Módosítások

= Jelen dokumentum célja =A dokumentum célja, hogy a [[HREFGlossary#HREF Föderáció|HREF Föderációhoz]] csatlakozó [[HREFGlossary#Tag|Tagok]] és [[HREFGlossary#Partner|Partnerek]] számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment , valamint üzemeltetési területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.

A HREF Föderációhoz csatlakozó Tagok és Partnerek dokumentumban a csatlakozással magukra nézve kötelező érvényűként elfogadják az alább leírtakat. Az '''ajánlottKÖTELEZŐ''', '''TILOS''', '''AJÁNLOTT''' eljárásoktól való eltérés indokolt esetben lehetséges, de minden eltérést dokumentálni szükséges.= Identitás-menedzsment =Jelen fejezet összefoglalja '''NEM AJÁNLOTT''' kifejezések értelmezése az intézményen belüli felhasználókezelésre vonatkozó előírásokat. A felhasználókezelés magában foglalja aalábbiak szerinti:

* felhasználói accountok létrehozását'''KÖTELEZŐ''' (ill. '''"KÖTELES"''',* ezen accountok folyamatos ellenőrzését '''"kell"''') jelentése: a pontban leírtak betartása a föderációba vetett bizalom kiépítéséhez és naprakészen tartásátmegtartásához elengedhetetlenül szükségesek,* a felhasználó távozása után ettől a felhasználói adatok törlését,* az adatok védelmét illetéktelen behatolással szemben.résztvevők nem térhetnek el;

Az intézmények * '''kötelesekTILOS''' az alkalmazott felhasználókezelési elveiket dokumentálnijelentése KÖTELEZŐ NEM, és azaz a működést ezen dokumentáció alapján rendszeresen (legalább évente egyszer) ellenőrizni, szükség esetén a dokumentációt frissíteni.== Adatforrások ==A felhasználói adatok több helyről származhatnak:pontban leírtak szerint az intézmény nem járhat el;

* személyes felvétel,* egyéb autoritatív adatbázis (tanulmányi, munkaügyi rendszer)az '''AJÁNLOTT''' pontoktól való eltéréseket az intézmények dokumentálni kötelesek.

Amennyiben egy intézmény külső, független adatbázist használ az IdP adatbázisának feltöltésére, * '''kötelesNEM AJÁNLOTT''' jelentése: amennyiben az intézmény a következő kritériumokat betartani:pontban leírtak szerint jár el, ezt dokumentálni köteles.

A felhasználói account hitelesítésekor '''ajánlott''' az account tulajdonosát személyesen azonosítani, személyi igazolvány, vagy egyéb hivatalos okmány segítségével. '''Ajánlott''' továbbá a természetes azonosítókat (név, anyja neve, születési hely és idő), illetve a postai elérhetőséget a hivatalos okmányokon szereplő adatokkal egyeztetni== 1.Identitás-menedzsment ==

Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl:1. tanulmányi rendszer) terhelik1.=== Teszt felhasználók és szerep felhasználók ==='''Nem ajánlott'''Az intézmény köteles adatkezelési elveit dokumentálni, de bizonyos megkötésekkel lehetséges technikai bejegyzések (például teszt accountok) illetve szerep felhasználók (dékán, adminisztrátor, ...) használata, de ezeket egyértelműen azonosítani és dokumentálni '''kell'''. Az intézményhez fűződő szerepet tároló attribútumnak ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) azt a teszt illetve szerep felhasználók esetén '''tilos''' valódi értékeket adni (hallgató, oktató, alkalmazott, ...)felhasználókkal megismertetni.

A teszt felhasználók jelszavát '''kötelező''' legalább 6 havonta cserélni:1.2.== Jelszavak kiosztása és karbantartása ==Az IdP adatbázisbejegyzéseihez tartozó jelszavakat '''tilos''' nem hitelesített csatornán továbbítani bármely két rendszer közöttintézmény köteles a felhasználóiról általa ismert adatok forrását, karbantartásának módját, például elektronikus levélben elküldeniilletve ezen adatok becsült adatminőségét dokumentálni, titkosítatlan kapcsolaton bekérniés igény esetén ezt a dokumentációt a föderáció tagjainak rendelkezésére bocsátani.

