A föderációs metaadat célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.

Biztonsági megfontolások

Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat:

• Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (cacheDuration) idejével, amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)
• Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (validUntil paraméterében meghatározott ideig) tart.
• Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.

Metaadatban tárolt információk

• Bizalom a metaadatban
  • a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja.
  • a metaadat visszavonhatóságát a lejárati idő (validUntil) biztosítja, ami jelenleg 3 nap.
  • az egyes rendszerek gyorstárazhatják a metaadatot, de legalább naponta egyszer kötelesek a hiteles állományt frissíteni.
  • az aláírási procedúrát a #Metaadat_aláírásának_módja fejezet írja le.
• Tanúsítványok
  • az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül nem tesz különleges megkötést, sőt: ajánlott az ún. self-signed tanúsítvány használata
• További információk
  • minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
  • kötelezően kitöltendőek az intézményi, adminisztratív információk (Organization illetve ContactPerson elemek)
  • ajánlott megadni egy helpdesk URL-r, ahova hiba esetén a felhasználók fordulhatnak (errorURL attribútum)
  • SP-k esetén további kötelező elemek
    • AttributeConsumingService, ami megadja a kért attribútumokat
      • RequestedAttributes - itt az attribútum informális neve is szerepeljen
      • ServiceName, ServiceDescription az SP szolgáltatás neve és leírása
    • a szolgáltatás elérhetősége, amin a szolgáltatás bemutatkozik (extension)
    • adatkezelési szabályzatra mutató URL (extension)
  • IdP-k esetén
    • a scope csak az adott intézmény kezelésében levő domain név lehet (Shibboleth extension)
  • lehetőség van további adatok megadására is
    • logó
    • gps koordináták, IP cím tartomány
    • különböző tagek, például a szolgáltatás publikus-e, vagy épp bevezetés alatt áll-e

Metaadat kiterjesztések használata

Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható ezen a linken (odt formátumban).

A kiegészítő séma névtere: urn:oasis:names:tc:SAML:2.0:metadata:ui. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze:

Logo

• formátum: URL egy transzparens hátterű PNG, vagy transzparens hátterű GIF képre
• méretezés
  • javasolt oldalarány 1:1 vagy 16:9
  • maximális méret 200x200px
  • ajánlott egy 16x16px-es verziót is megadni
• attribútumok
  • xml:lang: lokalizációs információ
  • href: opcionális link
  • height: opcionális magasság érték pixelben
  • width: opcionális szélesség érték pixelben

Egy IdP példa

<EntityDescriptor entityID="https://idp.niif.hu/shibboleth"
 xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
 <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0">
  <Extensions>
   <shibmd:Scope>niif.hu</shibmd:Scope>
   <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint>
   <mdui:DomainHint>niif.hu</mdui:DomainHint>
   <mdui:DomainHint>iif.hu</mdui:DomainHint>
  </Extensions>
  <KeyDescriptor use="signing">
   <ds:KeyInfo>
    <ds:X509Data>
     <ds:X509Certificate>...</ds:X509Certificate>
    </ds:X509Data>
   </ds:KeyInfo>
  </KeyDescriptor>
  </IDPSSODescriptor>
 <ContactPerson contactType="technical">
  <SurName>NIIF AAI</SurName>
  <EmailAddress>aai@niif.hu</EmailAddress>
 </ContactPerson>
 <ContactPerson contactType="support">
  <SurName>NIIF AAI</SurName>
  <EmailAddress>aai@niif.hu</EmailAddress>
 </ContactPerson>
 <ContactPerson contactType="administrative">
  <SurName>NIIF AAI</SurName>
  <EmailAddress>aai@niif.hu</EmailAddress>
 </ContactPerson>
</EntityDescriptor>

Egy SP példa

<EntityDescriptor entityID="https://rr.aai.niif.hu/shibboleth"
 xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
<SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol">
 <Extensions>
   <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL>
   <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL>
 </Extensions>
 <KeyDescriptor use="signing">
  <ds:KeyInfo>
   <ds:X509Data>
    <ds:X509Certificate>...</ds:X509Certificate>
   </ds:X509Data>
  </ds:KeyInfo>
 </KeyDescriptor>
 <KeyDescriptor use="encryption">
  <ds:KeyInfo>
   <ds:X509Data>
    <ds:X509Certificate>...</ds:X509Certificate>
   </ds:X509Data>
  </ds:KeyInfo>
 </KeyDescriptor>
 <AttributeConsumingService index="1">
  <ServiceName xml:lang="hu">HREF Resource Registry</ServiceName>
  <ServiceName xml:lang="en">HREF Resource Registry</ServiceName>
  <ServiceDescription xml:lang="hu">Resource Registry - a föderáció adminisztrációs alkalmazása http://rr.aai.niif.hu/</ServiceDescription>
  <ServiceDescription xml:lang="en">Resource Registry - federation administration tool http://rr.aai.niif.hu/</ServiceDescription>
  <RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" isRequired="true"/>
  <RequestedAttribute FriendlyName="surname" Name="urn:oid:2.5.4.4" isRequired="true"/>
  <RequestedAttribute FriendlyName="givenName" Name="urn:oid:2.5.4.42" isRequired="true"/>
  <RequestedAttribute FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" isRequired="true"/>
  <RequestedAttribute FriendlyName="schacHomeOrganizationType" Name="urn:oid:1.3.6.1.4.1.25178.1.2.10" isRequired="true"/>
  <RequestedAttribute FriendlyName="eduPersonScopedAffiliation" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" isRequired="true"/>
 </AttributeConsumingService>
</SPSSODescriptor>
<Organization>
 <OrganizationName xml:lang="hu">NIIF - Nemzeti Információs Infrastruktúra Fejlesztési Intézet</OrganizationName>
 <OrganizationName xml:lang="en">NIIF Institute - National Information Infrastructure Development</OrganizationName>
 <OrganizationDisplayName xml:lang="hu">NIIF - Nemzeti Információs Infrastruktúra Fejlesztési Intézet</OrganizationDisplayName>
 <OrganizationDisplayName xml:lang="en">NIIF Institute - National Information Infrastructure Development</OrganizationDisplayName>
 <OrganizationURL xml:lang="hu">http://www.niif.hu</OrganizationURL>
 <OrganizationURL xml:lang="en">http://www.niif.hu/en</OrganizationURL>
</Organization>
<ContactPerson contactType="administrative">
 <SurName>NIIF AAI</SurName>
 <EmailAddress>aai@niif.hu</EmailAddress>
</ContactPerson>
<ContactPerson contactType="technical">
 <SurName>NIIF AAI</SurName>
 <EmailAddress>aai@niif.hu</EmailAddress>
</ContactPerson>
<ContactPerson contactType="support">
 <SurName>NIIF AAI</SurName>
 <EmailAddress>aai@niif.hu</EmailAddress>
</ContactPerson>
</EntityDescriptor>

