47
szerkesztés
Módosítások
→Aláírási folyamat: rr migrálás rr.eduid.hu-ra
* Bizalom a metaadatban
** a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja.
** a metaadat visszavonhatóságát a lejárati idő (<code>validUntil</code>) biztosítja, ami jelenleg 3 nap.
** az egyes rendszerek gyorstárazhatják a metaadatot, de maximum legalább naponta egyszer kötelesek a benne megjelölt ideig (<code>cacheDuration</code>)hiteles állományt frissíteni.
** az aláírási procedúrát a [[#Metaadat_aláírásának_módja]] fejezet írja le.
* Tanúsítványok
** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata
* További információk
** minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
== Metaadat kiterjesztések használata ==
Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [httpshttp://spaceswiki.internet2oasis-open.eduorg/downloadsecurity/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)SAML2MetadataUI itt].
A kiegészítő séma névtere: <code>urn:oasis:names:tc:SAML:2.0:metadata:ui</code>. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze:
|}
=== Logo ===
== Egy IdP példa ==
<source lang="xml">
<EntityDescriptor entityID="https://idp.niif.hu/shibboleth"
xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
<Extensions>
<shibmd:Scope>niif.hu</shibmd:Scope>
<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> <Testing xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /DiscoHints>
</Extensions>
<KeyDescriptor use="signing">
</ContactPerson>
</EntityDescriptor>
</source>
== Egy SP példa ==
<source lang="xml">
<EntityDescriptor entityID="https://rr.aai.niif.hu/shibboleth"
xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
<SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol">
<Extensions>
<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> <Public xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /UIInfo>
</Extensions>
<KeyDescriptor use="signing">
</ContactPerson>
</EntityDescriptor>
</source>
= Metaadat aláírásának módja =
=== Aláírások ütemezése =Aláírási folyamat ==* Az aláírást Aláíratlan metaadat frissítése** az aláíratlan metaadat a https://rr.eduid.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.eduid.hu tanúsítványa explicit módon ellenőrzésre kerül.** a letöltött metaadat formai ellenőrzése** az ellenőrzött entitások egy óránkéntverziókövető rendszerbe kerülnek, feltétel nélkül lefutó szkript végziaz esetleges változásról e-mail értesítés készül ([https://listserv.niif.hu/mailman/listinfo/href-metadata-changes href-metadata-changes] nevű levelezőlistára)* Az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít** amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek
== Aláírás ellenőrzése explicit tanúsítvánnyal ==
A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg.
* Az explicit ellenőrzés esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről kell letölteni a metadata fájlokat.
* A tanúsítvány a https://metadata.eduid.hu oldalról érhető el.
** DN-je <code>EMAILADDRESS=aai@niif.hu, CN=Metadata Signer, OU=eduID Federation Operator, O=NIIF Institute, C=HU</code>
** SHA-1 <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66</code>
* Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.
* A tanúsítványcsere koordinálása out-of-band módszerrel történik (a <code>href-tech</code> levelezőlista segítségével).
=== Aláírási folyamat ==Metaadat elérése =Az alábbi aláírási folyamatot A HREF föderációban többféle metaadat-forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu -ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem indokolt az idp1 illetve idp2 gépek végzikSSL használata, de egyszerre csak az egyikezért - amennyiben lehetséges -, szerepük kézi konfigurálással megfordíthatóérdemes a metadata URL-eket nem titkosított HTTP protokoll segítségével letölteni.
A metadata elérés URL-je a következő: http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metadata_forras}.xml. A metadata források jelenleg a következők lehetnek:* <code>href.xml</code>: az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások* Aláíratlan <code>href-test.xml</code>: a HREF föderáció tesztrendszerei. Bármely, föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat frissítése-forrás csak tesztelési célra használható.** Az aláíratlan metaadat <code>href-edugain.xml</code>: a httpsHREF föderációból az [http://rredugain.aaiorg eduGAIN] konföderációba kiajánlott entitások.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az rr.aai[http://edugain.niiforg eduGAIN] konföderációval való együttműködésre.hu tanúsítványát explicit módon ellenőrzni Ezen entitások be kellhogy olvassák az eduGAIN metaadatot is.** A letöltött metaadat formai ellenőrzése<code>edugain.xml</code>: az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.** Az ellenőrzött intézmény-specifikus metaadat egy verziókövető rendszerbe kerülfájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.
Az MDX kiszolgáló eltérő (nem fizikai) kulcsot és tanúsítványt használ. Ennek SHA-1 lenyomata: <br style="clearcode>91:81:AD:2B:F1:C1:4E: both" 47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>. Jelenleg (2015. október) az MDX elérés még csak teszt jelleggel működik, az élesüzemre váltáskor a kulcs és a tanúsítvány változni fog. A jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/current/mdx-test-signer-2015.crt</code>