A felhasználói accountokhoz tartozó jelszavakat '''ajánlott''' személyesen, vagy egyéb, nem elektronikus módon kiosztani (pl:1. postai úton)3. Lehetőség van arra, hogy Kötelező a felhasználó saját maga állítsa be jelszavát, ha technikailag a felhasználó biztonságos azonosítása lehetséges (pl. a tanulmányi rendszerben tárolt jelszó segítségével)felhasználónevek egyediségét biztosítani.

Minimális elvárásként '''kötelező''' legalább 6 karakter hosszú, legalább két karakterosztályt (betűk, számok, egyéb jelek) tartalmazó jelszavak használata:1. '''Ajánlott''' a legalább 8 karakter hosszú, legalább két karakterosztályt tartalmazó jelszavak használata, ugyancsak '''4. Egy természetes személyhez nem ajánlott''' a jelszó szűrése a szótárban szereplő szavak alapjántöbb felhasználói azonosítót rendelni.

'''Ajánlott''' a jelszavak évenkénti cseréjének kikényszerítése:1.5. Nem ajánlott szerep felhasználók (dékán, igazgató) használata.

Az elfelejtett jelszavak cseréjére az intézmény bármilyen, megfelelően biztonságos eljárást alkalmazhat (személyes megjelenés, tanulmányi rendszerben tárolt jelszó, SMS-ben elküldött ideiglenes jelszó), amit '''kötelező''' dokumentálni:1.6. Attribútumok használata:

'''Ajánlott''' a jelszavak brute-force támadásának kiszűrése, egyéb preventív módszerek alkalmazása (például 3 elrontott jelszó után automatikus kitiltás)::1.6.=== Felhasználói adatok karbantartása ===Az intézmény '''köteles''' a felhasználói adatbázisát rendszeresen karbantartani, abban a lejárt és nem használt accountokat letiltani1. '''Kötelező''' a felhasználói adatokban bekövetkezett változásokat 4 héten belül(?) átvezetni A megvalósított attribútumokat az IdP adatbázisába.-nek az Attribútum Specifikációban leírt módon kell megvalósítani;

'''Kötelező''' ::1.6.2. Az IdP-nek kötelező megvalósítania az intézményhez való viszony ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) gyakori karbantartása (legalább heti rendszerességgel).alábbi attribútumokat:::* eduPersonTargetedID=== Felhasználók kiléptetése ===::* eduPersonPrincipalNameAmennyiben egy felhasználó viszonya megszűnt az intézménnyel, az adatkarbantartásnál leírtakkal összhangban az [[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] értékét 1 héten belül törölni '''kell'''.::* eduPersonScopedAffialiation

::1.6.3. Az intézmény '''köteles''' a felhasználók kiléptetési procedúráját dokumentálni, különös tekintettel IdP-nek ajánlott megvalósítania az IdP oldali szolgáltatás használatára. '''Ajánlott''' a jogviszony megszűnte után legfeljebb néhány héttel letiltani a felhasználó belépésének lehetőségét.alábbi attribútumokat:::* displayName::* mail::* sn::* givenName

Lehetőség van arra, hogy a hallgatók esetén a jogviszony megszűnte után ún. 'öregdiák' státuszban továbbra is használható maradjon a szolgáltatás (ezt azonban az 'alum' viszonnyal '''kötelezően''' jelezni kell)::1.= Szolgáltatás-menedzsment =Ez a szakasz az előzőekben leírt identitás-menedzsment elvekhez kapcsolódóan az egyes szoftver-komponensek üzemeltetését foglalja össze6. A szakasz többnyire csak ajánlásokat fogalmaz meg4.== Rendelkezésre állás ==Az intézmény számára '''ajánlott''' a szolgáltatási szint (SLA) dokumentálása, és az eljárások rendszeres ellenőrzése az elkészült dokumentációnak megfelelően. Az SLA a következő pontokat foglalja magában:* Tervezett és nem tervezett leállásokkal kapcsolatos megkötések** egy éven belüli előre tervezett karbantartási célú leállások maximális száma** egy éven belüli maximális állási idő** a leállási időszakok kommunikálásának módja** nem tervezett leállások kommunikálásának módja* Szolgáltató rendszerek architektúrája, különös tekintettel az egyszeres hibapontokra, redundáns (tartalékIdP-) rendszerekrenek kötelező biztosítania, esetleges klaszterek működésére.== Támogatás ==A föderációban részt vevő intézmények '''kötelesek''' hogy az IdP-vel (eduPersonTargetedID és az SP-vel) kapcsolatos problémákra reagálni tudó operátori szerepkört kialakítaniuk. '''Ajánlott''', hogy ezt a szerepet eduPersonPrincipalName attribútumok ne egy ember töltse be, hiszen a felmerülő problémák esetén sok esetben gyors beavatkozás szükségeslegyenek újra kioszthatók.

