenek a hazai eduID és nemzetközi
eduGAIN és kapcsolódó szolgáltatásban. A szövetséget a szövetségbe
belépett tagok alkotják. Szövetség tagjai között lehetséges az
identitás-információk átadása szabályozott keretek között mível
megbíznak a másik intézmény által kiállított identitás-információkban
.Az eduID segítségével minden felhasználó a saját intézménye által
üzemeltetett azonosító szerveren keresztül jelentkezhet be attól
függetlenül, hogy a saját intézménye vagy valaki más által nyújtott
szolgáltatást szeretne igénybe venni. Egy munkamenet alatt csak egyszer
kell azonosítania magát a felhasználónak (Single Sign-on), így gyorsan,
kényelmesen használható. Az eduID-hoz külső szolgáltatók partnerként
tudnak csatlakozni ezáltal egyszerűsítve mind a szolgáltatói, mind az
intézményi oldalon.
## 1.3. Szolgáltatás bejelentési interfész
A bejelentések (hiba és szolgáltatás igénylés is) az
<a href="mailto:info@eduidhu" class="mailto">info@eduid.hu</a> címre írt
e-mail segítségével (vagy az ügyfélszolgálatra történő telefonálással
történik). A bejelentésből OTRS ticket keletkezik itt: <a
href="https://ugyfelportal.kifu.gov.hu/otrs/index.pl?Action=AgentTicketQueue;QueueID=46;View=;Filter=Unlocked"
class="https">OTRS</a>
A felügyeleti rendszerből a szolgáltatás gazdáinak e-mail és SMS üzenet
érkezik és az ő döntésük alapján keletkezik belőle OTRS hibajegy.
Amennyiben szolgáltatás komponensek esetében szolgáltatás kiesés
tapasztalható, akkor mindenképpen ticketet kell nyitni és értesíteni az
eduID felhasználókat.
Belső üzemeltetési csatorna: <a href="https://chat.kifu.hu/channel/aai"
class="https">https://chat.kifu.hu/channel/aai</a>
## 1.4. eduID szolgáltatási komponensek
A szolgáltatás komponenseit a [EduID
Szolgáltatások](../EduID%20%C3%BCzemeltet%C3%A9s#Szolg.2BAOE-ltat.2BAOE-sok)
aloldal tartalmazza.
## 1.5. eduID szlgáltatás fejlesztési feladatok
A fejlesztési feladatok nyilvántartása:
<a href="https://redmine.niif.hu/projects/federation"
class="https">https://redmine.niif.hu/projects/federation</a>
## 1.6. Domain nevek
### 1.6.1. Production címek
Jelmagyarázat:
- **R1** =\> <a href="../RegionOne" class="nonexistent">RegionOne</a>
Kubernetes Klaszter
- **R2** =\> <a href="../RegionTwo" class="nonexistent">RegionTwo</a>
Kubernetes Klaszter
| | | | | |
|:-------------------:|:-----------------------------:|:--------:|:--------------:|:--------------:|
| **Domain** | **IPv4** | **IPv6** | **Kubernetes** | **Megjegyzés** |
| ingress.eduid.hu | 193.224.21.87, 193.224.216.19 | \- | R1,R2 | Prod |
| ingress-r1.eduid.hu | 193.224.21.87 | \- | R1 | Prod |
| ingress-r2.eduid.hu | 193.224.216.19 | \- | R2 | Prod |
| | | | | |
|:-------------------:|:-------------------:|:--------:|:--------------:|:--------------:|
| **Domain** | **CNAME** | **IPv6** | **Kubernetes** | **Megjegyzés** |
| attributes.eduid.hu | ingress.eduid.hu | \- | R1,R2 | Prod |
| discovery.eduid.hu | ingress.eduid.hu | \- | R1,R2 | Prod |
| ds-pending.eduid.hu | ingress.eduid.hu | \- | R1,R2 | Prod |
| metadata.eduid.hu | ingress.eduid.hu | \- | R1,R2 | Prod |
| mdx.eduid.hu | ingress.eduid.hu | \- | R1,R2 | Prod |
| mdx-2015.eduid.hu | ingress.eduid.hu | \- | R1,R2 | Prod |
| mdx-2020.eduid.hu | ingress.eduid.hu | \- | R1,R2 | Prod |
| rr.eduid.hu | ingress-r1.eduid.hu | \- | R1 | Prod |
| rr-staging.eduid.hu | ingress-r1.eduid.hu | \- | R1 | Prod |
| vho.eduid.hu | ingress-r1.eduid.hu | \- | R1 | Prod |
------------------------------------------------------------------------
| | | | | |
|:-----------:|:--------------:|:----------------------------------:|:--------------------------------------------------------:|:----------------:|
| **Domain** | **IPv4** | **IPv6** | **VPC** | **Megjegyzés** |
| s3.eduid.hu | 193.224.0.4 | 2001:738:0:527:f816:3eff:fe93:1dea | <a href="../RegionOne" class="nonexistent">RegionOne</a> | MinIO S3 staging |
| | 193.224.218.27 | 2001:738:0:51b:f816:3eff:fe60:9ad8 | <a href="../RegionTwo" class="nonexistent">RegionTwo</a> | MinIO S3 staging |
------------------------------------------------------------------------
| | | | | |
|:-----------------:|:--------------:|:-------------------------------:|:-------:|:---------------------------------------:|
| **Domain** | **IPv4** | **IPv6** | **VPC** | **Megjegyzés** |
| hexaa.eduid.hu | 193.225.14.141 | \- | VHPC | Prod |
| mdsigner.eduid.hu | 193.225.14.144 | 2001:738:0:701:216:3eff:fe02:30 | VHPC | Deprecated, href-2011 aláírás leállítva |
------------------------------------------------------------------------
## 1.7. Architektúra
![eduid-k8s-arch-v1](../uploads/12290c99cf1044fdf58b719e876e5c30/eduid-k8s-arch-v1.png)
## 1.8. Szolgáltatások
### 1.8.1. MDSigner
#### 1.8.1.1. HREF-2020
A metadata aláírást Kubernetes
<a href="../CronJob" class="nonexistent">CronJob</a>-al ütemezve és a
pyFF segítségével készítjük.
