Módosítások

= Jelen dokumentum célja =A dokumentum célja, hogy a [[HREFGlossary#HREF Föderáció|HREF Föderációhoz]] csatlakozó [[HREFGlossary#Tag|Tagok]] és [[HREFGlossary#Partner|Partnerek]] számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment , valamint üzemeltetési területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.

A HREF Föderációhoz csatlakozó Tagok és Partnerek dokumentumban a csatlakozással magukra nézve kötelező érvényűként elfogadják az alább leírtakat. Az '''ajánlottKÖTELEZŐ''', '''TILOS''', '''AJÁNLOTT''' eljárásoktól való eltérés indokolt esetben lehetséges, de minden eltérést dokumentálni szükséges.= Identitás-menedzsment =Jelen fejezet összefoglalja '''NEM AJÁNLOTT''' kifejezések értelmezése az intézményen belüli felhasználókezelésre vonatkozó előírásokat. A felhasználókezelés magában foglalja aalábbiak szerinti:

* felhasználói accountok létrehozását'''KÖTELEZŐ''' (ill. '''"KÖTELES"''',* ezen accountok folyamatos ellenőrzését '''"kell"''') jelentése: a pontban leírtak betartása a föderációba vetett bizalom kiépítéséhez és naprakészen tartásátmegtartásához elengedhetetlenül szükségesek,* a felhasználó távozása után ettől a felhasználói adatok törlését,* az adatok védelmét illetéktelen behatolással szemben.résztvevők nem térhetnek el;

Az intézmények * '''kötelesekTILOS''' az alkalmazott felhasználókezelési elveiket dokumentálnijelentése KÖTELEZŐ NEM, és azaz a működést ezen dokumentáció alapján rendszeresen (legalább évente egyszer) ellenőrizni, szükség esetén a dokumentációt frissíteni.== Adatforrások ==A felhasználói adatok több helyről származhatnak:pontban leírtak szerint az intézmény nem járhat el;

* személyes felvétel,* egyéb autoritatív adatbázis (tanulmányi, munkaügyi rendszer)az '''AJÁNLOTT''' pontoktól való eltéréseket az intézmények dokumentálni kötelesek.

Amennyiben egy intézmény külső, független adatbázist használ az IdP adatbázisának feltöltésére, * '''kötelesNEM AJÁNLOTT''' jelentése: amennyiben az intézmény a következő kritériumokat betartani:pontban leírtak szerint jár el, ezt dokumentálni köteles.

A felhasználói account hitelesítésekor '''ajánlott''' az account tulajdonosát személyesen azonosítani, személyi igazolvány, vagy egyéb hivatalos okmány segítségével. '''Ajánlott''' továbbá a természetes azonosítókat (név, anyja neve, születési hely és idő), illetve a postai elérhetőséget a hivatalos okmányokon szereplő adatokkal egyeztetni== 1.Identitás-menedzsment ==

Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl:1. tanulmányi rendszer) terhelik1.=== Teszt felhasználók és szerep felhasználók ===Az ún. szerep felhasználók (dékánintézmény köteles adatkezelési elveit dokumentálni, gazdaságis, adminisztrátor, ...) használata '''tilos'''azt a felhasználókkal megismertetni.

'''Nem ajánlott''':1.2. Az intézmény köteles a felhasználóiról általa ismert adatok forrását, de bizonyos megkötésekkel lehetséges teszt felhasználók létrehozásakarbantartásának módját, de ezeket egyértelműen azonosítani és illetve ezen adatok becsült adatminőségét dokumentálni '''kell''', különös tekintettel arra, hogy mely munkatárs felelős az adott teszt bejegyzésért. A teszt felhasználókat csak tesztelésre szabad felhasználni, azokkal valós tranzakciókat kezdeményezni '''tilos'''és igény esetén ezt a dokumentációt a föderáció tagjainak rendelkezésére bocsátani.

A [[HREFAttributeSpec#schacHomeOrganizationType|schacHomeOrganizationType]] attribútumban :1.3. Kötelező a teszt felhasználóknál '''kötelező''' a <code>urn:schac:homeOrganizationType:hu:test</code> értéket szerepeltetni, és ezt minden SP felé kiadni (függetlenül attól, hogy az adott SP kérte-e ezt az attribútumot, avagy sem)felhasználónevek egyediségét biztosítani.

