Módosítások

{{TRASH|A dokumentum aktuális verziója célja, hogy a [[HREFContract]] oldalról érhető elHREF Föderációhoz csatlakozó Tagok és Partnerek számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges identitás-menedzsment, valamint üzemeltetési területeket fednek le.}}

= Jelen dokumentum célja =A dokumentum célja* '''TILOS''' jelentése KÖTELEZŐ NEM, hogy azaz a [[HREFGlossary#HREF Föderáció|HREF Föderációhoz]] csatlakozó [[HREFGlossary#Tag|Tagok]] és [[HREFGlossary#Partner|Partnerek]] számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.pontban leírtak szerint az intézmény nem járhat el;

A HREF Föderációhoz csatlakozó Tagok és Partnerek a csatlakozással magukra nézve kötelező érvényűként elfogadják * az alább leírtakat. Az '''ajánlottAJÁNLOTT''' eljárásoktól pontoktól való eltérés indokolt esetben lehetséges, de minden eltérést eltéréseket az intézmények dokumentálni szükséges.= Identitás-menedzsment =Jelen fejezet összefoglalja az intézményen belüli felhasználókezelésre vonatkozó előírásokatkötelesek. A felhasználókezelés magában foglalja a

* felhasználói accountok létrehozását,* ezen accountok folyamatos ellenőrzését és naprakészen tartását,* '''NEM AJÁNLOTT''' jelentése: amennyiben az intézmény a felhasználó távozása után a felhasználói adatok törlésétpontban leírtak szerint jár el,* az adatok védelmét illetéktelen behatolással szembenezt dokumentálni köteles.

* személyes felvétel,* egyéb autoritatív adatbázis (tanulmányi, munkaügyi rendszer)== 1.Identitás-menedzsment ==

Amennyiben egy :1.1. Az intézmény külsőköteles adatkezelési elveit dokumentálni, független adatbázist használ az IdP adatbázisának feltöltésére, '''köteles''' azt a következő kritériumokat betartani:felhasználókkal megismertetni.

* az adatforrásként szolgáló rendszer naprakész adatokat tartalmaz:1.2. Az intézmény köteles a felhasználóiról általa ismert adatok forrását,* az IdP adatbázisban szereplő felhasználók rendszeresen szinkronizálásra kerülnek az autoritatív adatbázissalkarbantartásának módját,* illetve ezen adatok becsült adatminőségét dokumentálni, és ezt a hiteles adatforrásból kikerülő felhasználókat törölni '''kell''' az IdP adatbázisából is.== Hitelesítési policy =='''Tilos''' egy természetes személyhez több felhasználói bejegyzést rendelni. Gondoskodni '''kell''' dokumentációt a felhasználónevek egyediségéről, újrakiosztásuknak megakadályozásáról isföderáció rendelkezésére bocsátani.

A felhasználói account hitelesítésekor '''ajánlott''' az account tulajdonosát személyesen azonosítani, személyi igazolvány, vagy egyéb hivatalos okmány segítségével:1. '''Ajánlott''' továbbá a természetes azonosítókat (név, anyja neve, születési hely és idő), illetve a postai elérhetőséget 3. Kötelező a hivatalos okmányokon szereplő adatokkal egyeztetnifelhasználónevek egyediségét biztosítani.

Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl:1. tanulmányi rendszer) terhelik4.=== Teszt felhasználók és szerep felhasználók ===Az ún. szerep felhasználók (dékán, gazdaságis, adminisztrátor, ...) használata '''Felhasználónevet újra kiosztani tilos'''.

'''Nem :1.5. Egy természetes személyhez nem ajánlott''', de bizonyos megkötésekkel lehetséges teszt felhasználók létrehozása, de ezeket egyértelműen azonosítani és dokumentálni '''kell''', különös tekintettel arra, hogy mely munkatárs felelős az adott teszt bejegyzésért. A teszt felhasználókat csak tesztelésre szabad felhasználni, azokkal valós tranzakciókat kezdeményezni '''tilos'''több felhasználói azonosítót rendelni.

