Módosítások

{{ATTENTION|A specifikáció kidolgozása folyamatban van= Biztonsági megfontolások =Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a figyelmeztetés itt szerepel, addig munkaverziónak tekintendő! }}következő biztonsági megfontolásokat:

A föderációs metaadat specifikáció célja* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, hogy '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Amennyiben a támadó képes blokkolni a föderációban részt vevő intézmények illetve entitások technikaiközponti metaadatok elérhetőségét, bizalmi és adminisztratív adatait egy helyre gyűjtsea sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart. A * Amennyiben a metaadatok formátuma megfelel érvényességi ideje lejár, az entitás nem képes azonosítani a SAML2 metaadat szabványnaktöbbi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.

== Metaadatban tárolt információk ==

** az egyes rendszerek gyorstárazhatják a metaadatot, de maximum legalább naponta egyszer kötelesek a benne megjelölt ideig (<code>cacheDuration</code>)hiteles állományt frissíteni.

** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata

Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [httpshttp://spaceswiki.internet2oasis-open.eduorg/downloadsecurity/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)SAML2MetadataUI itt].

<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> <Testing xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /DiscoHints>

<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> <Public xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /UIInfo>

== HREF (régi) ===== Aláíró kulcs és tanúsítványok ===* Az aláíró kulcs nem titkosítottkulcsot smart cardon, az pin kóddal védve tároljuk.* Az aláírás on-line történik.* A tanúsítványt , a kártya pin kódját az aláíró szoftver indításakor az NIIF CA írta aláAAI adminisztrátor adja meg, de a jelszó nem használatos PKI ellenőrzésre.* A metadata aláíró tanúsítvány jelenleg a https://idp.niif.hu/href_signer.crt címen érhető elkerül tárolásra az aláírást végző rendszeren (sem másutt).

=== Aláírások ütemezése =Aláírási folyamat ==* Az aláírást Aláíratlan metaadat frissítése** az aláíratlan metaadat a https://rr.eduid.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.eduid.hu tanúsítványa explicit módon ellenőrzésre kerül.** a letöltött metaadat formai ellenőrzése** az ellenőrzött entitások egy óránkéntverziókövető rendszerbe kerülnek, feltétel nélkül lefutó szkript végziaz esetleges változásról e-mail értesítés készül ([https://listserv.niif.hu/mailman/listinfo/href-metadata-changes href-metadata-changes] nevű levelezőlistára)* Az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít** amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek

== eduID-HREF (új, tervezett) ===== Aláíró kulcs és tanúsítványok =cseréje ==* Az aláíró kulcsot smart cardon, pin kóddal védve tároljukA föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása.* Az aláírás onA kulccsere koordinálása a <code>href-line tech</code> levelezőlistán keresztül történik, .* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a kártya pin kódját az régi aláíró szoftver indításakor az AAI adminisztrátor adja megkulcs azonnal eltávolításra kerül, a jelszó nem kerül tárolásra kontrollált kulcscsere esetén az aláírást végző rendszeren (sem másutt).* NIIF CA által aláírt tanúsítvány, aláírás párhuzamosan történik a teljes lánc beágyazva régi és az aláírásba.* PKI ellenőrzés lehetőségeúj kulccsal.

=== Aláírási folyamat ==Metaadat elérése =Az alábbi aláírási folyamatot A HREF föderációban többféle metaadat-forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu -ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem indokolt az idp1 illetve idp2 gépek végzikSSL használata, de egyszerre csak az egyikezért - amennyiben lehetséges -, szerepük kézi konfigurálással megfordíthatóérdemes a metadata URL-eket nem titkosított HTTP protokoll segítségével letölteni.

A metadata elérés URL-je a következő: http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metadata_forras}.xml. A metadata források jelenleg a következők lehetnek:* <code>href.xml</code>: az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások* Aláíratlan <code>href-test.xml</code>: a HREF föderáció tesztrendszerei. Bármely, föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat frissítése-forrás csak tesztelési célra használható.** Az aláíratlan metaadat <code>href-edugain.xml</code>: a httpsHREF föderációból az [http://rredugain.aaiorg eduGAIN] konföderációba kiajánlott entitások.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az rr.aai[http://edugain.niiforg eduGAIN] konföderációval való együttműködésre.hu tanúsítványát explicit módon ellenőrzni Ezen entitások be kellhogy olvassák az eduGAIN metaadatot is.** A letöltött metaadat formai ellenőrzése<code>edugain.xml</code>: az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.** Az ellenőrzött intézmény-specifikus metaadat egy verziókövető rendszerbe kerülfájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.

* Metaadat aláírás== MDX-alapú elérés ==** Az aláíró szoftver rendszeresen (5 percenként) ellenőrzi az aláíratlan metaadat repositorytMDX, azaz MetaDataeXchange protokolt erőforrás optimalizálás céljából találták ki, hogy ne kelljen egyes IdP-knek és változás esetén új aláírt metaadatot készítSP-knek indokolatlanul nagy XML fájlokat feldolgozniuk és tárolniuk, mikor a felhasználóiknak jó eséllyel a fájlokban tárolt entitások töredékére van csak szükségük.** Amennyiben nincs változásEzért az egyes entitásokat be lehet úgy állítani, hogy csak akkor töltsék le az adott entitás metaadatát, fix időközönként új aláírt mikor arra szükség van (az első letöltés után természetesen helyben tároldóik a metaadat készül (8 óránkénta <code>cacheDuration</code>-ben megadott ideig).

* Aláírt metaadat kezelése** Az aláírt metaadat a httpsA HREF föderációban teszt jelleggel működik és elérhető MDX-kiszolgáló: <code>http://metadatamdx.eduid.hu</metadatacode>.xml URL-en A megfelelő beállításokhoz [[MDX|itt]] érhető el, amelyet az aktuálisan aláíró gép szolgál kisegédlet.

Az MDX kiszolgáló eltérő (nem fizikai) kulcsot és tanúsítványt használ. Ennek SHA-1 lenyomata: <br style="clearcode>91:81:AD:2B:F1:C1:4E: both" 47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>. Jelenleg (2015. október) az MDX elérés még csak teszt jelleggel működik, az élesüzemre váltáskor a kulcs és a tanúsítvány változni fog. A jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/current/mdx-test-signer-2015.crt</code>