1 260
szerkesztés
Módosítások
a
::1.10.2. Hallgató kilépése esetén lehetőség van arra, hogy a jogviszony megszűnte után ún. 'alum' státuszban továbbra is használható maradjon a szolgáltatás. A 'student' illetve 'member' jelző ilyenkor már nem használható.
::1.10.3. Oktató illetve alkalmazott kilépése esetén a 'staff', 'employee', 'faculty', 'member' értékeket törölni kell.
::3.76.1. Amennyiben ez Az IdP által használt scope-oknak az azonosító SAML2 perzisztens NameIDIdP-ként kerül kiadásrat üzemeltető intézmény tulajdonában álló DNS domainnek, a perzisztencia megvalósítása kötelezővagy az alatt levő névnek kell lennie.
→3. Üzemeltetési kérdések: typo
:1.3. Kötelező a felhasználónevek egyediségét biztosítani.
:1.4. Föderációs Egy természetes személyhez nem ajánlott több felhasználói azonosítót újra kiosztani tilosrendelni.
:1.5. Egy természetes személyhez nem Nem ajánlott több felhasználói azonosítót rendelniszerep felhasználók (dékán, igazgató) használata.
:1.6. Nem Attribútumok használata: ::1.6.1. A megvalósított attribútumokat az IdP-nek az Attribútum Specifikációban leírt módon kell megvalósítani; ::1.6.2. Az IdP-nek kötelező megvalósítania az alábbi attribútumokat:::* eduPersonTargetedID::* eduPersonPrincipalName::* eduPersonScopedAffialiation ::1.6.3. Az IdP-nek ajánlott szerep felhasználók (dékánmegvalósítania az alábbi attribútumokat:::* displayName::* mail::* sn::* givenName ::1.6.4. Az IdP-nek kötelező biztosítania, igazgató) használatahogy az eduPersonTargetedID és az eduPersonPrincipalName attribútumok ne legyenek újra kioszthatók.
:1.7. Teszt felhasználók az alábbi megkötések mentén használhatóak:
:1.9. A felhasználói jelszavakat ajánlott nem elektronikus formában kiosztani (pl. személyesen, vagy postai úton).
:1.10. A felhasználók intézményhez fűződő viszonyában bekövetkezett változásokat 7 napon belül kötelező megjeleníteni az IdP adatbázisábanés az eduPersonScopedAffiliation attribútum értékében.
::1.10.1. Amennyiben az intézmény külső adatforrást (tanulmányi- ill. bérügyi rendszert) használ a felhasználói adatok tárolására, úgy ez a 7 napos korlát a hiteles adat elsődleges rendszerben történő megváltozásától számítandó.
== 2. Szolgáltatás-menedzsment ==
:3.2. Az AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata.
::3.2.1. Biztosítani kell a privát kulcsok védelmét. ::3.2.2. Amennyiben egy kulcs kompromittálódik, az intézmény köteles a föderációs operátort 24 órán belül értesíteni.
::3.2.23. Amennyiben egy kulcs kompromittálódikAjánlott hosszú lejáratú, az intézmény köteles a föderációs operátort 24 órán belül értesíteniself-signed tanúsítványok használata.
:3.3. Vonatkozó SAML szabványok
::3.3.1. Kötelező a SAML2 Web Browser SSO profil támogatása HTTP-POST binding felett; ::3.3.az ''Interoperable SAML 2. A 0 Web Borwser Browser SSO profil támogatása HTTP-Artifact binding felett ajánlott. Deployment Profile'' ([http::3//saml2int.3.3. Ajánlott a SAML2 Single Logout profil org]) dokumentumban kötelezőnek megjelölt elemek támogatása HTTP-Redirect illetve SOAP binding felett.
::3.53.2. SP számára ajánlott Ajánlott a végpontok védelme SSL/TLS segítségévelSAML2 Single Logout profil támogatása HTTP-Redirect illetve SOAP binding felett.
:3.64. Amennyiben egy SP nem támogatja a HTTPS-t, a személyes adatok védelme érdekében az Az IdP köteles biztosítani az assertion titkosításátminden végpontját HTTPS (SSL/TLS) protokollok segítségével védeni.
:3.75. Az IdP köteles célzottminden SAML végpontjának az IdP-t üzemeltető intézmény tulajdonában álló DNS domainnek, átlátszatlan azonosítót támogatni, és ezt vagy az SP-k számára igény esetén kiadnialatt levő névnek kell lennie.
