Módosítások

= Föderációs policy A dokumentum célja, hogy a HREF Föderációhoz csatlakozó intézmények (IdPTagok és Partnerek számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges identitás-k) számára =menedzsment, valamint üzemeltetési területeket fednek le.

{{ATTENTION|A specifikáció kidolgozása folyamatban vandokumentumban a '''KÖTELEZŐ''', lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez a figyelmeztetés itt szerepel'''TILOS''', '''AJÁNLOTT''', addig munkaverziónak tekintendő!}}'''NEM AJÁNLOTT''' kifejezések értelmezése az alábbiak szerinti:

{{TODO|Kérlek* '''KÖTELEZŐ''' (ill. '''"KÖTELES"''', kommentjeiddel segítsd '''"kell"''') jelentése: a tervezetet!}}pontban leírtak betartása a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek, ettől a résztvevők nem térhetnek el;

== Jelen dokumentum célja ==A dokumentum célja* '''TILOS''' jelentése KÖTELEZŐ NEM, hogy azaz a föderációhoz csatlakozó intézmények számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.pontban leírtak szerint az intézmény nem járhat el;

Az eduID föderációhoz csatlakozó intézmények a csatlakozással magukra nézve kötelező érvényűként elfogadják * az alább leírtakat. Az '''ajánlottAJÁNLOTT''' eljárásoktól pontoktól való eltérés indokolt esetben lehetséges, de minden eltérést eltéréseket az intézmények dokumentálni szükségeskötelesek.

= Identitás-menedzsment =Jelen fejezet összefoglalja * '''NEM AJÁNLOTT''' jelentése: amennyiben az intézményen belüli felhasználókezelésre vonatkozó előírásokatintézmény a pontban leírtak szerint jár el, ezt dokumentálni köteles. A felhasználókezelés magában foglalja a

Az intézmények '''kötelesek''' az alkalmazott felhasználókezelési elveiket dokumentálni, és a működést ezen dokumentáció alapján rendszeresen (legalább évente egyszer) ellenőrizni, szükség esetén a dokumentációt frissíteni== 1.Identitás-menedzsment ==

== Adatforrások ==A felhasználói adatok több helyről származhatnak:1.1. Az intézmény köteles adatkezelési elveit dokumentálni, azt a felhasználókkal megismertetni.

* személyes felvétel:1.2. Az intézmény köteles a felhasználóiról általa ismert adatok forrását,* egyéb autoritatív adatbázis (tanulmányikarbantartásának módját, munkaügyi rendszer)illetve ezen adatok becsült adatminőségét dokumentálni, és igény esetén ezt a dokumentációt a föderáció tagjainak rendelkezésére bocsátani.

Amennyiben egy intézmény külső, független adatbázist használ az IdP adatbázisának feltöltésére, '''köteles''' :1.3. Kötelező a következő kritériumokat betartani:felhasználónevek egyediségét biztosítani.

* az adatforrásként szolgáló rendszer naprakész adatokat tartalmaz,* az IdP adatbázisban szereplő felhasználók rendszeresen szinkronizálásra kerülnek az autoritatív adatbázissal,* a hiteles adatforrásból kikerülő felhasználókat törölni '''kell''' az IdP adatbázisából is:1.4. Egy természetes személyhez nem ajánlott több felhasználói azonosítót rendelni.

== Hitelesítési policy =='''Tilos''' egy természetes személyhez több felhasználói bejegyzést rendelni:1. Gondoskodni '''kell''' a felhasználónevek egyediségéről, újrakiosztásuknak megakadályozásáról is6.Attribútumok használata:

::1.6.1. A felhasználói account hitelesítésekor '''ajánlott''' megvalósított attribútumokat az IdP-nek az account tulajdonosát személyesen azonosítani, személyi igazolvány, vagy egyéb hivatalos okmány segítségével. '''Ajánlott''' továbbá a természetes azonosítókat (név, anyja neve, születési hely és idő), illetve a postai elérhetőséget a hivatalos okmányokon szereplő adatokkal egyeztetni.Attribútum Specifikációban leírt módon kell megvalósítani;

Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl::1.6. tanulmányi rendszer) terhelik2.Az IdP-nek kötelező megvalósítania az alábbi attribútumokat:::* eduPersonTargetedID::* eduPersonPrincipalName::* eduPersonScopedAffialiation