A teszt felhasználók jelszavát ''':1.4. Egy természetes személyhez nem ajánlott''' gyakran cserélnitöbb felhasználói azonosítót rendelni.

== Jelszavak kiosztása és karbantartása ==Az IdP adatbázisbejegyzéseihez tartozó jelszavakat '''tilos''' hitelesítetlen vagy titkosítatlan csatornán továbbítani bármely két rendszer között, például elektronikus levélben elküldeni:1.5. Nem ajánlott szerep felhasználók (dékán, titkosítatlan kapcsolaton a felhasználótól bekérni. Ugyancsak biztosítani '''kell''' a jelszót tároló adatbázis és az IdP között a kölcsönösen hitelesített és titkosított csatornátigazgató) használata.

A felhasználói accountokhoz tartozó jelszavakat '''ajánlott''' személyesen, vagy egyéb, nem elektronikus módon kiosztani (pl:1. postai úton). Lehetőség van arra, hogy a felhasználó saját maga állítsa be jelszavát, ha technikailag a felhasználó biztonságos azonosítása lehetséges (pl. a tanulmányi rendszerben tárolt jelszó segítségével)6.Attribútumok használata:

Minimális elvárásként '''kötelező''' legalább ::1.6 karakter hosszú, legalább két karakterosztályt (betűk, számok, egyéb jelek) tartalmazó jelszavak használata. '''Ajánlott''' a legalább 8 karakter hosszú, legalább két karakterosztályt tartalmazó jelszavak használata, ugyancsak '''ajánlott''' a jelszó szűrése a szótárban szereplő szavak alapján1.A megvalósított attribútumokat az IdP-nek az Attribútum Specifikációban leírt módon kell megvalósítani;

'''Ajánlott''' a jelszavak évenkénti cseréjének kikényszerítése::1.6.2. Az IdP-nek kötelező megvalósítania az alábbi attribútumokat:::* eduPersonTargetedID::* eduPersonPrincipalName::* eduPersonScopedAffialiation

::1.6.3. Az elfelejtett jelszavak cseréjére IdP-nek ajánlott megvalósítania az intézmény bármilyen, megfelelően biztonságos eljárást alkalmazhat (személyes megjelenés, tanulmányi rendszerben tárolt jelszó, SMS-ben elküldött ideiglenes jelszó), amit '''kötelező''' dokumentálni.alábbi attribútumokat:::* displayName::* mail::* sn::* givenName

'''Ajánlott''' a jelszavak brute::1.6.4. Az IdP-force támadásának kiszűrésenek kötelező biztosítania, egyéb preventív módszerek alkalmazása (például 3 elrontott jelszó után automatikus kitiltás)hogy az eduPersonTargetedID és az eduPersonPrincipalName attribútumok ne legyenek újra kioszthatók.

== Felhasználói adatok karbantartása, :1.7. Teszt felhasználók kiléptetése ==Az intézmény '''köteles''' a felhasználói adatbázisát rendszeresen karbantartani, abban a lejárt és nem használt accountokat letiltani. az alábbi megkötések mentén használhatóak:

'''Kötelező''' az intézményhez való viszonyban ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) bekövetkezett változásokat ::1.7 napon belül átvezetni az IdP adatbázisába. Amennyiben a felhasználó elhagyta 1. minden teszt felhasználót egyértelműen azonosítani és dokumentálni kötelező (az intézménytérte felelős munkatárssal együtt), úgy ezt az információt szintén jelezni kell ebben az attribútumban:

* hallgató kilépése esetén lehetőség van arra, hogy a jogviszony megszűnte után ún::1. 'alum' státuszban továbbra is használható maradjon a szolgáltatás7. A 'student' illetve 'member' jelző ilyenkor már '''nem használható'''2.* oktató illetve alkalmazott kilépése esetén a 'staff'teszt felhasználóval valós tranzakciót kezdeményezni tilos, 'employee'kivéve, 'faculty'ha a tranzakcióban részt vevő SP a teszt felhasználó használatához hozzájárult, 'member' értékeket törölni kell.

Az intézmény '''köteles''' a felhasználók kiléptetési procedúráját dokumentálni, különös tekintettel az IdP oldali szolgáltatás használatára::1.7.3. '''Ajánlott''' a jogviszony megszűnte után legfeljebb néhány héttel teljesen letiltani ajánlott ezen felhasználókat a felhasználó belépésének lehetőségétmegfelelő homeOrganizationType értékkel megkülönböztetni.

