HREF műszaki előírások

Innen: KIFÜ Wiki
A lap korábbi változatát látod, amilyen Hege(AT)niif.hu (vitalap | szerkesztései) 2010. május 27., 09:24-kor történt szerkesztése után volt. (jelszótovábbítás követelmények pontosítása)

Jelen dokumentum célja

A dokumentum célja, hogy a HREF Föderációhoz csatlakozó Tagok és Partnerek számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.

A HREF Föderációhoz csatlakozó Tagok és Partnerek a csatlakozással magukra nézve kötelező érvényűként elfogadják az alább leírtakat. Az ajánlott eljárásoktól való eltérés indokolt esetben lehetséges, de minden eltérést dokumentálni szükséges.

Identitás-menedzsment

Jelen fejezet összefoglalja az intézményen belüli felhasználókezelésre vonatkozó előírásokat. A felhasználókezelés magában foglalja a

  • felhasználói accountok létrehozását,
  • ezen accountok folyamatos ellenőrzését és naprakészen tartását,
  • a felhasználó távozása után a felhasználói adatok törlését,
  • az adatok védelmét illetéktelen behatolással szemben.

Az intézmények kötelesek az alkalmazott felhasználókezelési elveiket dokumentálni, és a működést ezen dokumentáció alapján rendszeresen (legalább évente egyszer) ellenőrizni, szükség esetén a dokumentációt frissíteni.

Adatforrások

A felhasználói adatok több helyről származhatnak:

  • személyes felvétel,
  • egyéb autoritatív adatbázis (tanulmányi, munkaügyi rendszer).

Amennyiben egy intézmény külső, független adatbázist használ az IdP adatbázisának feltöltésére, köteles a következő kritériumokat betartani:

  • az adatforrásként szolgáló rendszer naprakész adatokat tartalmaz,
  • az IdP adatbázisban szereplő felhasználók rendszeresen szinkronizálásra kerülnek az autoritatív adatbázissal,
  • a hiteles adatforrásból kikerülő felhasználókat törölni kell az IdP adatbázisából is.

Hitelesítési policy

Tilos egy természetes személyhez több felhasználói bejegyzést rendelni. Gondoskodni kell a felhasználónevek egyediségéről, újrakiosztásuknak megakadályozásáról is.

A felhasználói account hitelesítésekor ajánlott az account tulajdonosát személyesen azonosítani, személyi igazolvány, vagy egyéb hivatalos okmány segítségével. Ajánlott továbbá a természetes azonosítókat (név, anyja neve, születési hely és idő), illetve a postai elérhetőséget a hivatalos okmányokon szereplő adatokkal egyeztetni.

Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl. tanulmányi rendszer) terhelik.

Teszt felhasználók és szerep felhasználók

Nem ajánlott, de bizonyos megkötésekkel lehetséges technikai bejegyzések (például teszt accountok) illetve szerep felhasználók (dékán, adminisztrátor, ...) használata, de ezeket egyértelműen azonosítani és dokumentálni kell. Az intézményhez fűződő szerepet tároló attribútumnak (eduPersonScopedAffiliation) a teszt illetve szerep felhasználók esetén tilos valódi értékeket adni (hallgató, oktató, alkalmazott, ...).

A teszt felhasználók jelszavát kötelező legalább 6 havonta cserélni.

Jelszavak kiosztása és karbantartása

Az IdP adatbázisbejegyzéseihez tartozó jelszavakat tilos hitelesítetlen vagy titkosítatlan csatornán továbbítani bármely két rendszer között, például elektronikus levélben elküldeni, titkosítatlan kapcsolaton a felhasználótól bekérni. Ugyancsak biztosítani kell a jelszót tároló adatbázis és az IdP között a kölcsönösen hitelesített és titkosított csatornát.

A felhasználói accountokhoz tartozó jelszavakat ajánlott személyesen, vagy egyéb, nem elektronikus módon kiosztani (pl. postai úton). Lehetőség van arra, hogy a felhasználó saját maga állítsa be jelszavát, ha technikailag a felhasználó biztonságos azonosítása lehetséges (pl. a tanulmányi rendszerben tárolt jelszó segítségével).

