1 260
szerkesztés
Módosítások
a
::1.10.2. Hallgató kilépése esetén lehetőség van arra, hogy a jogviszony megszűnte után ún. 'alum' státuszban továbbra is használható maradjon a szolgáltatás. A 'student' illetve 'member' jelző ilyenkor már nem használható.
::1.10.3. Oktató illetve alkalmazott kilépése esetén a 'staff', 'employee', 'faculty', 'member' értékeket törölni kell.
::3.3.25. A Web Borwser SSO profil támogatása HTTPAz IdP minden SAML végpontjának az IdP-Artifact binding felett ajánlottt üzemeltető intézmény tulajdonában álló DNS domainnek, vagy az alatt levő névnek kell lennie.
::3.36.3. Ajánlott a SAML2 Single Logout profil támogatása HTTPAz IdP által használt scope-oknak az IdP-Redirect illetve SOAP binding felettt üzemeltető intézmény tulajdonában álló DNS domainnek, vagy az alatt levő névnek kell lennie.
→3. Üzemeltetési kérdések: typo
:1.3. Kötelező a felhasználónevek egyediségét biztosítani.
:1.4. Föderációs Egy természetes személyhez nem ajánlott több felhasználói azonosítót újra kiosztani tilosrendelni.
:1.5. Egy természetes személyhez nem Nem ajánlott több felhasználói azonosítót rendelniszerep felhasználók (dékán, igazgató) használata.
:1.6. Nem Attribútumok használata: ::1.6.1. A megvalósított attribútumokat az IdP-nek az Attribútum Specifikációban leírt módon kell megvalósítani; ::1.6.2. Az IdP-nek kötelező megvalósítania az alábbi attribútumokat:::* eduPersonTargetedID::* eduPersonPrincipalName::* eduPersonScopedAffialiation ::1.6.3. Az IdP-nek ajánlott szerep felhasználók (dékánmegvalósítania az alábbi attribútumokat:::* displayName::* mail::* sn::* givenName ::1.6.4. Az IdP-nek kötelező biztosítania, igazgató) használatahogy az eduPersonTargetedID és az eduPersonPrincipalName attribútumok ne legyenek újra kioszthatók.
:1.7. Teszt felhasználók az alábbi megkötések mentén használhatóak:
:1.9. A felhasználói jelszavakat ajánlott nem elektronikus formában kiosztani (pl. személyesen, vagy postai úton).
:1.10. A felhasználók intézményhez fűződő viszonyában bekövetkezett változásokat 7 napon belül kötelező megjeleníteni az IdP adatbázisábanés az eduPersonScopedAffiliation attribútum értékében.
::1.10.1. Amennyiben az intézmény külső adatforrást (tanulmányi- ill. bérügyi rendszert) használ a felhasználói adatok tárolására, úgy ez a 7 napos korlát a hiteles adat elsődleges rendszerben történő megváltozásától számítandó.
== 2. Szolgáltatás-menedzsment ==
:3.2. Az AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata.
::3.2.1. Biztosítani kell a privát kulcsok védelmét. ::3.2.2. Amennyiben egy kulcs kompromittálódik, az intézmény köteles a föderációs operátort 24 órán belül értesíteni.
::3.2.23. Amennyiben egy kulcs kompromittálódikAjánlott hosszú lejáratú, az intézmény köteles a föderációs operátort 24 órán belül értesíteniself-signed tanúsítványok használata.
:3.3. Vonatkozó SAML szabványok
::3.3.1. Kötelező a SAML2 az ''Interoperable SAML 2.0 Web Browser SSO Deployment Profile'' ([http://saml2int.org]) dokumentumban kötelezőnek megjelölt elemek támogatása ::3.3.2. Ajánlott a SAML2 Single Logout profil támogatása HTTP-POST Redirect illetve SOAP binding felett;. :3.4. Az IdP köteles minden végpontját HTTPS (SSL/TLS) protokollok segítségével védeni.