Az egyéb felhasználói adatokban bekövetkezett változásokat 30 napon belül '''kötelező''' átvezetni az IdP adatbázisába:1.8. Felhasználói azonosító adatokat (pl. jelszó) publikus hálózaton titkosítatlanul továbbítani (felhasználótól bekérni, adatbázisszerver felé kommunikálni) tilos.

= Szolgáltatás-menedzsment =Ez a szakasz az előzőekben leírt identitás-menedzsment elvekhez kapcsolódóan az egyes szoftver-komponensek üzemeltetését foglalja össze:1.9. A szakasz többnyire csak ajánlásokat fogalmaz meg.== Rendelkezésre állás ==Az intézmény számára '''felhasználói jelszavakat ajánlott''' a szolgáltatási szint nem elektronikus formában kiosztani (SLA) dokumentálása, és az eljárások rendszeres ellenőrzése az elkészült dokumentációnak megfelelőenpl. Az SLA a következő pontokat foglalja magában:* Tervezett és nem tervezett leállásokkal kapcsolatos megkötések** egy éven belüli előre tervezett karbantartási célú leállások maximális száma** egy éven belüli maximális állási idő** a leállási időszakok kommunikálásának módja** nem tervezett leállások kommunikálásának módja* Szolgáltató rendszerek architektúrájaszemélyesen, különös tekintettel az egyszeres hibapontokra, redundáns (tartalék-vagy postai úton) rendszerekre, esetleges klaszterek működésére.== Támogatás ==A föderációban részt vevő intézmények '''kötelesek''' az IdP-vel (és az SP-vel) kapcsolatos problémákra reagálni tudó operátori szerepkört kialakítaniuk. '''Ajánlott''', hogy ezt a szerepet ne egy ember töltse be, hiszen a felmerülő problémák esetén sok esetben gyors beavatkozás szükséges.

Az operátori problémákat '''ajánlott''' issue tracking rendszerben követni, amihez optimális esetben hibaelhárítást segítő tudásbázis is tartozhat:1.=== Felhasználók támogatása ===Az intézményeknek '''10. A felhasználók intézményhez fűződő viszonyában bekövetkezett változásokat 7 napon belül kötelező''' megjeleníteni az IdP-vel kapcsolatosan végfelhasználói támogatást nyújtani. Ezen támogatás elérhetőségéről a felhasználókat tájékoztatni kell, amit a [[Resource_Registry]]-n keresztül felvitt helpdesk URL segíthetadatbázisában és az eduPersonScopedAffiliation attribútum értékében.

A föderációs operátor a végfelhasználók részére nem nyújt támogatást::1.10.1.=== Föderációs operátorral való kapcsolattartás, incidens-kezelés ===Az intézményeknek '''kötelességük''' dokumentálni Amennyiben az IdP szolgáltatással kapcsolatos katasztrófaintézmény külső adatforrást (tanulmányi-elhárítási teendőket, és ezen dokumentációkat rendszeresen (legalább éventeill. bérügyi rendszert) ellenőriznihasznál a felhasználói adatok tárolására, naprakészen tartaniúgy ez a 7 napos korlát a hiteles adat elsődleges rendszerben történő megváltozásától számítandó.

== 2. Szolgáltatás-menedzsment ==:2.1. Az IdP-t üzemeltető szervezeti egység elérhetőségét fel '''kell''' tüntetni intézmény köteles a [[Resource_Registry]]-benföderációs operátorral való kapcsolattartásra megfelelő szerepkört kialakítani. '''Ajánlott''' a csoporthoz közösen tartozó telefonszámot és kapcsolattartáshoz szerep e-mail címet használnimegadni.

Amennyiben a szolgáltatás által használt kriptográfiai kulcsok kompromittálódtak, :2.2. IdP-t üzemeltető intézmény köteles az intézmény adminisztrátorának '''kötelessége''' a kulcsot '''azonnal''' visszavonni a föderációból (a [[Resource_Registry]]IdP-n keresztül)vel kapcsolatban végfelhasználói támogatást nyújtani, illetve 1 munkanapon belül értesítenie és ezen támogatás elérhetőségéről a NIIF AAI csapatotfelhasználóit tájékoztatni.

