Módosítások

= Föderációs policy A dokumentum célja, hogy a HREF Föderációhoz csatlakozó intézmények (IdPTagok és Partnerek számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges identitás-k) számára =menedzsment, valamint üzemeltetési területeket fednek le.

{{ATTENTION|A specifikáció kidolgozása folyamatban vandokumentumban a '''KÖTELEZŐ''', lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez a figyelmeztetés itt szerepel'''TILOS''', '''AJÁNLOTT''', addig munkaverziónak tekintendő!}}'''NEM AJÁNLOTT''' kifejezések értelmezése az alábbiak szerinti:

{{TODO|Kérlek* '''KÖTELEZŐ''' (ill. '''"KÖTELES"''', kommentjeiddel segítsd '''"kell"''') jelentése: a tervezetet!}}pontban leírtak betartása a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek, ettől a résztvevők nem térhetnek el;

== Jelen dokumentum célja ==A dokumentum célja* '''TILOS''' jelentése KÖTELEZŐ NEM, hogy azaz a föderációhoz csatlakozó intézmények számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.pontban leírtak szerint az intézmény nem járhat el;

::1.6.1. A megvalósított attribútumokat az IdP-nek az Attribútum Specifikációban leírt módon kell megvalósítani; ::1.6.2. Az IdP-nek kötelező megvalósítania az alábbi attribútumokat:::* eduPersonTargetedID::* eduPersonPrincipalName::* eduPersonScopedAffialiation ::1.6.3. Az IdP-nek ajánlott megvalósítania az alábbi attribútumokat:::* displayName::* mail::* sn::* givenName ::1.6.4. Az IdP-nek kötelező biztosítania, hogy az eduPersonTargetedID és az eduPersonPrincipalName attribútumok ne legyenek újra kioszthatók. :1.7. Teszt felhasználók az alábbi megkötések mentén használhatóak: ::1.7.1. minden teszt felhasználót egyértelműen azonosítani és dokumentálni kötelező (az érte felelős munkatárssal együtt), ::1.7.2. teszt felhasználóval valós tranzakciót kezdeményezni tilos, kivéve, ha a tranzakcióban részt vevő SP a teszt felhasználó használatához hozzájárult, ::1.7.3. ajánlott ezen felhasználókat a megfelelő homeOrganizationType értékkel megkülönböztetni. :1.8. Felhasználói azonosító adatokat (pl. jelszó) publikus hálózaton titkosítatlanul továbbítani (felhasználótól bekérni, adatbázisszerver felé kommunikálni) tilos. :1.9. A felhasználói jelszavakat ajánlott nem elektronikus formában kiosztani (pl. személyesen, vagy postai úton). :1.10. A felhasználók intézményhez fűződő viszonyában bekövetkezett változásokat 7 napon belül kötelező megjeleníteni az IdP adatbázisában és az eduPersonScopedAffiliation attribútum értékében. ::1.10.1. Amennyiben az intézmény külső adatforrást (tanulmányi- ill. bérügyi rendszert) használ a felhasználói adatok tárolására, úgy ez a 7 napos korlát a hiteles adat elsődleges rendszerben történő megváltozásától számítandó. == 2. Szolgáltatás-menedzsment ==:2.1. Az intézmény köteles a föderációs operátorral való kapcsolattartásra megfelelő szerepkört kialakítani. Ajánlott a kapcsolattartáshoz szerep e-mail címet megadni. :2.2. IdP-t üzemeltető intézmény köteles az IdP-vel kapcsolatban végfelhasználói támogatást nyújtani, és ezen támogatás elérhetőségéről a felhasználóit tájékoztatni. :2.3. Az intézmény köteles az általa üzemeltett IdP forgalmi adataiból anonimizált, legalább napi felbontású adatokat szolgáltatni a föderációs operátor számára föderációs célú statisztika készítésének céljából. == 3. Üzemeltetési kérdések = Források = :3.1. A személyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, és azt legalább 30 napig megőrizni. :3.1.1. Az intézmény ezeket a naplókat köteles a hatályos adatvédelmi szabályokkal összhangban kezelni. :3.2. Az AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata. ::3.2.1. Biztosítani kell a privát kulcsok védelmét. ::3.2.2. Amennyiben egy kulcs kompromittálódik, az intézmény köteles a föderációs operátort 24 órán belül értesíteni. ::3.2.3. Ajánlott hosszú lejáratú, self-signed tanúsítványok használata. :3.3. Vonatkozó SAML szabványok ::3.3.1. Kötelező az ''Interoperable SAML 2.0 Web Browser SSO Deployment Profile'' ([http://wwwsaml2int.switchorg]) dokumentumban kötelezőnek megjelölt elemek támogatása ::3.ch3.2. Ajánlott a SAML2 Single Logout profil támogatása HTTP-Redirect illetve SOAP binding felett. :3.4. Az IdP köteles minden végpontját HTTPS (SSL/aai/support/bcp/idpTLS) protokollok segítségével védeni. :3.5. Az IdP minden SAML végpontjának az IdP-1t üzemeltető intézmény tulajdonában álló DNS domainnek, vagy az alatt levő névnek kell lennie. :3.06.html SWITCH Az IdP által használt scope-oknak az IdP- Best current practices for operating a SWITCHaai Identity Provider]t üzemeltető intézmény tulajdonában álló DNS domainnek, vagy az alatt levő névnek kell lennie.