Az operátori problémákat '''ajánlott''' issue tracking rendszerben követni, amihez optimális esetben hibaelhárítást segítő tudásbázis is tartozhat:1.=== Felhasználók támogatása ===Az intézményeknek '''kötelező''' 7. Teszt felhasználók az IdP-vel kapcsolatosan végfelhasználói támogatást nyújtani. Ezen támogatás elérhetőségéről a felhasználókat tájékoztatni kell, amit a [[Resource_Registry]]-n keresztül felvitt helpdesk URL segíthet.alábbi megkötések mentén használhatóak:

A föderációs operátor a végfelhasználók részére nem nyújt támogatást::1.=== Föderációs operátorral való kapcsolattartás, incidens-kezelés ===Az intézményeknek '''kötelességük''' 7.1. minden teszt felhasználót egyértelműen azonosítani és dokumentálni kötelező (az IdP szolgáltatással kapcsolatos katasztrófa-elhárítási teendőket, és ezen dokumentációkat rendszeresen (legalább éventeérte felelős munkatárssal együtt) ellenőrizni, naprakészen tartani.

Az IdP-t üzemeltető szervezeti egység elérhetőségét fel '''kell''' tüntetni ::1.7.2. teszt felhasználóval valós tranzakciót kezdeményezni tilos, kivéve, ha a [[Resource_Registry]]-ben. '''Ajánlott''' tranzakcióban részt vevő SP a csoporthoz közösen tartozó telefonszámot és e-mail címet használni. teszt felhasználó használatához hozzájárult,

Amennyiben a szolgáltatás által használt kriptográfiai kulcsok kompromittálódtak, az intézmény adminisztrátorának '''kötelessége''' a kulcsot '''azonnal''' visszavonni a föderációból (a [[Resource_Registry]]-n keresztül), illetve 8 órán belül értesítenie a NIIF AAI csapatot::1.7.3.== Jelentések készítése ==Az IdP szolgáltatás működésével kapcsolatban '''ajánlott''' meghatározni különböző metrikákat, melyek ezen felhasználókat a szolgáltatás rendelkezésre állását és felhasználásának módját, hatékonyságát mérikmegfelelő homeOrganizationType értékkel megkülönböztetni.

A föderáció összesített statisztikájának elkészítéséhez '''kötelező''' a következő adatok begyűjtése:1.8. Felhasználói azonosító adatokat (pl. jelszó) publikus hálózaton titkosítatlanul továbbítani (felhasználótól bekérni, napi felbontással:** egyedi felhasználók száma** egyes föderációs szolgáltatások adatbázisszerver felé adott SSO autentikációk száma** összes SSO autentikáció számakommunikálni) tilos.

A teljes föderáció statisztikáját a föderációs operátor tartja karban:1. Az IdP üzemeltetője '''köteles''' az IdP előző pontban felsorolt statisztikáit az operátor számára rendelkezésre bocsátani9.= Üzemeltetési kérdések === Üzemeltetéssel kapcsolatos kötelezettségek ==Az intézmények '''kötelesek''' AAI rendszereiket elvárható gondossággal üzemeltetni, az üzemeltetési eljárásaikat dokumentálni, azokat rendszeresen felülvizsgálni. Az AAI rendszerek megfelelő működéséhez szükséges infrastruktúra biztosítása A felhasználói jelszavakat ajánlott nem elektronikus formában kiosztani (megfelelő hálózati elérés, szoftverfrissítések, időszinkronizálás) az intézmények feladatapl.== Naplózás, monitorozás =='''Ajánlott''' a szolgáltatás működését folyamatosan monitorozni. Ez a monitorozás magában foglalhatja a naplóállományok rendszeres vizsgálatát, az operációs rendszer, illetve a hálózat elérhetőségének, átbocsátó képességének ellenőrzését illetve mérését. Hiba esetén '''ajánlott''' az operátorok automatikus (e-mailszemélyesen, SMSvagy postai úton) értesítése.