A [[HREFAttributeSpec#schacHomeOrganizationType|schacHomeOrganizationType]] attribútumban a teszt felhasználóknál '''kötelező''' a <code>urn:schac:homeOrganizationType:hu:test</code> értéket szerepeltetni, és ezt minden SP felé kiadni 1.6. Nem ajánlott szerep felhasználók (függetlenül attól, hogy az adott SP kérte-e ezt az attribútumotdékán, avagy semigazgató)használata.

A teszt :1.7. Teszt felhasználók jelszavát '''ajánlott''' gyakran cserélni.az alábbi megkötések mentén használhatóak:

== Jelszavak kiosztása és karbantartása ==Az IdP adatbázisbejegyzéseihez tartozó jelszavakat '''tilos''' hitelesítetlen vagy titkosítatlan csatornán továbbítani bármely két rendszer között, például elektronikus levélben elküldeni, titkosítatlan kapcsolaton a felhasználótól bekérni::1.7.1. Ugyancsak biztosítani '''kell''' a jelszót tároló adatbázis minden teszt felhasználót egyértelműen azonosítani és dokumentálni kötelező (az IdP között a kölcsönösen hitelesített és titkosított csatornát.érte felelős munkatárssal együtt),

A felhasználói accountokhoz tartozó jelszavakat '''ajánlott''' személyesen, vagy egyéb, nem elektronikus módon kiosztani (pl::1.7. postai úton)2. Lehetőség van arra, hogy a felhasználó saját maga állítsa be jelszavátteszt felhasználóval valós tranzakciót kezdeményezni tilos, ha technikailag a felhasználó biztonságos azonosítása lehetséges (pl. a tanulmányi rendszerben tárolt jelszó segítségével).

Minimális elvárásként '''kötelező''' legalább 6 karakter hosszú, legalább két karakterosztályt (betűk, számok, egyéb jelek) tartalmazó jelszavak használata::1.7.3. '''Ajánlott''' a legalább 8 karakter hosszú, legalább két karakterosztályt tartalmazó jelszavak használata, ugyancsak '''ajánlott''' a jelszó szűrése ezen felhasználókat a szótárban szereplő szavak alapjánmegfelelő homeOrganizationType értékkel megkülönböztetni.

'''Ajánlott''' a jelszavak évenkénti cseréjének kikényszerítése:1.8. Felhasználói azonosító adatokat (pl. jelszó) publikus hálózaton titkosítatlanul továbbítani (felhasználótól bekérni, adatbázisszerver felé kommunikálni) tilos.

Az elfelejtett jelszavak cseréjére az intézmény bármilyen, megfelelően biztonságos eljárást alkalmazhat :1.9. A felhasználói jelszavakat ajánlott nem elektronikus formában kiosztani (személyes megjelenéspl. személyesen, tanulmányi rendszerben tárolt jelszó, SMS-ben elküldött ideiglenes jelszóvagy postai úton), amit '''kötelező''' dokumentálni.

'''Ajánlott''' a jelszavak brute-force támadásának kiszűrése, egyéb preventív módszerek alkalmazása (például 3 elrontott jelszó után automatikus kitiltás):1.10. A felhasználók intézményhez fűződő viszonyában bekövetkezett változásokat 7 napon belül kötelező megjeleníteni az IdP adatbázisában.

== Felhasználói adatok karbantartása, felhasználók kiléptetése ==Az ::1.10.1. Amennyiben az intézmény '''köteles''' külső adatforrást (tanulmányi- ill. bérügyi rendszert) használ a felhasználói adatbázisát rendszeresen karbantartaniadatok tárolására, abban úgy ez a 7 napos korlát a lejárt és nem használt accountokat letiltanihiteles adat elsődleges rendszerben történő megváltozásától számítandó.

::1.10.2. Hallgató kilépése esetén lehetőség van arra, hogy a jogviszony megszűnte után ún. 'alum'státuszban továbbra is használható maradjon a szolgáltatás. A 'Kötelezőstudent'illetve 'member' az intézményhez való viszonyban ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) bekövetkezett változásokat 7 napon belül átvezetni az IdP adatbázisábajelző ilyenkor már nem használható. Amennyiben a felhasználó elhagyta az intézményt, úgy ezt az információt szintén jelezni kell ebben az attribútumban:

* hallgató kilépése esetén lehetőség van arra, hogy a jogviszony megszűnte után ún::1. 'alum' státuszban továbbra is használható maradjon a szolgáltatás10. A 'student' illetve 'member' jelző ilyenkor már '''nem használható'''3.* oktató Oktató illetve alkalmazott kilépése esetén a 'staff', 'employee', 'faculty', 'member' értékeket törölni kell.