== Jelentések készítése ==:2.3. Az intézmény köteles az általa üzemeltett IdP szolgáltatás működésével kapcsolatban '''ajánlott''' meghatározni különböző metrikákatforgalmi adataiból anonimizált, melyek legalább napi felbontású adatokat szolgáltatni a szolgáltatás rendelkezésre állását és felhasználásának módját, hatékonyságát mérikföderációs operátor számára föderációs célú statisztika készítésének céljából.

:3.1. A teljes föderáció statisztikáját a föderációs operátor tartja karban. Az IdP üzemeltetője '''köteles''' az IdP előző pontban felsorolt statisztikáit az operátor számára rendelkezésre bocsátaniszemélyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, és azt legalább 30 napig megőrizni.

= Üzemeltetési kérdések === Üzemeltetéssel kapcsolatos kötelezettségek ==Az intézmények '''kötelesek''' AAI rendszereiket elvárható gondossággal üzemeltetni, az üzemeltetési eljárásaikat dokumentálni, azokat rendszeresen felülvizsgálni:3. Az AAI rendszerek megfelelő működéséhez szükséges infrastruktúra biztosítása (megfelelő hálózati elérés, szoftverfrissítések, időszinkronizálás) az intézmények feladata1.== Naplózás, monitorozás =='''Ajánlott''' a szolgáltatás működését folyamatosan monitorozni1. Ez Az intézmény ezeket a monitorozás magában foglalhatja naplókat köteles a naplóállományok rendszeres vizsgálatát, az operációs rendszer, illetve a hálózat elérhetőségének, átbocsátó képességének ellenőrzését illetve mérését. Hiba esetén '''ajánlott''' az operátorok automatikus (e-mail, SMS) értesítésehatályos adatvédelmi szabályokkal összhangban kezelni.

A rendszerben keletkező naplóállományok személyes adatokat tartalmaznak, ezért ezen naplóállományok kezelésével kapcsolatosan '''kötelező''' az adatkezelési elvek betartása:3.2. A személyes adatokhoz való hozzáférésről '''Az AAI infrastruktúra komponensei esetén kötelező''' naplóállományokat készíteni, ezeket az IdP naplókkal összhangban meg '''kell''' őrizni. Biztosítani '''kell''', hogy a naplóállományokhoz csak az arra felhatalmazott személyek férhessenek hozzálegalább 2048 bites kulcsok használata.

'''Ajánlott''' ::3.2.1. Biztosítani kell a webszerver és az IdP logokat napi szinten cserélni (rotálni), a régi logfájlokat pedig tömörített, integritásvédett formátumban tárolniprivát kulcsok védelmét.

Az incidensek felderítése érdekében ::3.2.2. Amennyiben egy kulcs kompromittálódik, az IdP '''intézmény köteles''' minden belépésről a felhasználó visszakövethetőségét biztosító adatokat 30 napig megőrizni, majd azután törölni, vagy off-line módon archiválni. Az IdP ezeket az adatokat '''nem adhatja ki''' az SP-k számáraföderációs operátort 24 órán belül értesíteni.

== Biztonság ==Az AAI infrastruktúra szervereire, illetve a személyes adatokat kezelő egyéb szerverekre való belépést erősen korlátozni '''kell'''::3.2.3. '''Ajánlott''' a többfaktoros, emelt szintű autentikáció, illetve a belépés bizonyos hálózati szegmensekre való korlátozása. Az intézmény felelősségehosszú lejáratú, hogy ezen szerverekre csak a megfelelő jogosultsággal bíró operátorok léphessenek beself-signed tanúsítványok használata.

'''Ajánlott''' a szerverek tűzfallal történő védelme, illetve behatolást észlelő rendszer (IDS) futtatása:3.3. Vonatkozó SAML szabványok

Az AAI infrastruktúra felhasználók számára szolgáltatásokat nyújtó elemeire '''ajánlott''' megbízható tanúsítványkiadó által kiadott, modern böngészők által elfogadott tanúsítványok használata (IdP webszerver, SP webszerver)::3.3.1. Az IdP és Kötelező az SP által használt, metaadatba is kerülő kulcshoz ''Interoperable SAML 2.0 Web Browser SSO Deployment Profile'ajánlott''' az ún. self-signed tanúsítvány használata([http://saml2int.org]) dokumentumban kötelezőnek megjelölt elemek támogatása

Az AAI infrastruktúra elemei esetén '''megkövetelt''' ::3.3.2. Ajánlott a minimum 2048 bites kulcsok használataSAML2 Single Logout profil támogatása HTTP-Redirect illetve SOAP binding felett.