=== Teszt felhasználók és szerep felhasználók ==='''Nem ajánlott''', de bizonyos megkötésekkel lehetséges technikai bejegyzések (például teszt accountok) illetve szerep felhasználók (dékán, adminisztrátor, ::1.6.4.) használataAz IdP-nek kötelező biztosítania, de ezeket egyértelműen azonosítani hogy az eduPersonTargetedID és dokumentálni '''kell'''. Az intézményhez fűződő szerepet tároló attribútumnak ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) a teszt illetve szerep felhasználók esetén '''tilos''' valódi értékeket adni (hallgató, oktató, alkalmazott, ...)az eduPersonPrincipalName attribútumok ne legyenek újra kioszthatók.

A teszt :1.7. Teszt felhasználók jelszavát '''kötelező''' legalább 6 havonta cserélni.az alábbi megkötések mentén használhatóak:

== Jelszavak kiosztása ::1.7.1. minden teszt felhasználót egyértelműen azonosítani és karbantartása ==Az IdP adatbázisbejegyzéseihez tartozó jelszavakat '''tilos''' nem hitelesített csatornán továbbítani bármely két rendszer közöttdokumentálni kötelező (az érte felelős munkatárssal együtt), például elektronikus levélben elküldeni, titkosítatlan kapcsolaton bekérni.

A felhasználói accountokhoz tartozó jelszavakat '''ajánlott''' személyesen, vagy egyéb, nem elektronikus módon kiosztani (pl::1.7. postai úton)2. Lehetőség van arrateszt felhasználóval valós tranzakciót kezdeményezni tilos, hogy a felhasználó saját maga állítsa be jelszavátkivéve, ha technikailag a tranzakcióban részt vevő SP a teszt felhasználó biztonságos azonosítása lehetséges (pl. a tanulmányi rendszerben tárolt jelszó segítségével).használatához hozzájárult,

Minimális elvárásként '''kötelező''' legalább 6 karakter hosszú, legalább két karakterosztályt (betűk, számok, egyéb jelek) tartalmazó jelszavak használata::1.7.3. '''Ajánlott''' a legalább 8 karakter hosszú, legalább két karakterosztályt tartalmazó jelszavak használata, ugyancsak '''ajánlott''' a jelszó szűrése ezen felhasználókat a szótárban szereplő szavak alapjánmegfelelő homeOrganizationType értékkel megkülönböztetni.

'''Ajánlott''' a jelszavak évenkénti cseréjének kikényszerítése:1.8. Felhasználói azonosító adatokat (pl. jelszó) publikus hálózaton titkosítatlanul továbbítani (felhasználótól bekérni, adatbázisszerver felé kommunikálni) tilos.

Az elfelejtett jelszavak cseréjére az intézmény bármilyen, megfelelően biztonságos eljárást alkalmazhat :1.9. A felhasználói jelszavakat ajánlott nem elektronikus formában kiosztani (személyes megjelenéspl. személyesen, tanulmányi rendszerben tárolt jelszó, SMS-ben elküldött ideiglenes jelszóvagy postai úton), amit '''kötelező''' dokumentálni.

'''Ajánlott''' a jelszavak brute-force támadásának kiszűrése, egyéb preventív módszerek alkalmazása (például 3 elrontott jelszó után automatikus kitiltás):1.10. A felhasználók intézményhez fűződő viszonyában bekövetkezett változásokat 7 napon belül kötelező megjeleníteni az IdP adatbázisában és az eduPersonScopedAffiliation attribútum értékében.

=== Felhasználói adatok karbantartása =2. Szolgáltatás-menedzsment ==:2.1. Az intézmény '''köteles''' a felhasználói adatbázisát rendszeresen karbantartani, abban a lejárt és nem használt accountokat letiltaniföderációs operátorral való kapcsolattartásra megfelelő szerepkört kialakítani. '''Kötelező''' Ajánlott a felhasználói adatokban bekövetkezett változásokat 4 héten belül(?) átvezetni az IdP adatbázisábakapcsolattartáshoz szerep e-mail címet megadni.