== 2. Szolgáltatás-menedzsment ==:2.1. Az intézmény '''köteles''' a felhasználók kiléptetési procedúráját dokumentálni, különös tekintettel az IdP oldali szolgáltatás használatára. '''Ajánlott''' a jogviszony megszűnte után legfeljebb néhány héttel teljesen letiltani a felhasználó belépésének lehetőségétföderációs operátorral való kapcsolattartásra megfelelő szerepkört kialakítani.

Az egyéb felhasználói adatokban bekövetkezett változásokat 30 napon belül '''kötelező''' átvezetni :2.2. IdP-t üzemeltető intézmény köteles az IdP adatbázisába-vel kapcsolatban végfelhasználói támogatást nyújtani, és ezen támogatás elérhetőségéről a felhasználóit tájékoztatni.

= Szolgáltatás-menedzsment =Ez a szakasz az előzőekben leírt identitás-menedzsment elvekhez kapcsolódóan az egyes szoftver-komponensek üzemeltetését foglalja össze:2. A szakasz többnyire csak ajánlásokat fogalmaz meg3.== Rendelkezésre állás ==Az intézmény számára '''ajánlott''' köteles az általa üzemeltetett IdP napi felbontású anonimizált forgalmi statisztikáit a szolgáltatási szint (SLA) dokumentálása, és az eljárások rendszeres ellenőrzése az elkészült dokumentációnak megfelelőenföderációs operátor rendelkezésére bocsátani. Az SLA Ezen statisztikai adatok a következő pontokat foglalja magábankövetkezőek:* Tervezett és nem tervezett leállásokkal kapcsolatos megkötések** egy éven belüli előre tervezett karbantartási célú leállások maximális száma** egy éven belüli maximális állási idő** a leállási időszakok kommunikálásának módja** nem tervezett leállások kommunikálásának módja* Szolgáltató rendszerek architektúrája, különös tekintettel az egyszeres hibapontokra, redundáns (tartalék-) rendszerekre, esetleges klaszterek működésére.== Támogatás ==A föderációban részt vevő intézmények '''kötelesek''' az IdP-vel (és az SP-vel) kapcsolatos problémákra reagálni tudó operátori szerepkört kialakítaniuk. '''Ajánlott''', hogy ezt a szerepet ne egy ember töltse be, hiszen a felmerülő problémák esetén sok esetben gyors beavatkozás szükséges.

Az operátori problémákat '''ajánlott''' issue tracking rendszerben követni, amihez optimális esetben hibaelhárítást segítő tudásbázis is tartozhat::2.3.=== Felhasználók támogatása ===Az intézményeknek '''kötelező''' az IdP-vel kapcsolatosan végfelhasználói támogatást nyújtani1. Ezen támogatás elérhetőségéről a felhasználókat tájékoztatni kellegyedi felhasználók száma, amit a [[Resource_Registry]]-n keresztül felvitt helpdesk URL segíthet.

A ::2.3.2. egyes föderációs operátor a végfelhasználók részére nem nyújt támogatást.=== Föderációs operátorral való kapcsolattartásszolgáltatások felé indított tranzakciók száma, incidens-kezelés ===Az intézményeknek '''kötelességük''' dokumentálni az IdP szolgáltatással kapcsolatos katasztrófa-elhárítási teendőket, és ezen dokumentációkat rendszeresen (legalább évente) ellenőrizni, naprakészen tartani.

Az IdP-t üzemeltető szervezeti egység elérhetőségét fel '''kell''' tüntetni a [[Resource_Registry]]-ben::2. '''Ajánlott''' a csoporthoz közösen tartozó telefonszámot és e-mail címet használni3.3. összes bejelentkezési tranzakció száma.