Metaadat aláírásának módja

Aláíró kulcs és tanúsítványok

• Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk.
• Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt).
• NIIF CA által aláírt tanúsítvány, a teljes lánc beágyazva az aláírásba.
• PKI ellenőrzés lehetősége.

Aláírás ellenőrzése explicit tanúsítvánnyal

A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. Ezen ellenőrzéshez az előző pontban említett tanúsítvány használható fel.

• Az explicit ellenőrzés esetén a http://metadata.eduid.hu/${kulcs_kibocsatas_eve}/ URL-ről kell letölteni a metadata fájlokat, például: http://metadata.eduid.hu/2010/href.xml.
• A tanúsítvány a https://metadata.eduid.hu oldalról érhető el. A tanúsítvány nevében szereplő 2010-es szám a kulcs generálásának évére vonatkozik.
  • DN-je EMAILADDRESS=aai@niif.hu, CN=HREF Metadata Signer 2010, OU=AAI, O=NIIF Institute, O=NIIF CA, C=HU
  • SHA-1 09:C2:8B:09:AB:9E:C2:9B:A5:71:37:E7:36:C6:10:FF:96:9F:D7:FE
• Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.
• A tanúsítványcsere koordinálása out-of-band módszerrel történik (a href-tech levelezőlista segítségével).

Aláírás ellenőrzése PKI segítségével

• Mivel az aláíró tanúsítvány és a tanúsítványkiadó hatóság (CA) tanúsítványa is a metadata része, ezért végezhető PKI ellenőrzés is.
• PKI használata esetén a http://metadata.eduid.hu/current/ URL-ről érdemes letölteni a metadata fájlokat, ott ugyanis mindig az aktuálisan legfrissebb kulccsal aláírt példányok érhetőek el.
• A Root CA tanúsítvány a következő URL-ről érhető el: http://www.ca.niif.hu/sites/ca.niif.hu/files/niif_ca_root_x509.pem
  • PKI használata esetén a kulccsere automatikus, de a kompromittálódott kulcs visszavonhatósága miatt a visszavonási listák (CRL) használata rendkívül fontos!

Aláíró kulcs cseréje

• A föderációs metadata aláíró kulcsa 2-3 évente kerül megújításra.
• A föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása.
• A kulccsere koordinálása a href-tech levelezőlistán keresztül történik.
• Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulccsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.
• Érvényességi megfontolások
  • ha egy entitás egy kulccserénél nem követi le a tanúsítvány változását (és nem használ PKI ellenőrzést), akkor számára a metaadatok a kulccsere lezárulása - a régi kulcs eltávolítása - után elérhetetlenek lesznek. Ilyenkor az utolsó hitelesítésre került metadata validUntil időpontja után az entitás képtelen lesz kommunikálni a föderációval.

Metaadat fájlok

A HREF föderációban többféle metaadat-forrás áll rendelkezésre:

• href.xml: az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások
• href-test.xml: a HREF föderáció tesztrendszerei. Bármely, föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.
• href-edugain.xml: a HREF föderációból az eduGAIN konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az eduGAIN konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.
• edugain-mds-ng-resigned.xml: az eduGAIN konföderáció metaadata, a HREF aláíró kulccsal aláírva.
• intézmény-specifikus metaadat fájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.

Aláírási folyamat

Az alábbi aláírási folyamatot az idp1 illetve idp2 gépek végzik, de egyszerre csak az egyik, szerepük kézi konfigurálással megfordítható.

• Aláíratlan metaadat frissítése
  • az aláíratlan metaadat a https://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványát explicit módon ellenőrzni kell.
  • a letöltött metaadat formai ellenőrzése
  • az ellenőrzött metaadat egy verziókövető rendszerbe kerül, az esetleges változásról e-mail értesítés készül
• Metaadat aláírás
  • az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít
  • amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek
• Aláírt metaadat kezelése
  • az aláírt föderációs metaadat a http://metadata.eduid.hu/${alairo_kulcs_kibocsatasanak_eve}/${metadata_forras} URL-en érhető el
  • az aláírt metaadatok kiszolgálását tartalékolt webszerver végzi

Metaadat nézetek

A föderációs operátor külön kérésre speciálisan transzformált metaadat nézeteket is szolgáltat. Ezek a nézetek XSLT transzformációval állnak elő a mindig aktuális metadata állományból. Néhány példa:

• https://metadata.eduid.hu/entities/current/href.xml - entitás azonosítók listája, szerepekkel (IdP, SP, AA)
• https://metadata.eduid.hu/php-ds-idp/current/href.xml - SWITCH-féle discovery service konfigurációs nézet