'''Kötelező''' :2.2. IdP-t üzemeltető intézmény köteles az intézményhez való viszony ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) gyakori karbantartása (legalább heti rendszerességgel)IdP-vel kapcsolatban végfelhasználói támogatást nyújtani, és ezen támogatás elérhetőségéről a felhasználóit tájékoztatni.

=== Felhasználók kiléptetése =3. Üzemeltetési kérdések ==Amennyiben egy felhasználó viszonya megszűnt az intézménnyel, az adatkarbantartásnál leírtakkal összhangban az [[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] értékét 1 héten belül törölni '''kell'''.

Az intézmény '''köteles''' a felhasználók kiléptetési procedúráját dokumentálni:3.1. A személyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, különös tekintettel az IdP oldali szolgáltatás használatára. '''Ajánlott''' a jogviszony megszűnte után legfeljebb néhány héttel letiltani a felhasználó belépésének lehetőségétés azt legalább 30 napig megőrizni.

Lehetőség van arra, hogy :3.1.1. Az intézmény ezeket a hallgatók esetén a jogviszony megszűnte után ún. 'öregdiák' státuszban továbbra is használható maradjon naplókat köteles a szolgáltatás (ezt azonban az 'alum' viszonnyal '''kötelezően''' jelezni kell)hatályos adatvédelmi szabályokkal összhangban kezelni.

= Szolgáltatás-menedzsment =Ez ::3.2.1. Biztosítani kell a szakasz az előzőekben leírt identitás-menedzsment elvekhez kapcsolódóan az egyes szoftver-komponensek üzemeltetését foglalja össze. A szakasz többnyire csak ajánlásokat fogalmaz megprivát kulcsok védelmét.

== Rendelkezésre állás ==Az ::3.2.2. Amennyiben egy kulcs kompromittálódik, az intézmény számára '''ajánlott''' köteles a szolgáltatási szint (SLA) dokumentálása, és az eljárások rendszeres ellenőrzése az elkészült dokumentációnak megfelelőenföderációs operátort 24 órán belül értesíteni. Az SLA a következő pontokat foglalja magában:

* Tervezett és nem tervezett leállásokkal kapcsolatos megkötések** egy éven belüli előre tervezett karbantartási célú leállások maximális száma** egy éven belüli maximális állási idő** a leállási időszakok kommunikálásának módja** nem tervezett leállások kommunikálásának módja* Szolgáltató rendszerek architektúrája::3.2.3. Ajánlott hosszú lejáratú, különös tekintettel az egyszeres hibapontokra, redundáns (tartalékself-) rendszerekre, esetleges klaszterek működéséresigned tanúsítványok használata.

== Támogatás ==A föderációban részt vevő intézmények ::3.3.1. Kötelező az ''Interoperable SAML 2.0 Web Browser SSO Deployment Profile'kötelesek''' az IdP-vel (és az SP-vel[http://saml2int.org]) kapcsolatos problémákra reagálni tudó operátori szerepkört kialakítaniuk. '''Ajánlott''', hogy ezt a szerepet ne egy ember töltse be, hiszen a felmerülő problémák esetén sok esetben gyors beavatkozás szükséges.dokumentumban kötelezőnek megjelölt elemek támogatása

Az operátori problémákat '''ajánlott''' issue tracking rendszerben követni, amihez optimális esetben hibaelhárítást segítő tudásbázis is tartozhat::3.3.2. Ajánlott a SAML2 Single Logout profil támogatása HTTP-Redirect illetve SOAP binding felett.

=== Felhasználók támogatása ===:3.5. Az intézményeknek '''kötelező''' IdP minden SAML végpontjának az IdP-vel kapcsolatosan végfelhasználói támogatást nyújtani. Ezen támogatás elérhetőségéről a felhasználókat tájékoztatni t üzemeltető intézmény tulajdonában álló DNS domainnek, vagy az alatt levő névnek kell, amit a [[Resource_Registry]]-n keresztül felvitt helpdesk URL segíthetlennie.

A föderációs operátor a végfelhasználók részére nem nyújt támogatást:3.  === Föderációs operátorral való kapcsolattartás, incidens-kezelés ===Az intézményeknek '''kötelességük''' dokumentálni az IdP szolgáltatással kapcsolatos katasztrófa-elhárítási teendőket, és ezen dokumentációkat rendszeresen (legalább évente) ellenőrizni, naprakészen tartani6. Az IdP-t üzemeltető szervezeti egység elérhetőségét fel '''kell''' tüntetni a [[Resource_Registry]]-ben. '''Ajánlott''' a csoporthoz közösen tartozó telefonszámot és e-mail címet használni.  Amennyiben a szolgáltatás által használt kriptográfiai kulcsok kompromittálódtak, az intézmény adminisztrátorának '''kötelessége''' a kulcsot visszavonni a föderációból (a [[Resource_Registry]]scope-n keresztül), illetve értesítenie a NIIF AAI csapatot.  == Jelentések készítése ==Az IdP szolgáltatás működésével kapcsolatban '''ajánlott''' meghatározni különböző metrikákat, melyek a szolgáltatás rendelkezésre állását és felhasználásának módját, hatékonyságát mérik. A föderáció összesített statisztikájának elkészítéséhez '''kötelező''' a következő adatok begyűjtése, napi felbontással:** egyedi felhasználók száma** egyes föderációs szolgáltatások felé adott SSO autentikációk száma** összes SSO autentikáció száma A teljes föderáció statisztikáját a föderációs operátor tartja karban. Az IdP üzemeltetője '''köteles''' oknak az IdP előző pontban felsorolt statisztikáit az operátor számára rendelkezésre bocsátani.  = Üzemeltetési kérdések = == Üzemeltetéssel kapcsolatos kötelezettségek ==Az intézmények '''kötelesek''' AAI rendszereiket elvárható gondossággal üzemeltetni, az üzemeltetési eljárásaikat dokumentálni, azokat rendszeresen felülvizsgálni. Az AAI rendszerek megfelelő működéséhez szükséges infrastruktúra biztosítása (megfelelő hálózati elérés, szoftverfrissítések, időszinkronizálás) az intézmények feladata.  == Naplózás, monitorozás =='''Ajánlott''' a szolgáltatás működését folyamatosan monitorozni. Ez a monitorozás magában foglalhatja a naplóállományok rendszeres vizsgálatát, az operációs rendszer, illetve a hálózat elérhetőségének, átbocsátó képességének ellenőrzését illetve mérését. Hiba esetén '''ajánlott''' az operátorok automatikus (e-mail, SMS) értesítése. A rendszerben keletkező naplóállományok személyes adatokat tartalmaznak, ezért ezen naplóállományok kezelésével kapcsolatosan '''kötelező''' az adatkezelési elvek betartása. A személyes adatokhoz való hozzáférésről '''kötelező''' naplóállományokat készíteni, ezeket az IdP naplókkal összhangban meg '''kell''' őrizni. Biztosítani '''kell''', hogy a naplóállományokhoz csak az arra felhatalmazott személyek férhessenek hozzá. '''Ajánlott''' a webszerver és az IdP logokat napi szinten cserélni (rotálni), a régi logfájlokat pedig tömörített, integritásvédett formátumban tárolni. Az incidensek felderítése érdekében az IdP '''köteles''' minden belépésről a felhasználó visszakövethetőségét biztosító adatokat 30 napig megőrizni, majd azután törölni. Az IdP ezeket az adatokat '''nem adhatja ki''' az SP-k számára.  == Biztonság ==Az AAI infrastruktúra szervereire, illetve a személyes adatokat kezelő egyéb szerverekre való belépést erősen korlátozni '''kell'''. '''Ajánlott''' a többfaktoros, emelt szintű autentikáció, illetve a belépés bizonyos hálózati szegmensekre való korlátozása. Az t üzemeltető intézmény felelőssége, hogy ezen szerverekre csak a megfelelő jogosultsággal bíró operátorok léphessenek be. '''Ajánlott''' a szerverek tűzfallal történő védelme, illetve behatolást észlelő rendszer (IDS) futtatása. Az AAI infrastruktúra felhasználók számára szolgáltatásokat nyújtó elemeire '''ajánlott''' megbízható tanúsítványkiadó által kiadott, modern böngészők által elfogadott tanúsítványok használata (IdP webszerver, SP webszerver). Az IdP és az SP által használt, metaadatba is kerülő kulcshoz '''ajánlott'' az ún. self-signed tanúsítvány használata. Az AAI infrastruktúra elemei esetén '''megkövetelt''' a minimum 2048 bites kulcsok használata. Biztosítani '''kell''', hogy a működéshez szükséges privát kulcsokhoz csak az arra jogosultak férhessenek hozzá. Amennyiben egy kulcs kompromittálódik, azt azonnal vissza '''kell''' vonni az AAI rendszerből, és erről 1 munkanapon belül értesíteni '''kell''' a föderációs operátort!  == AAI komponensek konfigurációja, üzemeltetése ==Az AAI komponensek számára '''kötelező''' a föderációs metaadatot a központi helyről letölteni (http://metadata.eduid.hu/metadata.xml), és legfeljebb napi gyakorisággal frissíteni. A metaadat aláírását illetve a benne szereplő érvényességre vonatkozó adatokat (validUntil) '''kötelező''' minden frissítés során ellenőrizni. A metaadat aláíró tanúsítványát '''ajánlott''' összevetni a NIIF AAI visszavonási listával. Az intézmények számára '''ajánlott''' az AAI rendszerek konfigurációjának dokumentálása, illetve verziókövetése.  === Attribútumok kezelése ===Az intézmény '''köteles''' a felhasználók személyes adatait a törvényi előírásokkal összhangban kezelni. Az IdP csak olyan attribútumokat adhat ki, amelyek minimálisan szükségesek egy szolgáltatás működéséhez. Minden kiadott személyes adat csak a felhasználó beleegyezésével adható ki. Az intémény '''köteles''' a tárolt adatok integritását biztosítani, azokhoz a hozzáférést megfelelően szabályozni. Az adatforrásokhoz való kapcsolatot titkosított hálózati protokoll felett '''kell''' végezni (kivétel ezalól a lokális hoszt). IdP üzemeltetése esetén '''ajánlott''' az adatkiadást a [[Resource_Registry]]-n keresztül generált szűrőkkel szabályozni. '''Ajánlott''' ezen szűrők rendszeres frissítése. Az IdP-nek '''kötelező''' támogatnia célzott, átlátszatlan azonosítót, és ezt az SP-k számára kiadni (amennyiben az adott SP kér ilyet). Ez az azonosító lehet az ún. [[HREFAttributeSpec#eduPersonTargetedID|eduPersonTargetedID]]tulajdonában álló DNS domainnek, vagy SAML2 persistent NameID, utóbbit '''kötelező''' perzisztensen kezelni (tehát adatbázisban tárolni). További információ: [[HREFAttributeSpec#NameID_formátumok_-_melyiket_válasszam.3F|a NameID formátumokról]].  === Felhasznált SAML profilok ===Az IdP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-Redirect</code> binding felett támogatni. Az SP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-POST</code> felett támogatni. Mind az IdP, mind az SP számára ajánlott a SAML2 Single Logout profil támogatása <code>HTTP-Redirect</code> illetve <code>SOAP</code> binding felett. A <code>HTTP-Artifact</code> binding használata a Web Browser SSO profil esetén megengedett. A felhasználó személyes adatainak védelme érdekében az IdP '''köteles''' minden végpontját SSL/TLS-sel védeni (HTTPS). Az SP számára '''ajánlott''' az SSL/TLS használata. Felhasználói adatot titkosítatlan csatornán átvinni '''tilos''' (tehát ha az SP nem használ SSL/TLS-t, az assertion titkosítása '''kötelező''', egyébként '''ajánlott''').  === Adatvédelem, attribútum-kiadás ===Az IdP-nek '''kötelező''' megjelölni egy ''adatvédelmi felelőst'', aki jogosult az adatkiadási szabályokról dönteni. '''Ajánlott''' szerep e-mail címet megadni erre a célra. Az IdP adatvédelmi felelőse folyamatosan figyelemmel kíséri a Resource Registry-ben attribútum filterek változását (ill. az erről küldött e-maileket), amelyeket a változástól számított 7 napon belül jóvá '''kell''' hagynia vagy el '''alatt levő névnek kell''' utasítania. = Források =[http://www.switchlennie.ch/aai/support/bcp/idp-1.0.html SWITCH - Best current practices for operating a SWITCHaai Identity Provider]