Módosítások

A föderációs metaadat specifikáció célja, hogy = Biztonsági megfontolások =Mivel a metadata tartalmazza a föderációban részt vevő intézmények illetve entitások tagok és komponensek technikaiinformációit, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a SAML2 metaadat szabványnak.következő biztonsági megfontolásokat:

== Metaadatban tárolt információk* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Az entitások csoportosítása az őket üzemeltető szervezetek szerint történikAmennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart. A föderációs metaadat tartalmaz egy 'partners' csoportot is* Amennyiben a metaadatok érvényességi ideje lejár, amiben az entitás nem képes azonosítani a föderáció olyan SP-i szerepelnektöbbi föderációs résztvevőt, melyek ezért nem köthetők konkrét intézményhez tud föderációs szolgáltatást (ilyen lehet például egy üzleti céllal üzemeltetett SPpl. IdP esetén azonosítási szolgáltatást)nyújtani. = Metaadatban tárolt információk =

** a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja, aminek az aláíró tanúsítványa jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el. ** a metaadat visszavonhatóságát a lejárati idő (<code>validUntil</code>) biztosítja, ami jelenleg 3 nap. ** az egyes rendszerek gyorstárazhatják a metaadatot, de maximum legalább naponta egyszer kötelesek a hiteles állományt frissíteni.** az aláírási procedúrát a benne megjelölt ideig (<code>cacheDuration</code>)[[#Metaadat_aláírásának_módja]] fejezet írja le.

** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata

** minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni ** kötelezően kitöltendőek az intézményi, adminisztratív információk (<code>Organization</code> illetve <code>ContactPerson</code> elemek) ** ajánlott megadni egy helpdesk URL-r, ahova hiba esetén a felhasználók fordulhatnak (<code>errorURL</code> attribútum)** SP-k esetén további kötelező elemek *** <code>AttributeConsumingService</code>, ami megadja a kért attribútumokat (**** <code>RequestedAttributes</code> - itt az attribútum informális neve is szerepeljen) illetve a **** <code>ServiceName</code>, <code>ServiceDescription</code> az SP szolgáltatás nevét isneve és leírása *** a szolgáltatás elérhetősége (egy URL, amin a szolgáltatás bemutatkozik(extension) *** adatkezelési szabályzatra mutató URL(extension) ** IdP-k esetén *** a scope csak az adott intézmény kezelésében levő domain név lehet(Shibboleth extension) * helpdesk URL, ahova hiba esetén a felhasználók fordulhatnak* lehetőség van további adatok megadására is * egyéb** logó * lehetőség van logó illetve ** gps koordináták tárolására is, IP cím tartomány*** különböző tagek, például a szolgáltatás publikus-e, vagy épp bevezetés alatt áll-e

Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [http://docswiki.oasis-open.org/security/samlSAML2MetadataUI itt]. A kiegészítő séma névtere: <code>urn:oasis:names:tc:SAML:2.0:metadata:ui</Post2code>.0Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze: {| class="wikitable"|-! element név! szemantika! értékekre vonatkozó megkötések|-| GeolocationHint| szélesség és hosszúság érték, a + előjel az északi szélességet illetve keleti hosszúságot jelöli| 47.47359,19.052891|-| InformationURL| az entitásról további információkat (pl. helpdesk) szolgáltató oldal.| |-| PrivacyStatementURL| Az SP adatvédelmi nyilatkozátnak elérhetősége (URL)| Engedélyezett formátumok: HTML, PDF|-| Logo| Az IdP/sstcSP logójának elérhetősége| Formátummal kapcsolatban lásd [[#Logo]]|-metadata| IPHint| (Csak az IdP-attrknél) az intézmény hálózati tartománya(i). IdP felderítés esetén előválasztás lehetséges ennek alapján.| CIDR, több érték is megadható|-cd| DomainHint| (Csak az IdP-01knél) az intézmény által felügyelt domain név.html IdP felderítés esetén előválasztás lehetséges ennek alapján egy példa:.| Több érték is megadható |}

<Extensions xmlns:saml=== Logo ==="urn* formátum:oasis:names:tc:SAML:2.0:assertion">URL egy transzparens hátterű PNG, vagy transzparens hátterű GIF képre* méretezés <mdattr:EntityAttributes xmlns:mdattr="urn:oasis** javasolt oldalarány 1:names1 vagy 16:tc:SAML:metadata:attribute">9 <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ** maximális méret 200x200px Name="urn:geant:niif.hu:eduid.hu:entity** ajánlott egy 16x16px-attributes:tags">es verziót is megadni <saml:AttributeValue>edugain</saml:AttributeValue>* attribútumok ** <saml:AttributeValuecode>public</samlxml:AttributeValue> lang</saml:Attributecode> <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Name="urn:geant:niif.hu:eduid.hu:entity-attributes:geographical-coordinates">lokalizációs információ ** <saml:AttributeValuecode>47.47359,19.052891href</saml:AttributeValuecode> </saml:Attribute>opcionális link ** <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Name="urn:geant:niif.hu:eduid.hu:entity-attributes:frontpage"code> height<saml:AttributeValue>https://sp.example.hu/foderacios-belepes</saml:AttributeValuecode> </saml:Attribute>opcionális magasság érték pixelben ** </mdattr:EntityAttributescode> width</Extensionscode>: opcionális szélesség érték pixelben