47
szerkesztés
Módosítások
→Aláírási folyamat: rr migrálás rr.eduid.hu-ra
** az aláírási procedúrát a [[#Metaadat_aláírásának_módja]] fejezet írja le.
* Tanúsítványok
** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata
* További információk
** minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
== Metaadat kiterjesztések használata ==
Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [httpshttp://spaceswiki.internet2oasis-open.eduorg/downloadsecurity/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)SAML2MetadataUI itt].
A kiegészítő séma névtere: <code>urn:oasis:names:tc:SAML:2.0:metadata:ui</code>. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze:
== Egy IdP példa ==
<source lang="xml">
<EntityDescriptor entityID="https://idp.niif.hu/shibboleth"
xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
<Extensions>
<shibmd:Scope>niif.hu</shibmd:Scope>
<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> </mdui:DiscoHints>
</Extensions>
<KeyDescriptor use="signing">
</ContactPerson>
</EntityDescriptor>
</source>
== Egy SP példa ==
<source lang="xml">
<EntityDescriptor entityID="https://rr.aai.niif.hu/shibboleth"
xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
<SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol">
<Extensions>
<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> </mdui:UIInfo>
</Extensions>
<KeyDescriptor use="signing">
</ContactPerson>
</EntityDescriptor>
</source>
= Metaadat aláírásának módja =
* Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk.
* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt).
== Aláírási folyamat ==
* Aláíratlan metaadat frissítése
** az aláíratlan metaadat a https://rr.aai.niifeduid.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niifeduid.hu tanúsítványa explicit módon ellenőrzésre kerül.
** a letöltött metaadat formai ellenőrzése
** az ellenőrzött entitások egy verziókövető rendszerbe kerülnek, az esetleges változásról e-mail értesítés készül (<code>[https://listserv.niif.hu/mailman/listinfo/href-metadata-changes href-metadata-changes</code> ] nevű levelezőlistára</code>)
* Az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít
** amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek
== Aláírás ellenőrzése explicit tanúsítvánnyal ==
A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. Ezen ellenőrzéshez az előző pontban említett tanúsítvány használható fel.* Az explicit ellenőrzés esetén a <code>http://metadata.eduid.hu/${kulcs_kibocsatas_eve}current/</code> URL-ről kell letölteni a metadata fájlokat, például: http://metadata.eduid.hu/2010/href.xml.* A tanúsítvány a https://metadata.eduid.hu oldalról érhető el. A tanúsítvány nevében szereplő 2010-es szám a kulcs generálásának évére vonatkozik.** DN-je <code>EMAILADDRESS=aai@niif.hu, CN=HREF Metadata Signer 2010, OU=AAIeduID Federation Operator, O=NIIF Institute, O=NIIF CA, C=HU</code>** SHA-1 <code>09FE:C2AE:8B0B:09E8:ABFB:9E59:C2ED:9BF7:A5CB:717F:3769:E7DF:3619:C64F:108B:FF6D:96C7:9FF6:D796:FE66</code>
* Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.
* A tanúsítványcsere koordinálása out-of-band módszerrel történik (a <code>href-tech</code> levelezőlista segítségével).
== Aláíró kulcs cseréje ==
* A föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása.
* A kulccsere koordinálása a <code>href-tech</code> levelezőlistán keresztül történik.
* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulccsere kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.* Érvényességi megfontolások** ha egy entitás egy kulccserénél nem követi le a tanúsítvány változását (és nem használ PKI ellenőrzést), akkor számára a metaadatok a kulccsere lezárulása - a régi kulcs eltávolítása - után elérhetetlenek lesznek. Ilyenkor az utolsó hitelesítésre került metadata <code>validUntil</code> időpontja után az entitás képtelen lesz kommunikálni a föderációval.
= Metaadat elérése =
* <code>href-edugain.xml</code>: a HREF föderációból az [http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.
* <code>edugain.xml</code>: az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.
* intézmény-specifikus metaadat fájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.
== Metaadat nézetek MDX-alapú elérés ==A föderációs operátor külön kérésre speciálisan transzformált metaadat nézeteket is szolgáltatAz MDX, azaz MetaDataeXchange protokolt erőforrás optimalizálás céljából találták ki, hogy ne kelljen egyes IdP-knek és SP-knek indokolatlanul nagy XML fájlokat feldolgozniuk és tárolniuk, mikor a felhasználóiknak jó eséllyel a fájlokban tárolt entitások töredékére van csak szükségük. Ezek Ezért az egyes entitásokat be lehet úgy állítani, hogy csak akkor töltsék le az adott entitás metaadatát, mikor arra szükség van (az első letöltés után természetesen helyben tároldóik a nézetek XSLT transzformációval állnak elő metaadat a mindig aktuális metadata állományból<code>cacheDuration</code>-ben megadott ideig). A nézetek speciális URLHREF föderációban teszt jelleggel működik és elérhető MDX-en keresztül érhetőek el (csak HTTPS felett)kiszolgáló: https<code>http://metadatamdx.eduid.hu</${nezet}/${relativ_metadata_fajl}code>. A megfelelő beállításokhoz [[MDX|itt]] érhető el segédlet. Néhány példa:
