Módosítások

= Jelen dokumentum célja =A dokumentum célja, hogy a [[HREFGlossary#HREF Föderáció|HREF Föderációhoz]] csatlakozó [[HREFGlossary#Tag|Tagok]] és [[HREFGlossary#Partner|Partnerek]] számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment , valamint üzemeltetési területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.

A HREF Föderációhoz csatlakozó Tagok és Partnerek dokumentumban a csatlakozással magukra nézve kötelező érvényűként elfogadják az alább leírtakat. Az '''ajánlottKÖTELEZŐ''', '''TILOS''', '''AJÁNLOTT''' eljárásoktól való eltérés indokolt esetben lehetséges, de minden eltérést dokumentálni szükséges.= Identitás-menedzsment =Jelen fejezet összefoglalja '''NEM AJÁNLOTT''' kifejezések értelmezése az intézményen belüli felhasználókezelésre vonatkozó előírásokat. A felhasználókezelés magában foglalja aalábbiak szerinti:

* felhasználói accountok létrehozását'''KÖTELEZŐ''' (ill. '''"KÖTELES"''',* ezen accountok folyamatos ellenőrzését '''"kell"''') jelentése: a pontban leírtak betartása a föderációba vetett bizalom kiépítéséhez és naprakészen tartásátmegtartásához elengedhetetlenül szükségesek,* a felhasználó távozása után ettől a felhasználói adatok törlését,* az adatok védelmét illetéktelen behatolással szemben.résztvevők nem térhetnek el;

Az intézmények * '''kötelesekTILOS''' az alkalmazott felhasználókezelési elveiket dokumentálnijelentése KÖTELEZŐ NEM, és azaz a működést ezen dokumentáció alapján rendszeresen (legalább évente egyszer) ellenőrizni, szükség esetén a dokumentációt frissíteni.== Adatforrások ==A felhasználói adatok több helyről származhatnak:pontban leírtak szerint az intézmény nem járhat el;

* személyes felvétel,* egyéb autoritatív adatbázis (tanulmányi, munkaügyi rendszer)az '''AJÁNLOTT''' pontoktól való eltéréseket az intézmények dokumentálni kötelesek.

Amennyiben egy intézmény külső, független adatbázist használ az IdP adatbázisának feltöltésére, * '''kötelesNEM AJÁNLOTT''' jelentése: amennyiben az intézmény a következő kritériumokat betartani:pontban leírtak szerint jár el, ezt dokumentálni köteles.

A felhasználói account hitelesítésekor '''ajánlott''' az account tulajdonosát személyesen azonosítani, személyi igazolvány, vagy egyéb hivatalos okmány segítségével. '''Ajánlott''' továbbá a természetes azonosítókat (név, anyja neve, születési hely és idő), illetve a postai elérhetőséget a hivatalos okmányokon szereplő adatokkal egyeztetni== 1.Identitás-menedzsment ==

Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl:1. tanulmányi rendszer) terhelik1.=== Teszt felhasználók és szerep felhasználók ==='''Nem ajánlott'''Az intézmény köteles adatkezelési elveit dokumentálni, de bizonyos megkötésekkel lehetséges technikai bejegyzések (például teszt accountok) illetve szerep felhasználók (dékán, adminisztrátor, ...) használata, de ezeket egyértelműen azonosítani és dokumentálni '''kell'''. Az intézményhez fűződő szerepet tároló attribútumnak ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) azt a teszt illetve szerep felhasználók esetén '''tilos''' valódi értékeket adni (hallgató, oktató, alkalmazott, ...)felhasználókkal megismertetni.

A teszt felhasználók jelszavát '''kötelező''' legalább 6 havonta cserélni:1.2.== Jelszavak kiosztása és karbantartása ==Az IdP adatbázisbejegyzéseihez tartozó jelszavakat '''tilos''' hitelesítetlen vagy titkosítatlan csatornán továbbítani bármely két rendszer közöttintézmény köteles a felhasználóiról általa ismert adatok forrását, például elektronikus levélben elküldenikarbantartásának módját, titkosítatlan kapcsolaton illetve ezen adatok becsült adatminőségét dokumentálni, és igény esetén ezt a felhasználótól bekérni. Ugyancsak biztosítani '''kell''' a jelszót tároló adatbázis és az IdP között dokumentációt a kölcsönösen hitelesített és titkosított csatornátföderáció tagjainak rendelkezésére bocsátani.

A felhasználói accountokhoz tartozó jelszavakat '''ajánlott''' személyesen, vagy egyéb, nem elektronikus módon kiosztani (pl:1. postai úton)3. Lehetőség van arra, hogy Kötelező a felhasználó saját maga állítsa be jelszavát, ha technikailag a felhasználó biztonságos azonosítása lehetséges (pl. a tanulmányi rendszerben tárolt jelszó segítségével)felhasználónevek egyediségét biztosítani.

Minimális elvárásként '''kötelező''' legalább 6 karakter hosszú, legalább két karakterosztályt (betűk, számok, egyéb jelek) tartalmazó jelszavak használata:1. '''Ajánlott''' a legalább 8 karakter hosszú, legalább két karakterosztályt tartalmazó jelszavak használata, ugyancsak '''4. Egy természetes személyhez nem ajánlott''' a jelszó szűrése a szótárban szereplő szavak alapjántöbb felhasználói azonosítót rendelni.

'''Ajánlott''' a jelszavak évenkénti cseréjének kikényszerítése:1.5. Nem ajánlott szerep felhasználók (dékán, igazgató) használata.

Az elfelejtett jelszavak cseréjére az intézmény bármilyen, megfelelően biztonságos eljárást alkalmazhat (személyes megjelenés, tanulmányi rendszerben tárolt jelszó, SMS-ben elküldött ideiglenes jelszó), amit '''kötelező''' dokumentálni:1.6. Attribútumok használata:

'''Ajánlott''' a jelszavak brute::1.6.1. A megvalósított attribútumokat az IdP-force támadásának kiszűrése, egyéb preventív módszerek alkalmazása (például 3 elrontott jelszó után automatikus kitiltás).nek az Attribútum Specifikációban leírt módon kell megvalósítani;

== Felhasználói adatok karbantartása ==::1.6.2. Az intézmény '''köteles''' a felhasználói adatbázisát rendszeresen karbantartani, abban a lejárt és nem használt accountokat letiltani. '''Kötelező''' a felhasználói adatokban bekövetkezett változásokat 30 napon belül átvezetni IdP-nek kötelező megvalósítania az IdP adatbázisába.alábbi attribútumokat:::* eduPersonTargetedID::* eduPersonPrincipalName::* eduPersonScopedAffialiation

'''Kötelező''' ::1.6.3. Az IdP-nek ajánlott megvalósítania az intézményhez való viszonyban bekövetkezett változásokat ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) 7 napon belül átvezetni az IdP adatbázisába.alábbi attribútumokat:::* displayName::* mail=== Felhasználók kiléptetése ===::* snAmennyiben egy felhasználó viszonya megszűnt az intézménnyel, az adatkarbantartásnál leírtakkal összhangban az [[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] értékét 7 napon belül törölni '''kell'''.::* givenName

Lehetőség van arra::1.6.4. Az IdP-nek kötelező biztosítania, hogy a hallgatók esetén a jogviszony megszűnte után ún. 'öregdiák' státuszban továbbra is használható maradjon a szolgáltatás (ezt azonban az 'alum' viszonnyal '''kötelezően''' jelezni kell)eduPersonTargetedID és az eduPersonPrincipalName attribútumok ne legyenek újra kioszthatók.

Az intézmény '''köteles''' a :1.7. Teszt felhasználók kiléptetési procedúráját dokumentálni, különös tekintettel az IdP oldali szolgáltatás használatára. '''Ajánlott''' a jogviszony megszűnte után legfeljebb néhány héttel letiltani a felhasználó belépésének lehetőségét.alábbi megkötések mentén használhatóak:

= Szolgáltatás-menedzsment =Ez a szakasz az előzőekben leírt identitás-menedzsment elvekhez kapcsolódóan az egyes szoftver-komponensek üzemeltetését foglalja össze::1. A szakasz többnyire csak ajánlásokat fogalmaz meg7.== Rendelkezésre állás ==Az intézmény számára '''ajánlott''' a szolgáltatási szint (SLA) dokumentálása, és az eljárások rendszeres ellenőrzése az elkészült dokumentációnak megfelelően1. Az SLA a következő pontokat foglalja magában:* Tervezett minden teszt felhasználót egyértelműen azonosítani és nem tervezett leállásokkal kapcsolatos megkötések** egy éven belüli előre tervezett karbantartási célú leállások maximális száma** egy éven belüli maximális állási idő** a leállási időszakok kommunikálásának módja** nem tervezett leállások kommunikálásának módja* Szolgáltató rendszerek architektúrája, különös tekintettel az egyszeres hibapontokra, redundáns dokumentálni kötelező (tartalék-) rendszerekre, esetleges klaszterek működésére.== Támogatás ==A föderációban részt vevő intézmények '''kötelesek''' az IdP-vel (és az SP-velérte felelős munkatárssal együtt) kapcsolatos problémákra reagálni tudó operátori szerepkört kialakítaniuk. '''Ajánlott''', hogy ezt a szerepet ne egy ember töltse be, hiszen a felmerülő problémák esetén sok esetben gyors beavatkozás szükséges.

Az operátori problémákat '''ajánlott''' issue tracking rendszerben követni, amihez optimális esetben hibaelhárítást segítő tudásbázis is tartozhat::1.7.=== Felhasználók támogatása ===Az intézményeknek '''kötelező''' az IdP-vel kapcsolatosan végfelhasználói támogatást nyújtani2. Ezen támogatás elérhetőségéről teszt felhasználóval valós tranzakciót kezdeményezni tilos, kivéve, ha a felhasználókat tájékoztatni kelltranzakcióban részt vevő SP a teszt felhasználó használatához hozzájárult, amit a [[Resource_Registry]]-n keresztül felvitt helpdesk URL segíthet.

A föderációs operátor a végfelhasználók részére nem nyújt támogatást::1.7.3.=== Föderációs operátorral való kapcsolattartás, incidens-kezelés ===Az intézményeknek '''kötelességük''' dokumentálni az IdP szolgáltatással kapcsolatos katasztrófa-elhárítási teendőket, és ajánlott ezen dokumentációkat rendszeresen (legalább évente) ellenőrizni, naprakészen tartanifelhasználókat a megfelelő homeOrganizationType értékkel megkülönböztetni.

Az IdP-t üzemeltető szervezeti egység elérhetőségét fel '''kell''' tüntetni a [[Resource_Registry]]-ben:1. '''Ajánlott''' a csoporthoz közösen tartozó telefonszámot és e-mail címet használni8. Felhasználói azonosító adatokat (pl. jelszó) publikus hálózaton titkosítatlanul továbbítani (felhasználótól bekérni, adatbázisszerver felé kommunikálni) tilos.

Amennyiben a szolgáltatás által használt kriptográfiai kulcsok kompromittálódtak:1.9. A felhasználói jelszavakat ajánlott nem elektronikus formában kiosztani (pl. személyesen, az intézmény adminisztrátorának '''kötelessége''' a kulcsot '''azonnal''' visszavonni a föderációból (a [[Resource_Registry]]-n keresztülvagy postai úton), illetve 1 munkanapon belül értesítenie a NIIF AAI csapatot.

== Jelentések készítése ==Az :1.10. A felhasználók intézményhez fűződő viszonyában bekövetkezett változásokat 7 napon belül kötelező megjeleníteni az IdP szolgáltatás működésével kapcsolatban '''ajánlott''' meghatározni különböző metrikákat, melyek a szolgáltatás rendelkezésre állását adatbázisában és felhasználásának módját, hatékonyságát mérikaz eduPersonScopedAffiliation attribútum értékében.

A föderáció összesített statisztikájának elkészítéséhez '''kötelező''' a következő adatok begyűjtése, napi felbontással:** :1.10.1. Amennyiben az IdPintézmény külső adatforrást (tanulmányi-t adott napon használó (egyediill. bérügyi rendszert) felhasználók száma** egyes föderációs szolgáltatások felé adott SSO autentikációk száma** összes SSO autentikáció számahasznál a felhasználói adatok tárolására, úgy ez a 7 napos korlát a hiteles adat elsődleges rendszerben történő megváltozásától számítandó.

A teljes föderáció statisztikáját == 2. Szolgáltatás-menedzsment ==:2.1. Az intézmény köteles a föderációs operátor tartja karbanoperátorral való kapcsolattartásra megfelelő szerepkört kialakítani. Az IdP üzemeltetője '''köteles''' az IdP előző pontban felsorolt statisztikáit az operátor számára rendelkezésre bocsátaniAjánlott a kapcsolattartáshoz szerep e-mail címet megadni.

= Üzemeltetési kérdések === Üzemeltetéssel kapcsolatos kötelezettségek ==Az intézmények '''kötelesek''' AAI rendszereiket elvárható gondossággal üzemeltetni, az üzemeltetési eljárásaikat dokumentálni, azokat rendszeresen felülvizsgálni. Az AAI rendszerek megfelelő működéséhez szükséges infrastruktúra biztosítása (megfelelő hálózati elérés, szoftverfrissítések, időszinkronizálás) az intézmények feladata:2.== Naplózás, monitorozás =='''Ajánlott''' a szolgáltatás működését folyamatosan monitorozni2. Ez a monitorozás magában foglalhatja a naplóállományok rendszeres vizsgálatát, IdP-t üzemeltető intézmény köteles az operációs rendszerIdP-vel kapcsolatban végfelhasználói támogatást nyújtani, illetve és ezen támogatás elérhetőségéről a hálózat elérhetőségének, átbocsátó képességének ellenőrzését illetve mérését. Hiba esetén '''ajánlott''' az operátorok automatikus (e-mail, SMS) értesítésefelhasználóit tájékoztatni.

A rendszerben keletkező naplóállományok személyes adatokat tartalmaznak, ezért ezen naplóállományok kezelésével kapcsolatosan '''kötelező''' az adatkezelési elvek betartása:2.3. A személyes adatokhoz való hozzáférésről '''kötelező''' naplóállományokat készíteni, ezeket Az intézmény köteles az általa üzemeltett IdP naplókkal összhangban meg '''kell''' őrizni. Biztosítani '''kell'''forgalmi adataiból anonimizált, hogy legalább napi felbontású adatokat szolgáltatni a naplóállományokhoz csak az arra felhatalmazott személyek férhessenek hozzáföderációs operátor számára föderációs célú statisztika készítésének céljából.

'''Ajánlott''' a webszerver és az IdP logokat napi szinten cserélni (rotálni), a régi logfájlokat pedig tömörített, integritásvédett formátumban tárolni== 3.Üzemeltetési kérdések ==

Az incidensek felderítése érdekében az IdP '''köteles''' minden belépésről a felhasználó visszakövethetőségét biztosító adatokat :3.1. A személyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, és azt legalább 30 napig megőrizni, majd azután törölni, vagy off-line módon archiválni. Az IdP ezeket az adatokat '''nem adhatja ki''' az SP-k számára.

== Biztonság ==Az AAI infrastruktúra szervereire, illetve a személyes adatokat kezelő egyéb szerverekre való belépést erősen korlátozni '''kell''':3.1. '''Ajánlott''' a többfaktoros, emelt szintű autentikáció, illetve a belépés bizonyos hálózati szegmensekre való korlátozása1. Az intézmény felelőssége, hogy ezen szerverekre csak ezeket a naplókat köteles a megfelelő jogosultsággal bíró operátorok léphessenek behatályos adatvédelmi szabályokkal összhangban kezelni.

'''Ajánlott''' a szerverek tűzfallal történő védelme, illetve behatolást észlelő rendszer (IDS) futtatása:3.2. Az AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata.

Az AAI infrastruktúra felhasználók számára szolgáltatásokat nyújtó elemeire '''ajánlott''' megbízható tanúsítványkiadó által kiadott, modern böngészők által elfogadott tanúsítványok használata (IdP webszerver, SP webszerver)::3. Az IdP és az SP által használt, metaadatba is kerülő kulcshoz '''ajánlott''' az ún2. self-signed tanúsítvány használata1. Biztosítani kell a privát kulcsok védelmét.

Az AAI infrastruktúra elemei esetén '''megkövetelt''' ::3.2.2. Amennyiben egy kulcs kompromittálódik, az intézmény köteles a minimum 2048 bites kulcsok használataföderációs operátort 24 órán belül értesíteni.

Biztosítani '''kell'''::3.2.3. Ajánlott hosszú lejáratú, hogy a működéshez szükséges privát kulcsokhoz csak az arra jogosultak férhessenek hozzáself-signed tanúsítványok használata. Amennyiben egy kulcs kompromittálódik, azt azonnal vissza '''kell''' vonni az AAI rendszerből, és erről 1 munkanapon belül értesíteni '''kell''' a föderációs operátort!