A rendszerben keletkező naplóállományok személyes adatokat tartalmaznak, ezért ezen naplóállományok kezelésével kapcsolatosan '''kötelező''' az adatkezelési elvek betartása:1.10. A személyes adatokhoz való hozzáférésről '''felhasználók intézményhez fűződő viszonyában bekövetkezett változásokat 7 napon belül kötelező''' naplóállományokat készíteni, ezeket megjeleníteni az IdP naplókkal összhangban meg '''kell''' őrizni. Biztosítani '''kell''', hogy a naplóállományokhoz csak adatbázisában és az arra felhatalmazott személyek férhessenek hozzáeduPersonScopedAffiliation attribútum értékében.

'''Ajánlott''' a webszerver és ::1.10.1. Amennyiben az IdP logokat napi szinten cserélni intézmény külső adatforrást (rotálnitanulmányi- ill. bérügyi rendszert)használ a felhasználói adatok tárolására, úgy ez a 7 napos korlát a régi logfájlokat pedig tömörített, integritásvédett formátumban tárolnihiteles adat elsődleges rendszerben történő megváltozásától számítandó.

Az incidensek felderítése érdekében az IdP '''köteles''' minden belépésről a felhasználó visszakövethetőségét biztosító adatokat 30 napig megőrizni, majd azután törölni== 2. Az IdP ezeket az adatokat '''nem adhatja ki''' az SPSzolgáltatás-k számára.== Biztonság menedzsment ==:2.1. Az AAI infrastruktúra szervereire, illetve intézmény köteles a személyes adatokat kezelő egyéb szerverekre föderációs operátorral való belépést erősen korlátozni '''kell'''kapcsolattartásra megfelelő szerepkört kialakítani. '''Ajánlott''' a többfaktoros, emelt szintű autentikáció, illetve a belépés bizonyos hálózati szegmensekre való korlátozása. Az intézmény felelőssége, hogy ezen szerverekre csak a megfelelő jogosultsággal bíró operátorok léphessenek bekapcsolattartáshoz szerep e-mail címet megadni.

'''Ajánlott''' :2.2. IdP-t üzemeltető intézmény köteles az IdP-vel kapcsolatban végfelhasználói támogatást nyújtani, és ezen támogatás elérhetőségéről a szerverek tűzfallal történő védelme, illetve behatolást észlelő rendszer (IDS) futtatásafelhasználóit tájékoztatni.

Az AAI infrastruktúra felhasználók számára szolgáltatásokat nyújtó elemeire '''ajánlott''' megbízható tanúsítványkiadó által kiadott, modern böngészők által elfogadott tanúsítványok használata (IdP webszerver, SP webszerver):2.3. Az intézmény köteles az általa üzemeltett IdP és az SP által használtforgalmi adataiból anonimizált, metaadatba is kerülő kulcshoz '''ajánlott'' az ún. self-signed tanúsítvány használatalegalább napi felbontású adatokat szolgáltatni a föderációs operátor számára föderációs célú statisztika készítésének céljából.

Az AAI infrastruktúra elemei esetén '''megkövetelt''' a minimum 2048 bites kulcsok használata== 3.Üzemeltetési kérdések ==

Biztosítani '''kell''', hogy a működéshez szükséges privát kulcsokhoz csak az arra jogosultak férhessenek hozzá:3. Amennyiben egy kulcs kompromittálódik, azt azonnal vissza '''kell''' vonni az AAI rendszerből, és erről 1 munkanapon belül értesíteni '''kell''' a föderációs operátort!== AAI komponensek konfigurációja, üzemeltetése ==Az AAI komponensek számára '''. A személyes adatokkal kapcsolatos tranzakciókról kötelező''' a föderációs metaadatot a központi helyről letölteni (http://metadata.eduid.hu/metadata.xml)naplóállományt készíteni, és legfeljebb napi gyakorisággal frissíteni. A metaadat aláírását illetve a benne szereplő érvényességre vonatkozó adatokat (validUntil) '''kötelező''' minden frissítés során ellenőrizni. A metaadat aláíró tanúsítványát '''ajánlott''' összevetni a NIIF AAI visszavonási listávalazt legalább 30 napig megőrizni.