Amennyiben a szolgáltatás által használt kriptográfiai kulcsok kompromittálódtak, az intézmény adminisztrátorának '''kötelessége''' a kulcsot '''azonnal''' visszavonni a föderációból (a [[Resource_Registry]]-n keresztül), illetve 1 munkanapon belül értesítenie a NIIF AAI csapatot== 3.Üzemeltetési kérdések ==

== Jelentések készítése ==Az IdP szolgáltatás működésével kapcsolatban '''ajánlott''' meghatározni különböző metrikákat:3.1. A személyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, melyek a szolgáltatás rendelkezésre állását és felhasználásának módját, hatékonyságát mérikazt legalább 30 napig megőrizni.

A föderáció összesített statisztikájának elkészítéséhez '''kötelező''' :3.1.1. Az intézmény ezeket a következő adatok begyűjtése, napi felbontással:** az IdP-t adott napon használó (egyedi) felhasználók száma** egyes föderációs szolgáltatások felé adott SSO autentikációk száma** összes SSO autentikáció számanaplókat köteles a hatályos adatvédelmi szabályokkal összhangban kezelni.

A teljes föderáció statisztikáját a föderációs operátor tartja karban:3.2. Az IdP üzemeltetője '''köteles''' az IdP előző pontban felsorolt statisztikáit az operátor számára rendelkezésre bocsátaniAAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata.

= Üzemeltetési kérdések === Üzemeltetéssel kapcsolatos kötelezettségek ==Az intézmények '''kötelesek''' AAI rendszereiket elvárható gondossággal üzemeltetni, az üzemeltetési eljárásaikat dokumentálni, azokat rendszeresen felülvizsgálni:3. Az AAI rendszerek megfelelő működéséhez szükséges infrastruktúra biztosítása (megfelelő hálózati elérés, szoftverfrissítések, időszinkronizálás) az intézmények feladata2.== Naplózás, monitorozás =='''Ajánlott''' a szolgáltatás működését folyamatosan monitorozni1. Ez a monitorozás magában foglalhatja a naplóállományok rendszeres vizsgálatát, az operációs rendszer, illetve Biztosítani kell a hálózat elérhetőségének, átbocsátó képességének ellenőrzését illetve mérését. Hiba esetén '''ajánlott''' az operátorok automatikus (e-mail, SMS) értesítéseprivát kulcsok védelmét.

A rendszerben keletkező naplóállományok személyes adatokat tartalmaznak, ezért ezen naplóállományok kezelésével kapcsolatosan '''kötelező''' az adatkezelési elvek betartása:3.2.2. A személyes adatokhoz való hozzáférésről '''kötelező''' naplóállományokat készíteniAmennyiben egy kulcs kompromittálódik, ezeket az IdP naplókkal összhangban meg '''kell''' őrizni. Biztosítani '''kell''', hogy intézmény köteles a naplóállományokhoz csak az arra felhatalmazott személyek férhessenek hozzáföderációs operátort 24 órán belül értesíteni.

'''Ajánlott''' a webszerver és az IdP logokat napi szinten cserélni (rotálni), a régi logfájlokat pedig tömörített, integritásvédett formátumban tárolni:3.3. Vonatkozó SAML szabványok

Az incidensek felderítése érdekében az IdP '''köteles''' minden belépésről ::3.3.1. Kötelező a felhasználó visszakövethetőségét biztosító adatokat 30 napig megőrizni, majd azután törölni, vagy off-line módon archiválni. Az IdP ezeket az adatokat '''nem adhatja ki''' az SPSAML2 Web Browser SSO profil támogatása HTTP-k számára.POST binding felett;

== Biztonság ==Az AAI infrastruktúra szervereire, illetve a személyes adatokat kezelő egyéb szerverekre való belépést erősen korlátozni '''kell'''::3. '''Ajánlott''' a többfaktoros, emelt szintű autentikáció, illetve a belépés bizonyos hálózati szegmensekre való korlátozása3. Az intézmény felelőssége, hogy ezen szerverekre csak a megfelelő jogosultsággal bíró operátorok léphessenek be2. A Web Borwser SSO profil támogatása HTTP-Artifact binding felett ajánlott.