Minimális elvárásként kötelező legalább 6 karakter hosszú, legalább két karakterosztályt (betűk, számok, egyéb jelek) tartalmazó jelszavak használata. Ajánlott a legalább 8 karakter hosszú, legalább két karakterosztályt tartalmazó jelszavak használata, ugyancsak ajánlott a jelszó szűrése a szótárban szereplő szavak alapján.

Ajánlott a jelszavak évenkénti cseréjének kikényszerítése.

Az elfelejtett jelszavak cseréjére az intézmény bármilyen, megfelelően biztonságos eljárást alkalmazhat (személyes megjelenés, tanulmányi rendszerben tárolt jelszó, SMS-ben elküldött ideiglenes jelszó), amit kötelező dokumentálni.

Ajánlott a jelszavak brute-force támadásának kiszűrése, egyéb preventív módszerek alkalmazása (például 3 elrontott jelszó után automatikus kitiltás).

Felhasználói adatok karbantartása

Az intézmény köteles a felhasználói adatbázisát rendszeresen karbantartani, abban a lejárt és nem használt accountokat letiltani. Kötelező a felhasználói adatokban bekövetkezett változásokat 30 napon belül átvezetni az IdP adatbázisába.

Kötelező az intézményhez való viszonyban bekövetkezett változásokat (eduPersonScopedAffiliation) 7 napon belül átvezetni az IdP adatbázisába.

Felhasználók kiléptetése

Amennyiben egy felhasználó viszonya megszűnt az intézménnyel, az adatkarbantartásnál leírtakkal összhangban az eduPersonScopedAffiliation értékét 7 napon belül törölni kell.

Lehetőség van arra, hogy a hallgatók esetén a jogviszony megszűnte után ún. 'öregdiák' státuszban továbbra is használható maradjon a szolgáltatás (ezt azonban az 'alum' viszonnyal kötelezően jelezni kell).

Az intézmény köteles a felhasználók kiléptetési procedúráját dokumentálni, különös tekintettel az IdP oldali szolgáltatás használatára. Ajánlott a jogviszony megszűnte után legfeljebb néhány héttel letiltani a felhasználó belépésének lehetőségét.

Szolgáltatás-menedzsment

Ez a szakasz az előzőekben leírt identitás-menedzsment elvekhez kapcsolódóan az egyes szoftver-komponensek üzemeltetését foglalja össze. A szakasz többnyire csak ajánlásokat fogalmaz meg.

Rendelkezésre állás

Az intézmény számára ajánlott a szolgáltatási szint (SLA) dokumentálása, és az eljárások rendszeres ellenőrzése az elkészült dokumentációnak megfelelően. Az SLA a következő pontokat foglalja magában:

  • Tervezett és nem tervezett leállásokkal kapcsolatos megkötések
    • egy éven belüli előre tervezett karbantartási célú leállások maximális száma
    • egy éven belüli maximális állási idő
    • a leállási időszakok kommunikálásának módja
    • nem tervezett leállások kommunikálásának módja
  • Szolgáltató rendszerek architektúrája, különös tekintettel az egyszeres hibapontokra, redundáns (tartalék-) rendszerekre, esetleges klaszterek működésére.

Támogatás

A föderációban részt vevő intézmények kötelesek az IdP-vel (és az SP-vel) kapcsolatos problémákra reagálni tudó operátori szerepkört kialakítaniuk. Ajánlott, hogy ezt a szerepet ne egy ember töltse be, hiszen a felmerülő problémák esetén sok esetben gyors beavatkozás szükséges.

Az operátori problémákat ajánlott issue tracking rendszerben követni, amihez optimális esetben hibaelhárítást segítő tudásbázis is tartozhat.

Felhasználók támogatása

Az intézményeknek kötelező az IdP-vel kapcsolatosan végfelhasználói támogatást nyújtani. Ezen támogatás elérhetőségéről a felhasználókat tájékoztatni kell, amit a Resource_Registry-n keresztül felvitt helpdesk URL segíthet.