<a
href="https://v1-21.docs.kubernetes.io/docs/concepts/workloads/controllers/cron-jobs/"
class="https">https://v1-21.docs.kubernetes.io/docs/concepts/workloads/controllers/cron-jobs/</a>
<a href="https://pyff.readthedocs.io/en/latest/"
class="https">https://pyff.readthedocs.io/en/latest/</a>
<a href="https://github.com/IdentityPython/pyFF"
class="https">https://github.com/IdentityPython/pyFF</a>
NAMESPACE NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE
dev mdsigner-2020-diakhalo-test 0,30 * * * * False 0 23m 115d
href-2020 mdsigner-2020-edugain 0,30 * * * * False 0 28m 215d
href-2020 mdsigner-2020-external 0,30 * * * * False 0 28m 215d
href-2020 mdsigner-2020-hexaa 0,30 * * * * False 0 28m 215d
href-2020 mdsigner-2020-href 0,30 * * * * False 0 28m 215d
href-2020 mdsigner-2020-institutions 0,30 * * * * False 0 28m 215d
href-2020 mdsigner-2020-niifi 0,30 * * * * False 0 28m 13d
href-2020 mdsigner-2020-partners 0,30 * * * * False 0 28m 215d
href-2020 mdsigner-2020-sulinet 0,30 * * * * False 0 28m 215d
Deployment fájlok: <a
href="https://dev.niif.hu/eduid/kubernetes/-/tree/master/deployments/prod/mdsigner"
class="https">https://dev.niif.hu/eduid/kubernetes/-/tree/master/deployments/prod/mdsigner</a>
#### 1.8.1.2. mdsigner.eduid.hu - deprecated
**Deprecated**
A HREF-2011 metadata aláírást leállítottuk, a VM csak legacy
kompatibilitási okok miatt fut.
- Egyféle riasztás: túl öreg a metadata.
- Ilyenkor nem fut a pyFF.
- Vagy fut, de nem ír alá. A /var/log/pyffd.log-ban két hiba
lehet: pkcs_crc_error vagy pkcs\_ not_found_error. A VM ilyenkor
nem látja az usb eszközt. Debug: `sudo pkcs15-tool -D`. Ha itt
nem látszanak a kulcsok adatai, akkor elveszett az usb kulcs.
Ilyenkor reboot mdsigner. A vhbl03-on a pacemaker-el
újraindítani a VM-et. Ha a vhbl03-on sem látszódik, akkor kihúz
bedug. Az `ls -lt ~mdsigner/metadata` egy-két perces, akkor
sikerült elindítani a pyFF-et.
- Az intelligens kártya debug naplója: `/tmp/opensc-debug.log`
Az aláíró indítása (például a `vhbl03` újraindítása esetén).
```
1 ssh mdsigner.eduid.hu
2 sudo su - mdsigner
3 bin/start-signer.sh
4 <PIN kód megadása, Enter>
```
A sikeres indítás jelei: `~mdsigner/metadata` könyvtárban frissülnek az
állományok és növekszik a `/tmp/opensc-debug.log`.
### 1.8.2. mdx.eduid.hu
Az MDX (pyffd) on-the-fly metadata kiszolgálás és intézmény választó
szolgáltatás.
A kubernetes deploymentek itt találhatóak: <a
href="https://dev.niif.hu/eduid/kubernetes/-/tree/master/deployments/prod/mdx"
class="https">https://dev.niif.hu/eduid/kubernetes/-/tree/master/deployments/prod/mdx</a>
Az MDX-ek mind a két régióban deployolva vannak replica set-ként.
