Módosítások

HREF metadata specifikáció

4 632 bájt hozzáadva, 2017. június 8., 12:16
Aláírási folyamat: rr migrálás rr.eduid.hu-ra
= Metaadat specifikáció =A föderációs metaadat célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.
{{ATTENTION|A specifikáció kidolgozása folyamatban van= Biztonsági megfontolások =Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a figyelmeztetés itt szerepel, addig munkaverziónak tekintendő! }}következő biztonsági megfontolásokat:
A föderációs metaadat specifikáció célja* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, hogy '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Amennyiben a támadó képes blokkolni a föderációban részt vevő intézmények illetve entitások technikaiközponti metaadatok elérhetőségét, bizalmi és adminisztratív adatait egy helyre gyűjtsea sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart. A * Amennyiben a metaadatok formátuma megfelel érvényességi ideje lejár, az entitás nem képes azonosítani a SAML2 metaadat szabványnaktöbbi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.
== Metaadatban tárolt információk ==* Az entitások csoportosítása az őket üzemeltető szervezetek szerint történik. A föderációs metaadat tartalmaz egy 'partners' csoportot is, amiben a föderáció olyan SP-i szerepelnek, melyek nem köthetők konkrét intézményhez (ilyen lehet például egy üzleti céllal üzemeltetett SP).
* Bizalom a metaadatban
** a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja, aminek az aláíró tanúsítványa jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el.
** a metaadat visszavonhatóságát a lejárati idő (<code>validUntil</code>) biztosítja, ami jelenleg 3 nap.
** az egyes rendszerek gyorstárazhatják a metaadatot, de maximum legalább naponta egyszer kötelesek a benne megjelölt ideig (<code>cacheDuration</code>)hiteles állományt frissíteni.** az aláírási procedúrát a [[#Metaadat_aláírásának_módja]] fejezet írja le.
* Tanúsítványok
** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata
* További információk
** minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
*** logó
*** gps koordináták, IP cím tartomány
*** különböző tagek, például a szolgáltatás publikus-e, vagy épp bevezetés alatt áll-e
== Metaadat kiterjesztések használata ==
Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [httpshttp://spaceswiki.internet2oasis-open.eduorg/downloadsecurity/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)SAML2MetadataUI itt].
A kiegészítő séma névtere: <code>urn:oasis:names:tc:SAML:2.0:metadata:ui</code>. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze:
{| class="wikitable"
|}
 
=== Entity tagek ===
A metaadatban tárolt entitásokhoz kapcsolódó ún. 'tagek' tárolását a <code>urn:geant:niif.hu:eduid.hu:entity-attributes:tags</code> névtérben elhelyezkedő XML elementekkel valósítjuk meg. Ez a koncepció megegyezik a UKFederation által használt 'label' kiterjesztéssel.
 
Az általánosan használt tagek a következők:
* <code><PublicService xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" /></code> - publikusan használható SP
* <code><EduGAIN xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" /></code> - eduGAIN konföderációban használható IdP / SP
* <code><Testing xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" /></code> - tesztelés alatt álló IdP / SP
=== Logo ===
* formátum: URL egy transzparens hátterű PNG, vagy transzparens hátterű GIFképre* méretezés** javasolt oldalarány 1:1 vagy 16:9* ajánlott méret: 16x16 pixel, * maximális méret 200x200 pixel 200x200px** ajánlott egy 16x16px-es verziót is megadni
* attribútumok
** <code>sourcexml:lang</code> (kötelező): URLlokalizációs információ** <code>linkhref</code>: opcionális link
** <code>height</code>: opcionális magasság érték pixelben
** <code>width</code>: opcionális szélesség érték pixelben
== Egy IdP példa ==
<source lang="xml">
<EntityDescriptor entityID="https://idp.niif.hu/shibboleth"
xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0">
<Extensions>
<shibmd:Scope>niif.hu</shibmd:Scope>
<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> <mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attributes" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"> <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:tags"> <saml:AttributeValue>testing</saml:AttributeValue> </saml:Attribute> </mdattrmdui:EntityAttributesDiscoHints>
</Extensions>
<KeyDescriptor use="signing">
</ContactPerson>
</EntityDescriptor>
</source>
== Egy SP példa ==
<source lang="xml">
<EntityDescriptor entityID="https://rr.aai.niif.hu/shibboleth"
xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
<SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol">
<Extensions>
<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> <mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attributes" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"> <saml:Attribute Name="urn:geant:niif.hu:eduid.hu:entity-attributes:tags"> <saml:AttributeValue>public</saml:AttributeValue> </saml:Attribute> </mdattrmdui:EntityAttributesUIInfo>
</Extensions>
<KeyDescriptor use="signing">
</ContactPerson>
</EntityDescriptor>
</source>
 