A föderációs operátor a végfelhasználók részére nem nyújt támogatást.

Föderációs operátorral való kapcsolattartás, incidens-kezelés

Az intézményeknek kötelességük dokumentálni az IdP szolgáltatással kapcsolatos katasztrófa-elhárítási teendőket, és ezen dokumentációkat rendszeresen (legalább évente) ellenőrizni, naprakészen tartani.

Az IdP-t üzemeltető szervezeti egység elérhetőségét fel kell tüntetni a Resource_Registry-ben. Ajánlott a csoporthoz közösen tartozó telefonszámot és e-mail címet használni.

Amennyiben a szolgáltatás által használt kriptográfiai kulcsok kompromittálódtak, az intézmény adminisztrátorának kötelessége a kulcsot azonnal visszavonni a föderációból (a Resource_Registry-n keresztül), illetve 8 órán belül értesítenie a NIIF AAI csapatot.

Jelentések készítése

Az IdP szolgáltatás működésével kapcsolatban ajánlott meghatározni különböző metrikákat, melyek a szolgáltatás rendelkezésre állását és felhasználásának módját, hatékonyságát mérik.

A föderáció összesített statisztikájának elkészítéséhez kötelező a következő adatok begyűjtése, napi felbontással:

    • az IdP-t adott napon használó (egyedi) felhasználók száma
    • egyes föderációs szolgáltatások felé adott SSO autentikációk száma
    • összes SSO autentikáció száma

A teljes föderáció statisztikáját a föderációs operátor tartja karban. Az IdP üzemeltetője köteles az IdP előző pontban felsorolt statisztikáit az operátor számára rendelkezésre bocsátani.

Üzemeltetési kérdések

Üzemeltetéssel kapcsolatos kötelezettségek

Az intézmények kötelesek AAI rendszereiket elvárható gondossággal üzemeltetni, az üzemeltetési eljárásaikat dokumentálni, azokat rendszeresen felülvizsgálni. Az AAI rendszerek megfelelő működéséhez szükséges infrastruktúra biztosítása (megfelelő hálózati elérés, szoftverfrissítések, időszinkronizálás) az intézmények feladata.

Naplózás, monitorozás

Ajánlott a szolgáltatás működését folyamatosan monitorozni. Ez a monitorozás magában foglalhatja a naplóállományok rendszeres vizsgálatát, az operációs rendszer, illetve a hálózat elérhetőségének, átbocsátó képességének ellenőrzését illetve mérését. Hiba esetén ajánlott az operátorok automatikus (e-mail, SMS) értesítése.

A rendszerben keletkező naplóállományok személyes adatokat tartalmaznak, ezért ezen naplóállományok kezelésével kapcsolatosan kötelező az adatkezelési elvek betartása. A személyes adatokhoz való hozzáférésről kötelező naplóállományokat készíteni, ezeket az IdP naplókkal összhangban meg kell őrizni. Biztosítani kell, hogy a naplóállományokhoz csak az arra felhatalmazott személyek férhessenek hozzá.

Ajánlott a webszerver és az IdP logokat napi szinten cserélni (rotálni), a régi logfájlokat pedig tömörített, integritásvédett formátumban tárolni.

Az incidensek felderítése érdekében az IdP köteles minden belépésről a felhasználó visszakövethetőségét biztosító adatokat 30 napig megőrizni, majd azután törölni. Az IdP ezeket az adatokat nem adhatja ki az SP-k számára.

Biztonság

Az AAI infrastruktúra szervereire, illetve a személyes adatokat kezelő egyéb szerverekre való belépést erősen korlátozni kell. Ajánlott a többfaktoros, emelt szintű autentikáció, illetve a belépés bizonyos hálózati szegmensekre való korlátozása. Az intézmény felelőssége, hogy ezen szerverekre csak a megfelelő jogosultsággal bíró operátorok léphessenek be.

Ajánlott a szerverek tűzfallal történő védelme, illetve behatolást észlelő rendszer (IDS) futtatása.

