„HREFPolicyStub” változatai közötti eltérés

Általános elvárások

• Az NIIF AAI Operátor támogatást nyújt az IdP-k és SP-k részére és ennek keretében ügyfélszolgálatot tart fenn a Metadata, valamint a Discovery Service-szel kapcsolatos hibák elhárítása érdekében.
• Az IdP és SP az NIIFI-vel az NIIF AAI üzemeltetése érdekében folyamatosan együttműködik, különösen az NIIF AAI-val összefüggésben felmerülő visszaélések kivizsgálása érdekében.
• Az NIIF AAI Operátor a föderáció zavartalan üzemeltetése érdekében utólagos monitoring vizsgálatot végezhet, amely során jogosult ellenőrizni:
  • az Üzemeltetéssel kapcsolatos műszaki elvárások és feltételekben meghatározott kötelezettségek betartását;
  • azonosítási eljárások megfelelőségét;
  • a hatályban lévő adatvédelmi és felhasználói szabályzatnak a Tagok Tanácsa Ajánlásainak megfelelő módosítását;
  • a Tagok Tanácsa egyéb Ajánlásainak való megfelelést.
• Az IdP biztosítja, hogy a Metadata mindenkor csak az aktuális adatokat tartalmazza, ennek érdekében félévente önellenőrzést végez

Adatvédelmi elvárások

• Az IdP és az SP biztosítja, hogy az NIIF AAI működése során közöttük a személyes adatok kezelése a vonatkozó jogszabályoknak megfelelő módon történik. Így különösen:
  • a személyes adatok kezelése csak törvényi felhatalmazás vagy felhasználói hozzájárulás
  • csak a szükséges adatok
• Mind az IdP-nek, mind az SP-nek legyen adatkezelési szabályzata, amely tartalmazza min.:
  • adatok köre
  • adatkezelés célja
  • adatkezelés időtartama
  • tiltakozési jog biztosítása
• Az adatkezelési szabályzatot egy központi helyen elérhetővé teszik
• Az attribútum filterek változását folyamatosan figyelemmel kísérni (föderációs jóváhagyástól számított 7 napon belül jóváhagyják vagy elutasítják)
• Metaadatok automatikus frissítése (cacheDuration, validUntil megfelelő(?) interpretációja)
• Az IdP csak olyan szolgáltatást (saját SP) regisztrál a metadatába, amely magára nézve kötelezőnek fogadja el a NIIF AUP
• Az IdP felelősséget vállal, hogy a Saját SP az NIIF AUP-ban foglaltaknak eleget tesz
• Naplózás (adatkezelési célok meghatározása)
• Adatminőség (ajánlás authoratív adatbázis)

Identitás kezeléssel kapcsolatos elvárások

• Felhasználó regisztrációs folyamat dokumentált
  • csakúgy, mint a kilépés
• Az IdP mindent megtesz annak érdekében, hogy az általa kiadott adatok a lehető legpontosabbak és időszerűek legyenek
  • Az IdP által szolgáltatott identitás-csoportokat (pl. hallgatók, oktatók) teljes módon kell nyilvántartani. Ez azt jelenti, hogy pl. nem csak egy csoportjuk számára szolgáltat
  • A felhasználók adataiban, ill. státuszában bekövetkezett változtatásoknak a változástól ill. a változás bejelentésétől számított 7 (???) napon belül meg kell jelenniük a föderált attribútumokban.
    • Státusz adatok: megváltozást követő 7 nap
    • Személyi adatok: bejelentéstől számított 7 nap
    • Szervezeti kapcsolódás adatai: a kapcsolódást elsődlegesen nyivántartó rendszerben bekövetkező változástól számított 14 nap
    • Oktatással kapcsolatos adatok: az oktatási adatokat elsődlegesen nyivántartó rendszerben bekövetkező változástól számított 30 nap
• Az IdP megvalósítja az attribútum specifikációban megkövetelt attribútumokat

Üzemeltetéssel kapcsolatos elvárások

• Az IdP az azonosítási szolgáltatást a lehető legnagyobb gondossággal szolgáltatja
• Az IdP az azonosítást biztonságos módon végzi el
• Az IdP és az SP között az adatok biztonságosan vannak kezelve
  • Titkosítás
    • SSL/TLS titkosítás
    • XML titkosítás
  • Visszajátszás elleni védelem (SSP rulez)
  • Integritás
    • XML aláírás
• Naplózás:
  • IdP (??? adatokat): 1 hónapig megőrzi
  • SP (??? adatokat): 1 hónapig megőrzi
• Biztonsági követelmények
  • Titkos kulcsok kezelése: TODO
  • Szerverek biztonságos üzemeltetése (ált.)
  • Incidensek bejelentési kötelezettsége (6 órán belül)

???

• Az IdP kiadja az attribútumokat (ARP)
• Az SP feltünteti a megkövetelt, ill. opcionális attribútumokat a Resource Registry-ben