HREF műszaki előírások

Innen: KIFÜ Wiki
A lap korábbi változatát látod, amilyen Bajnokk(AT)niif.hu (vitalap | szerkesztései) 2017. május 2., 10:03-kor történt szerkesztése után volt. (3. Üzemeltetési kérdések: véletlenül lemaradt a dokumentum vége az import során)

A dokumentum célja, hogy a HREF Föderációhoz csatlakozó Tagok és Partnerek számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges identitás-menedzsment, valamint üzemeltetési területeket fednek le.

A dokumentumban a KÖTELEZŐ, TILOS, AJÁNLOTT, NEM AJÁNLOTT kifejezések értelmezése az alábbiak szerinti:

  • KÖTELEZŐ (ill. "KÖTELES", "kell") jelentése: a pontban leírtak betartása a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek, ettől a résztvevők nem térhetnek el;
  • TILOS jelentése KÖTELEZŐ NEM, azaz a pontban leírtak szerint az intézmény nem járhat el;
  • az AJÁNLOTT pontoktól való eltéréseket az intézmények dokumentálni kötelesek.
  • NEM AJÁNLOTT jelentése: amennyiben az intézmény a pontban leírtak szerint jár el, ezt dokumentálni köteles.


1. Identitás-menedzsment

1.1. Az intézmény köteles adatkezelési elveit dokumentálni, azt a felhasználókkal megismertetni.
1.2. Az intézmény köteles a felhasználóiról általa ismert adatok forrását, karbantartásának módját, illetve ezen adatok becsült adatminőségét dokumentálni, és igény esetén ezt a dokumentációt a föderáció tagjainak rendelkezésére bocsátani.
1.3. Kötelező a felhasználónevek egyediségét biztosítani.
1.4. Föderációs azonosítót újra kiosztani tilos.
1.5. Egy természetes személyhez nem ajánlott több felhasználói azonosítót rendelni.
1.6. Nem ajánlott szerep felhasználók (dékán, igazgató) használata.
1.7. Teszt felhasználók az alábbi megkötések mentén használhatóak:
1.7.1. minden teszt felhasználót egyértelműen azonosítani és dokumentálni kötelező (az érte felelős munkatárssal együtt),
1.7.2. teszt felhasználóval valós tranzakciót kezdeményezni tilos, kivéve, ha a tranzakcióban részt vevő SP a teszt felhasználó használatához hozzájárult,
1.7.3. ajánlott ezen felhasználókat a megfelelő homeOrganizationType értékkel megkülönböztetni.
1.8. Felhasználói azonosító adatokat (pl. jelszó) publikus hálózaton titkosítatlanul továbbítani (felhasználótól bekérni, adatbázisszerver felé kommunikálni) tilos.
1.9. A felhasználói jelszavakat ajánlott nem elektronikus formában kiosztani (pl. személyesen, vagy postai úton).
1.10. A felhasználók intézményhez fűződő viszonyában bekövetkezett változásokat 7 napon belül kötelező megjeleníteni az IdP adatbázisában.
1.10.1. Amennyiben az intézmény külső adatforrást (tanulmányi- ill. bérügyi rendszert) használ a felhasználói adatok tárolására, úgy ez a 7 napos korlát a hiteles adat elsődleges rendszerben történő megváltozásától számítandó.
1.10.2. Hallgató kilépése esetén lehetőség van arra, hogy a jogviszony megszűnte után ún. 'alum' státuszban továbbra is használható maradjon a szolgáltatás. A 'student' illetve 'member' jelző ilyenkor már nem használható.
1.10.3. Oktató illetve alkalmazott kilépése esetén a 'staff', 'employee', 'faculty', 'member' értékeket törölni kell.

2. Szolgáltatás-menedzsment

2.1. Az intézmény köteles a föderációs operátorral való kapcsolattartásra megfelelő szerepkört kialakítani. Ajánlott a kapcsolattartáshoz szerep e-mail címet megadni.
2.2. IdP-t üzemeltető intézmény köteles az IdP-vel kapcsolatban végfelhasználói támogatást nyújtani, és ezen támogatás elérhetőségéről a felhasználóit tájékoztatni.
2.3. Az intézmény köteles az általa üzemeltett IdP forgalmi adataiból anonimizált, legalább napi felbontású adatokat szolgáltatni a föderációs operátor számára föderációs célú statisztika készítésének céljából.

3. Üzemeltetési kérdések

3.1. A személyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, és azt legalább 30 napig megőrizni.
3.1.1. Az intézmény ezeket a naplókat köteles a hatályos adatvédelmi szabályokkal összhangban kezelni.
3.2. Az AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata.
3.2.1. Biztosítani kell a privát kulcsok védelmét.
3.2.2. Amennyiben egy kulcs kompromittálódik, az intézmény köteles a föderációs operátort 24 órán belül értesíteni.
3.3. Vonatkozó SAML szabványok
3.3.1. Kötelező a SAML2 Web Browser SSO profil támogatása HTTP-POST binding felett;
3.3.2. A Web Borwser SSO profil támogatása HTTP-Artifact binding felett ajánlott.
3.3.3. Ajánlott a SAML2 Single Logout profil támogatása HTTP-Redirect illetve SOAP binding felett.
3.5. SP számára ajánlott a végpontok védelme SSL/TLS segítségével.
3.6. Amennyiben egy SP nem támogatja a HTTPS-t, a személyes adatok védelme érdekében az IdP köteles biztosítani az assertion titkosítását.
3.7. Az IdP köteles célzott, átlátszatlan azonosítót támogatni, és ezt az SP-k számára igény esetén kiadni.
3.7.1. Amennyiben ez az azonosító SAML2 perzisztens NameID-ként kerül kiadásra, a perzisztencia megvalósítása kötelező.