Az AAI infrastruktúra felhasználók számára szolgáltatásokat nyújtó elemeire ajánlott megbízható tanúsítványkiadó által kiadott, modern böngészők által elfogadott tanúsítványok használata (IdP webszerver, SP webszerver). Az IdP és az SP által használt, metaadatba is kerülő kulcshoz ajánlott az ún. self-signed tanúsítvány használata.

Az AAI infrastruktúra elemei esetén megkövetelt a minimum 2048 bites kulcsok használata.

Biztosítani kell, hogy a működéshez szükséges privát kulcsokhoz csak az arra jogosultak férhessenek hozzá. Amennyiben egy kulcs kompromittálódik, azt azonnal vissza kell vonni az AAI rendszerből, és erről 1 munkanapon belül értesíteni kell a föderációs operátort!

AAI komponensek konfigurációja, üzemeltetése

Az AAI komponensek számára kötelező a föderációs metaadatot a központi helyről letölteni (http://metadata.eduid.hu/metadata.xml), és 24 óránként vagy gyakrabban frissíteni. A metaadat aláírását illetve a benne szereplő érvényességre vonatkozó adatokat (validUntil) kötelező minden frissítés során ellenőrizni. A metaadat aláíró tanúsítványát ajánlott összevetni a NIIF AAI visszavonási listával.

Az intézmények számára ajánlott az AAI rendszerek konfigurációjának dokumentálása, illetve verziókövetése.

Attribútumok kezelése

Az intézmény köteles a felhasználók személyes adatait a törvényi előírásokkal összhangban kezelni. Az IdP csak olyan attribútumokat adhat ki, amelyek minimálisan szükségesek egy szolgáltatás működéséhez. Minden kiadott személyes adat csak a felhasználó beleegyezésével adható ki.

Az intémény köteles a tárolt adatok integritását biztosítani, azokhoz a hozzáférést megfelelően szabályozni. Az adatforrásokhoz való kapcsolatot titkosított hálózati protokoll felett kell végezni (kivétel ezalól a lokális hoszt).

IdP üzemeltetése esetén ajánlott az adatkiadást a Resource_Registry-n keresztül generált szűrőkkel szabályozni. Ajánlott ezen szűrők rendszeres frissítése.

Az IdP-nek kötelező támogatnia célzott, átlátszatlan azonosítót, és ezt az SP-k számára kiadni (amennyiben az adott SP kér ilyet). Ez az azonosító lehet az ún. eduPersonTargetedID, vagy SAML2 persistent NameID, utóbbit kötelező perzisztensen kezelni (tehát adatbázisban tárolni). További információ: a NameID formátumokról.

Felhasznált SAML profilok

Az IdP köteles a SAML2 Web Browser SSO profilt HTTP-Redirect binding felett támogatni.

Az SP köteles a SAML2 Web Browser SSO profilt HTTP-POST felett támogatni.

Mind az IdP, mind az SP számára ajánlott a SAML2 Single Logout profil támogatása HTTP-Redirect illetve SOAP binding felett.

A HTTP-Artifact binding használata a Web Browser SSO profil esetén megengedett.

A felhasználó személyes adatainak védelme érdekében az IdP köteles minden végpontját SSL/TLS-sel védeni (HTTPS). Az SP számára ajánlott az SSL/TLS használata. Felhasználói adatot titkosítatlan csatornán átvinni tilos (tehát ha az SP nem használ SSL/TLS-t, az assertion titkosítása kötelező, egyébként ajánlott).

Adatvédelem, attribútum-kiadás

Az IdP-nek kötelező megjelölni egy adatvédelmi felelőst, aki jogosult az adatkiadási szabályokról dönteni. Ajánlott szerep e-mail címet megadni erre a célra.

Az IdP adatvédelmi felelőse folyamatosan figyelemmel kíséri a Resource Registry-ben attribútum filterek változását (ill. az erről küldött e-maileket), amelyeket a változástól számított 7 napon belül jóvá kell hagynia vagy el kell utasítania.

Források

SWITCH - Best current practices for operating a SWITCHaai Identity Provider