Biztosítani '''kell''', hogy a működéshez szükséges privát kulcsokhoz csak az arra jogosultak férhessenek hozzá:3.4. Az IdP köteles minden végpontját HTTPS (SSL/TLS) protokollok segítségével védeni. Amennyiben egy kulcs kompromittálódik, azt azonnal vissza '''kell''' vonni az AAI rendszerből, és erről 1 munkanapon belül értesíteni '''kell''' a föderációs operátort!

== AAI komponensek konfigurációja, üzemeltetése ==Az AAI komponensek számára '''kötelező''' a föderációs metaadatot a központi helyről letölteni (http://metadata3.eduid5.hu/2010/hrefAz IdP minden SAML végpontjának az IdP-metadata.xml)t üzemeltető intézmény tulajdonában álló DNS domainnek, és 24 óránként vagy gyakrabban frissíteni. A metaadat aláírását illetve a benne szereplő érvényességre vonatkozó adatokat (validUntil) '''kötelező''' minden frissítés során ellenőrizniaz alatt levő névnek kell lennie.

Az intézmények számára '''ajánlott''' az AAI rendszerek konfigurációjának dokumentálása, illetve verziókövetése.=== Attribútumok kezelése ===Az intézmény '''köteles''' a felhasználók személyes adatait a törvényi előírásokkal összhangban kezelni. Az IdP csak olyan attribútumokat adhat ki, amelyek minimálisan szükségesek egy szolgáltatás működéséhez. Minden kiadott személyes adat csak a felhasználó beleegyezésével adható ki. Az intémény '''köteles''' a tárolt adatok integritását biztosítani, azokhoz a hozzáférést megfelelően szabályozni. Az adatforrásokhoz való kapcsolatot titkosított hálózati protokoll felett '''kell''' végezni (kivétel ezalól a lokális hoszt). IdP üzemeltetése esetén '''ajánlott''' az adatkiadást a [[Resource_Registry]]-n keresztül generált szűrőkkel szabályozni. '''Ajánlott''' ezen szűrők rendszeres frissítése. Az IdP-nek '''kötelező''' támogatnia célzott, átlátszatlan azonosítót, és ezt az SP-k számára kiadni (amennyiben az adott SP kér ilyet). Ez az azonosító lehet az ún. [[HREFAttributeSpec#eduPersonTargetedID|eduPersonTargetedID]], vagy SAML2 persistent NameID, utóbbit '''kötelező''' perzisztensen kezelni (tehát adatbázisban tárolni). További információ: [[HREFAttributeSpec#NameID_formátumok_-_melyiket_válasszam3.3F|a NameID formátumokról]].=== Felhasznált SAML profilok ===Az IdP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-Redirect</code> binding felett támogatni6. Az SP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-POST</code> felett támogatni. Mind az IdP, mind az SP számára ajánlott a SAML2 Single Logout profil támogatása <code>HTTPáltal használt scope-Redirect</code> illetve <code>SOAP</code> binding felett. A <code>HTTP-Artifact</code> binding használata a Web Browser SSO profil esetén megengedett. A felhasználó személyes adatainak védelme érdekében oknak az IdP '''köteles''' minden végpontját SSL/TLS-sel védeni (HTTPS). Az SP számára '''ajánlott''' az SSL/TLS használata. Felhasználói adatot titkosítatlan csatornán átvinni '''tilos''' (tehát ha az SP nem használ SSL/TLS-tüzemeltető intézmény tulajdonában álló DNS domainnek, vagy az assertion titkosítása '''kötelező''', egyébként '''ajánlott''').=== Adatvédelem, attribútum-kiadás ===Az IdP-nek '''kötelező''' megjelölni egy ''adatvédelmi felelőst'', aki jogosult az adatkiadási szabályokról dönteni. '''Ajánlott''' szerep e-mail címet megadni erre a célra. Az IdP adatvédelmi felelőse folyamatosan figyelemmel kíséri a Resource Registry-ben attribútum filterek változását (ill. az erről küldött e-maileket), amelyeket a változástól számított 7 napon belül jóvá '''kell''' hagynia vagy el '''alatt levő névnek kell''' utasítanialennie. = Források =[http://www.switch.ch/aai/support/bcp/idp-1.0.html SWITCH - Best current practices for operating a SWITCHaai Identity Provider]