= Metaadat aláírásának módja =
== Aláíró kulcs és tanúsítványok ==
* Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk.
* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt).
 
== Aláírási folyamat ==
* Aláíratlan metaadat frissítése
** az aláíratlan metaadat a https://rr.eduid.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.eduid.hu tanúsítványa explicit módon ellenőrzésre kerül.
** a letöltött metaadat formai ellenőrzése
** az ellenőrzött entitások egy verziókövető rendszerbe kerülnek, az esetleges változásról e-mail értesítés készül ([https://listserv.niif.hu/mailman/listinfo/href-metadata-changes href-metadata-changes] nevű levelezőlistára)
* Az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít
** amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek
 
== Aláírás ellenőrzése explicit tanúsítvánnyal ==
A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg.
* Az explicit ellenőrzés esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről kell letölteni a metadata fájlokat.
* A tanúsítvány a https://metadata.eduid.hu oldalról érhető el.
** DN-je <code>EMAILADDRESS=aai@niif.hu, CN=Metadata Signer, OU=eduID Federation Operator, O=NIIF Institute, C=HU</code>
** SHA-1 <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66</code>
* Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.
* A tanúsítványcsere koordinálása out-of-band módszerrel történik (a <code>href-tech</code> levelezőlista segítségével).
 
== Aláíró kulcs cseréje ==
* A föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása.
* A kulccsere koordinálása a <code>href-tech</code> levelezőlistán keresztül történik.
* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.
 
= Metaadat elérése =
A HREF föderációban többféle metaadat-forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu -ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem indokolt az SSL használata, ezért - amennyiben lehetséges -, érdemes a metadata URL-eket nem titkosított HTTP protokoll segítségével letölteni.
 
A metadata elérés URL-je a következő: http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metadata_forras}.xml. A metadata források jelenleg a következők lehetnek:
* <code>href.xml</code>: az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások
* <code>href-test.xml</code>: a HREF föderáció tesztrendszerei. Bármely, föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.
* <code>href-edugain.xml</code>: a HREF föderációból az [http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.
* <code>edugain.xml</code>: az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.
* intézmény-specifikus metaadat fájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.
 
== MDX-alapú elérés ==
Az MDX, azaz MetaDataeXchange protokolt erőforrás optimalizálás céljából találták ki, hogy ne kelljen egyes IdP-knek és SP-knek indokolatlanul nagy XML fájlokat feldolgozniuk és tárolniuk, mikor a felhasználóiknak jó eséllyel a fájlokban tárolt entitások töredékére van csak szükségük. Ezért az egyes entitásokat be lehet úgy állítani, hogy csak akkor töltsék le az adott entitás metaadatát, mikor arra szükség van (az első letöltés után természetesen helyben tároldóik a metaadat a <code>cacheDuration</code>-ben megadott ideig).
 
A HREF föderációban teszt jelleggel működik és elérhető MDX-kiszolgáló: <code>http://mdx.eduid.hu</code>. A megfelelő beállításokhoz [[MDX|itt]] érhető el segédlet.
 
Az MDX kiszolgáló eltérő (nem fizikai) kulcsot és tanúsítványt használ. Ennek SHA-1 lenyomata: <code>91:81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>. Jelenleg (2015. október) az MDX elérés még csak teszt jelleggel működik, az élesüzemre váltáskor a kulcs és a tanúsítvány változni fog. A jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/current/mdx-test-signer-2015.crt</code>
Gyufi(AT)sztaki.hu
47
szerkesztés
A lap eredeti címe: „https://wiki.niif.hu/index.php?title=Speciális:MobileDiff/1658...4153

Navigációs menü