Az intézmények számára '''ajánlott''' az AAI rendszerek konfigurációjának dokumentálása, illetve verziókövetése:3.1.1.=== Attribútumok kezelése ===Az intézmény '''ezeket a naplókat köteles''' a felhasználók személyes adatait a törvényi előírásokkal hatályos adatvédelmi szabályokkal összhangban kezelni. Az IdP csak olyan attribútumokat adhat ki, amelyek minimálisan szükségesek egy szolgáltatás működéséhez. Minden kiadott személyes adat csak a felhasználó beleegyezésével adható ki.

Az intémény '''köteles''' a tárolt adatok integritását biztosítani, azokhoz a hozzáférést megfelelően szabályozni:3.2. Az adatforrásokhoz való kapcsolatot titkosított hálózati protokoll felett '''kell''' végezni (kivétel ezalól a lokális hoszt)AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata.

IdP üzemeltetése esetén '''ajánlott''' az adatkiadást ::3.2.1. Biztosítani kell a [[Resource_Registry]]-n keresztül generált szűrőkkel szabályozni. '''Ajánlott''' ezen szűrők rendszeres frissítéseprivát kulcsok védelmét.

Az IdP-nek '''kötelező''' támogatnia célzott, átlátszatlan azonosítót, és ezt az SP-k számára kiadni (amennyiben az adott SP kér ilyet)::3.2. Ez az azonosító lehet az ún2. [[HREFAttributeSpec#eduPersonTargetedID|eduPersonTargetedID]]Amennyiben egy kulcs kompromittálódik, vagy SAML2 persistent NameID, utóbbit '''kötelező''' perzisztensen kezelni (tehát adatbázisban tárolni). További információ: [[HREFAttributeSpec#NameID_formátumok_-_melyiket_válasszam.3F|a NameID formátumokról]].=== Felhasznált SAML profilok ===Az IdP '''az intézmény köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-Redirect</code> binding felett támogatniföderációs operátort 24 órán belül értesíteni.

Az SP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP::3.2.3. Ajánlott hosszú lejáratú, self-POST</code> felett támogatnisigned tanúsítványok használata.

Mind az IdP, mind az SP számára ajánlott a SAML2 Single Logout profil támogatása <code>HTTP-Redirect</code> illetve <code>SOAP</code> binding felett:3.3. Vonatkozó SAML szabványok

A <code>HTTP-Artifact</code> binding használata a ::3.3.1. Kötelező az ''Interoperable SAML 2.0 Web Browser SSO profil esetén megengedettDeployment Profile'' ([http://saml2int.org]) dokumentumban kötelezőnek megjelölt elemek támogatása

A felhasználó személyes adatainak védelme érdekében az ::3.3.2. Ajánlott a SAML2 Single Logout profil támogatása HTTP-Redirect illetve SOAP binding felett. :3.4. Az IdP '''köteles''' minden végpontját SSL/TLS-sel védeni (HTTPS). Az SP számára '''ajánlott''' az SSL/TLS használata. Felhasználói adatot titkosítatlan csatornán átvinni '''tilos''' (tehát ha az SP nem használ SSL/TLS-t, az assertion titkosítása '''kötelező''', egyébként '''ajánlott''')protokollok segítségével védeni.=== Adatvédelem, attribútum-kiadás ===:3.5. Az IdP minden SAML végpontjának az IdP-nek '''kötelező''' megjelölni egy ''adatvédelmi felelőst''t üzemeltető intézmény tulajdonában álló DNS domainnek, aki jogosult vagy az adatkiadási szabályokról dönteni. '''Ajánlott''' szerep e-mail címet megadni erre a célraalatt levő névnek kell lennie. :3.6. Az IdP adatvédelmi felelőse folyamatosan figyelemmel kíséri a Resource Registryáltal használt scope-ben attribútum filterek változását (ill. oknak az erről küldött eIdP-maileket)t üzemeltető intézmény tulajdonában álló DNS domainnek, amelyeket a változástól számított 7 napon belül jóvá '''kell''' hagynia vagy el '''az alatt levő névnek kell''' utasítania.= Források =[http://www.switch.ch/aai/support/bcp/idp-1lennie.0.html SWITCH - Best current practices for operating a SWITCHaai Identity Provider]