Módosítások

{{ATTENTION|A specifikáció kidolgozása folyamatban van= Biztonsági megfontolások =Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a figyelmeztetés itt szerepel, addig munkaverziónak tekintendő! }}következő biztonsági megfontolásokat:

A föderációs metaadat specifikáció célja* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, hogy '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Amennyiben a támadó képes blokkolni a föderációban részt vevő intézmények illetve entitások technikaiközponti metaadatok elérhetőségét, bizalmi és adminisztratív adatait egy helyre gyűjtsea sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart. A * Amennyiben a metaadatok formátuma megfelel érvényességi ideje lejár, az entitás nem képes azonosítani a SAML2 metaadat szabványnaktöbbi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.

== Metaadatban tárolt információk ==

** az egyes rendszerek gyorstárazhatják a metaadatot, de maximum legalább naponta egyszer kötelesek a benne megjelölt ideig (<code>cacheDuration</code>)hiteles állományt frissíteni.** az aláírási procedúrát a [[#Metaadat_al.C3.A1.C3.ADr.C2.A1s.C3.A1nak_m.C3.B3djaMetaadat_aláírásának_módja]] fejezet írja le.

** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata

Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [httpshttp://spaceswiki.internet2oasis-open.eduorg/downloadsecurity/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)SAML2MetadataUI itt].

<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> <Testing xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /DiscoHints>

<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> <Public xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /UIInfo>

== HREF (régi) ===== Aláíró kulcs és tanúsítványok ===* Az aláíró kulcs nem titkosítottkulcsot smart cardon, az pin kóddal védve tároljuk.* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt). == Aláírási folyamat ==* Aláíratlan metaadat frissítése** az aláíratlan metaadat a https://rr.eduid.hu oldalról ütemezetten (5 perc) letöltésre kerül. A tanúsítványt letöltés során az NIIF CA írta alárr.eduid.hu tanúsítványa explicit módon ellenőrzésre kerül.** a letöltött metaadat formai ellenőrzése** az ellenőrzött entitások egy verziókövető rendszerbe kerülnek, de nem használatos PKI ellenőrzésreaz esetleges változásról e-mail értesítés készül ([https://listserv.niif.hu/mailman/listinfo/href-metadata-changes href-metadata-changes] nevű levelezőlistára)* Az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít** amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek == Aláírás ellenőrzése explicit tanúsítvánnyal ==A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. * Az explicit ellenőrzés esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről kell letölteni a metadata aláíró fájlokat.* A tanúsítvány jelenleg a https://idpmetadata.eduid.hu oldalról érhető el.** DN-je <code>EMAILADDRESS=aai@niif.hu, CN=Metadata Signer, OU=eduID Federation Operator, O=NIIF Institute, C=HU</code>** SHA-1 <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66</code>* Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.* A tanúsítványcsere koordinálása out-of-band módszerrel történik (a <code>href-tech</code> levelezőlista segítségével). == Aláíró kulcs cseréje ==* A föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása.* A kulccsere koordinálása a <code>href-tech</href_signercode> levelezőlistán keresztül történik.* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.crt címen érhető el = Metaadat elérése =A HREF föderációban többféle metaadat-forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu -ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem indokolt az SSL használata, ezért - amennyiben lehetséges -, érdemes a metadata URL-eket nem titkosított HTTP protokoll segítségével letölteni.

=== Aláírások ütemezése ===A metadata elérés URL-je a következő: http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metadata_forras}.xml. A metadata források jelenleg a következők lehetnek:* Az aláírást egy óránként<code>href.xml</code>: az éles föderációban részt vevő, feltétel nélkül lefutó szkript végziés a föderáció kritériumait teljesítő entitások* <code>href-test.xml</code>: a HREF föderáció tesztrendszerei. Bármely, föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.* <code>href-edugain.xml</code>: a HREF föderációból az [http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.* <code>edugain.xml</code>: az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.* intézmény-specifikus metaadat fájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.

== eduID-A HREF (új, tervezett) ===== Aláíró kulcs föderációban teszt jelleggel működik és tanúsítványok ===* Az aláíró kulcsot szoftver tokenben (Java Keystore), jelszóval védve tároljukelérhető MDX-kiszolgáló: <code>http://mdx.* Az aláírás on-line történik, a jelszót az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt)eduid.* NIIF CA által aláírt tanúsítvány, a teljes lánc beágyazva az aláírásbahu</code>.* PKI ellenőrzés lehetőségeA megfelelő beállításokhoz [[MDX|itt]] érhető el segédlet.

=== Aláírások ütemezése ===* Az aláírást egy démonként futó folyamat végziMDX kiszolgáló eltérő (nem fizikai) kulcsot és tanúsítványt használ. Ennek SHA-1 lenyomata: <code>91:81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>. Jelenleg (2015. október) az MDX elérés még csak teszt jelleggel működik, óránként, feltétel nélkül új aláírást készít, valamint az élesüzemre váltáskor a kulcs és a [[Resource_Registry]]tanúsítvány változni fog. A jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/current/mdx-ben történő frissítéskor 'triggerelt', néhány percen belül lefutó aláírástest-signer-2015.crt</code>