'''Ajánlott''' a szerverek tűzfallal történő védelme, illetve behatolást észlelő rendszer (IDS) futtatása. Az AAI infrastruktúra felhasználók számára szolgáltatásokat nyújtó elemeire '''ajánlott''' megbízható tanúsítványkiadó által kiadott, modern böngészők által elfogadott tanúsítványok használata (IdP webszerver, SP webszerver). Az IdP és az SP által használt, metaadatba is kerülő kulcshoz '''ajánlott''' az ún. self-signed tanúsítvány használata. Az AAI infrastruktúra elemei esetén '''megkövetelt''' a minimum 2048 bites kulcsok használata. Biztosítani '''kell''', hogy a működéshez szükséges privát kulcsokhoz csak az arra jogosultak férhessenek hozzá. Amennyiben egy kulcs kompromittálódik, azt azonnal vissza '''kell''' vonni az AAI rendszerből, és erről 1 munkanapon belül értesíteni '''kell''' a föderációs operátort! == AAI komponensek konfigurációja, üzemeltetése ==Az AAI komponensek számára '''kötelező''' a föderációs metaadatot a központi helyről letölteni (http://metadata.eduid.hu/2010/href-metadata.xml), és 24 óránként vagy gyakrabban frissíteni. A metaadat aláírását illetve a benne szereplő érvényességre vonatkozó adatokat (validUntil) '''kötelező''' minden frissítés során ellenőrizni.  Az intézmények számára '''ajánlott''' az AAI rendszerek konfigurációjának dokumentálása, illetve verziókövetése.=== Attribútumok kezelése ===Az intézmény '''köteles''' a felhasználók személyes adatait a törvényi előírásokkal összhangban kezelni. Az IdP csak olyan attribútumokat adhat ki, amelyek minimálisan szükségesek egy szolgáltatás működéséhez. Minden kiadott személyes adat csak a felhasználó beleegyezésével adható ki. Az intémény '''köteles''' a tárolt adatok integritását biztosítani, azokhoz a hozzáférést megfelelően szabályozni:3. Az adatforrásokhoz való kapcsolatot titkosított hálózati protokoll felett '''kell''' végezni (kivétel ezalól a lokális hoszt)3. IdP üzemeltetése esetén '''ajánlott''' az adatkiadást a [[Resource_Registry]]-n keresztül generált szűrőkkel szabályozni3. '''Ajánlott''' ezen szűrők rendszeres frissítése. Az IdP-nek '''kötelező''' támogatnia célzott, átlátszatlan azonosítót, és ezt az SP-k számára kiadni (amennyiben az adott SP kér ilyet). Ez az azonosító lehet az ún. [[HREFAttributeSpec#eduPersonTargetedID|eduPersonTargetedID]], vagy SAML2 persistent NameID, utóbbit '''kötelező''' perzisztensen kezelni (tehát adatbázisban tárolni). További információ: [[HREFAttributeSpec#NameID_formátumok_-_melyiket_válasszam.3F|a NameID formátumokról]].=== Felhasznált SAML profilok ===Az IdP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-Redirect</code> binding felett támogatni. Az SP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-POST</code> felett támogatni. Mind az IdP, mind az SP számára ajánlott a SAML2 Single Logout profil támogatása <code>HTTP-Redirect</code> illetve <code>SOAP</code> binding felett. A <code>HTTP-Artifact</code> binding használata a Web Browser SSO profil esetén megengedett. A felhasználó személyes adatainak védelme érdekében az IdP '''köteles''' minden végpontját SSL/TLS-sel védeni (HTTPS). Az SP számára '''ajánlott''' az SSL/TLS használata. Felhasználói adatot titkosítatlan csatornán átvinni '''tilos''' (tehát ha az SP nem használ SSL/TLS-t, az assertion titkosítása '''kötelező''', egyébként '''ajánlott''').=== Adatvédelem, attribútum-kiadás ===Az IdP-nek '''kötelező''' megjelölni egy ''adatvédelmi felelőst'', aki jogosult az adatkiadási szabályokról dönteni. '''Ajánlott''' szerep e-mail címet megadni erre a célra. Az IdP adatvédelmi felelőse folyamatosan figyelemmel kíséri a Resource Registry-ben attribútum filterek változását (ill. az erről küldött e-maileket), amelyeket a változástól számított 7 napon belül jóvá '''kell''' hagynia vagy el '''kell''' utasítania. = Források =[http://www.switch.ch/aai/support/bcp/idp-1.0.html SWITCH - Best current practices for operating a SWITCHaai Identity Provider]