#### 1.8.2.1. HREF-2020
Namespace: href-2020
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
mdx-2020 ClusterIP 10.96.146.59 <none> 8080/TCP 381d
mdx-niifi ClusterIP 10.96.171.149 <none> 8080/TCP 215d
#### 1.8.2.2. HREF-2015 - deprecated
Namespace: href-2015
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
mdx-2015 ClusterIP 10.96.0.212 <none> 8080/TCP 381d
### 1.8.3. Metadata flow
![eduid-metadata-flow-href-2020-v1](../uploads/8760a51b73a27a07ea4c9d544b655da9/eduid-metadata-flow-href-2020-v1.png)
### 1.8.4. VHO
Bővebb info itt: [AAI/VHO](../AAI/VHO)
### 1.8.5. metadata.eduid.hu
Az ALFI készített egy új metadata oldalt:
<a href="https://dev.niif.hu/alfi/metadata"
class="https">https://dev.niif.hu/alfi/metadata</a>
### 1.8.6. discovery.eduid.hu
A kubernetes deploymentek itt található: <a
href="https://dev.niif.hu/eduid/kubernetes/-/blob/master/deployments/prod/discovery/discovery-prod.yml"
class="https">https://dev.niif.hu/eduid/kubernetes/-/blob/master/deployments/prod/discovery/discovery-prod.yml</a>
A **közös** az összes image-ben, hogy a
<a href="https://dev.niif.hu/eduid_public/discovery_idpconfigs"
class="https">https://dev.niif.hu/eduid_public/discovery_idpconfigs</a>
tárolóból töltik le a IdP-k listáját, tehát a változtatásokat továbbra
még itt kell elvégezni.
### 1.8.7. HEXAA
Bővebb info itt : [AAI/Hexaa](../AAI/Hexaa)
### 1.8.8. o365.eduid.hu
Bővebb info itt : [AAI/O365](../AAI/O365)
### 1.8.9. Sulinet IdP
Bővebb info itt : [Sulinet/IDP](../Sulinet/IDP)
### 1.8.10. ekreta.proxy.eduid.hu
Ez egy SimpleSAMLphp proxy, amely egy <a
href="https://dev.niif.hu/ALFI/simplesamlphp-module-authekreta/-/tree/master"
class="https">speciális KRÉTA modullal</a> van kiegészítve és
@ekreta.edu.hu scope-al adja át az adatokat.
Proxyzott attributumok:
uid
oktatasiAzonosito
displayName
nev
mail
emailCim
eduPersonPrincipalName
oktatasiAzonosito
eduPersonAffiliation
tipus - Staff, Student, Member
eduPersonScopedAffiliation
\- mint eduPersonAffiliation
Jelenlegi korlátai - ha nincsen oktatasiAzonosito vagy nem tanár, akkor
nem kerülnek továbbadásra az fenti attributumok.
L1 Üzemeltetési feladatok: [AAI/Kréta](../AAI/Kr%C3%A9ta)
### 1.8.11. managed eduID IdP
KIFÜ nyújt <a href="https://wiki.niif.hu/index.php?title=Managed_idp"
class="https">menedzselt eduID IdP</a> szolgáltatásokat.
| | | | | | | |
|-----------------------------------|---------|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|--------------------------------------|-----------------------------|-------------------------------------------------------------------------|---------------------------------------------------------------------------------------------------------------|
| Intézmény | scope | technikai megvalósítás | nálunk van a felhasználói adatbázis? | hány felhasználó van benne? | entityID | státusz |
| Színház- és Filmművészeti Egyetem | szfe.hu | shib-proxy.aai.einfra.hu VM-en kapott egy vhost-ot, ami az idp.szfe.hu -n keresztül érhető el. Azure-ban vannak a felhasználóik nyilvántartva, az azonosításhoz is továbbdob a felületükre | nincsen | nem ismert | <a href="https://idp.szfe.hu/simplesaml/saml2/idp/metadata.php"
class="https">https://idp.szfe.hu/simplesaml/saml2/idp/metadata.php</a> | technikailag ok, tagi szerződés ok, de nem a menedzselt IdP |
| Apor Vilmos Katolikus Főiskola | avkf.hu | shib-proxy.aai.einfra.hu VM-en kapott egy vhost-ot, ami az idp.avkf.hu -n keresztül érhető el. Google-ban vannak a felhasználóik nyilvántartva, az azonosításhoz is továbbdob a felületükre | nincsen | nem ismert | <a href="https://idp.avkf.hu/simplesaml/saml2/idp/metadata.php"
class="https">https://idp.avkf.hu/simplesaml/saml2/idp/metadata.php</a> | technikailag ok, tagi szerződés ok, de nem a menedzselt IdP |
| Magyar Táncművészeti Egyetem | mte.eu | partnerIDP-n keresztül | igen | 541 (2022.09.23) | <a href="https://idp.mte.eu/simplesaml/saml2/idp/metadata.php"
class="https">https://idp.mte.eu/simplesaml/saml2/idp/metadata.php</a> | Változott a műszaki kapcsolattartó, valószínűleg újratervezés lesz. Valószínűleg nincs még aláírt szerződésük |
------------------------------------------------------------------------
- [CategoryAai](../CategoryAai)
\ No newline at end of file