== AAI komponensek konfigurációja, üzemeltetése ==Az AAI komponensek számára '''kötelező''' a föderációs metaadatot a központi helyről letölteni (http://metadata3.eduid.hu/metadata.xml), és 24 óránként vagy gyakrabban frissíteni. A metaadat aláírását illetve a benne szereplő érvényességre vonatkozó adatokat (validUntil) '''kötelező''' minden frissítés során ellenőrizni. A metaadat aláíró tanúsítványát '''ajánlott''' összevetni a NIIF AAI visszavonási listával3.Vonatkozó SAML szabványok

Az intézmények számára '''ajánlott::3.3.1. Kötelező az ''' az AAI rendszerek konfigurációjának dokumentálása, illetve verziókövetéseInteroperable SAML 2.=== Attribútumok kezelése ===Az intézmény ''0 Web Browser SSO Deployment Profile'köteles''' a felhasználók személyes adatait a törvényi előírásokkal összhangban kezelni. Az IdP csak olyan attribútumokat adhat ki, amelyek minimálisan szükségesek egy szolgáltatás működéséhez. Minden kiadott személyes adat csak a felhasználó beleegyezésével adható ki([http://saml2int.org]) dokumentumban kötelezőnek megjelölt elemek támogatása

Az intémény '''köteles''' a tárolt adatok integritását biztosítani, azokhoz ::3.3.2. Ajánlott a hozzáférést megfelelően szabályozni. Az adatforrásokhoz való kapcsolatot titkosított hálózati protokoll SAML2 Single Logout profil támogatása HTTP-Redirect illetve SOAP binding felett '''kell''' végezni (kivétel ezalól a lokális hoszt).

:3.4. Az IdP üzemeltetése esetén '''ajánlott''' az adatkiadást a [[Resource_Registry]]-n keresztül generált szűrőkkel szabályozni. '''Ajánlott''' ezen szűrők rendszeres frissítéseköteles minden végpontját HTTPS (SSL/TLS) protokollok segítségével védeni.

:3.5. Az IdP-nek '''kötelező''' támogatnia célzott, átlátszatlan azonosítót, és ezt minden SAML végpontjának az SPIdP-k számára kiadni (amennyiben az adott SP kér ilyet). Ez az azonosító lehet az ún. [[HREFAttributeSpec#eduPersonTargetedID|eduPersonTargetedID]]t üzemeltető intézmény tulajdonában álló DNS domainnek, vagy SAML2 persistent NameID, utóbbit '''kötelező''' perzisztensen kezelni (tehát adatbázisban tárolni). További információ: [[HREFAttributeSpec#NameID_formátumok_-_melyiket_válasszam.3F|a NameID formátumokról]].=== Felhasznált SAML profilok ===Az IdP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-Redirect</code> binding felett támogatniaz alatt levő névnek kell lennie.

Az SP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-POST</code> felett támogatni. Mind az IdP, mind az SP számára ajánlott a SAML2 Single Logout profil támogatása <code>HTTP-Redirect</code> illetve <code>SOAP</code> binding felett. A <code>HTTP-Artifact</code> binding használata a Web Browser SSO profil esetén megengedett. A felhasználó személyes adatainak védelme érdekében az IdP '''köteles''' minden végpontját SSL/TLS-sel védeni (HTTPS):3. Az SP számára '''ajánlott''' az SSL/TLS használata. Felhasználói adatot titkosítatlan csatornán átvinni '''tilos''' (tehát ha az SP nem használ SSL/TLS-t, az assertion titkosítása '''kötelező''', egyébként '''ajánlott''')6.=== Adatvédelem, attribútum-kiadás ===Az IdPáltal használt scope-nek '''kötelező''' megjelölni egy ''adatvédelmi felelőst'', aki jogosult oknak az adatkiadási szabályokról dönteni. '''Ajánlott''' szerep e-mail címet megadni erre a célra. Az IdP adatvédelmi felelőse folyamatosan figyelemmel kíséri a Resource Registry-ben attribútum filterek változását (ill. az erről küldött e-maileket)t üzemeltető intézmény tulajdonában álló DNS domainnek, amelyeket a változástól számított 7 napon belül jóvá '''kell''' hagynia vagy el '''az alatt levő névnek kell''' utasítanialennie. = Források =[http://www.switch.ch/aai/support/bcp/idp-1.0.html SWITCH - Best current practices for operating a SWITCHaai Identity Provider]