107
szerkesztés
Módosítások
nincs szerkesztési összefoglaló
* Bizalom a metaadatban
** a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja.
** a metaadat visszavonhatóságát a lejárati idő (<code>validUntil</code>) biztosítja, ami jelenleg 3 nap.
** az egyes rendszerek gyorstárazhatják a metaadatot, de maximum legalább naponta egyszer kötelesek a benne megjelölt ideig (<code>cacheDuration</code>)hiteles állományt frissíteni.
** az aláírási procedúrát a [[#Metaadat_aláírásának_módja]] fejezet írja le.
* Tanúsítványok
** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata
* További információk
** minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni
== Metaadat kiterjesztések használata ==
Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [httpshttp://spaceswiki.internet2oasis-open.eduorg/downloadsecurity/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)SAML2MetadataUI itt].
A kiegészítő séma névtere: <code>urn:oasis:names:tc:SAML:2.0:metadata:ui</code>. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze:
|}
=== Logo ===
== Egy IdP példa ==
<source lang="xml">
<EntityDescriptor entityID="https://idp.niif.hu/shibboleth"
xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
<Extensions>
<shibmd:Scope>niif.hu</shibmd:Scope>
<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> <Testing xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /DiscoHints>
</Extensions>
<KeyDescriptor use="signing">
</ContactPerson>
</EntityDescriptor>
</source>
== Egy SP példa ==
<source lang="xml">
<EntityDescriptor entityID="https://rr.aai.niif.hu/shibboleth"
xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">
<SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol urn:oasis:names:tc:SAML:1.1:protocol">
<Extensions>
<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> <Public xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /UIInfo>
</Extensions>
<KeyDescriptor use="signing">
</ContactPerson>
</EntityDescriptor>
</source>
= Metaadat aláírásának módja =
== HREF (régi) Aláíró kulcs és tanúsítványok == === Aláíró kulcs és tanúsítványok HREF-2011 === * Az aláíró kulcs kulcsot smart cardon, pin kóddal védve tároljuk.* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem titkosítottkerül tárolásra az aláírást végző rendszeren (sem másutt). === HREF-2020 === * 4096 bites, az SHA-384 RSA aláíró kulcs.* Az aláírás on-line történik, több telephelyes tartalékolt infrastruktúrával.* == Aláírási folyamat == Az aláíratlan metaadat frissítése: # Az aláíratlan metaadat a https://rr.eduid.hu oldalról ütemezetten, minden óra 15. és 45. percében letöltésre kerül.# A letöltött metaadat XML séma ellenőrzése ellenőrzése.# A tanúsítványt metadat feltöltése az NIIF CA írta alá, de nem használatos PKI ellenőrzésreobjektum tárolóba. == Aláírás ellenőrzése explicit tanúsítvánnyal == A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. Az explicit ellenőrzés esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről kell letölteni a metadata fájlokat. '''Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.''' === HREF-2011 === * A metadata aláíró HREF-2011 tanúsítvány jelenleg a https://idpmetadata.eduid.hu oldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66</code>|-| Serial Number || 1|-| Version || 3|-| C || HU|-| O || NIIF Institute|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2011.10.05.|-| Érvényesség vége || 2031.09.30.|} === HREF-2020 === * A HREF-2020 tanúsítvány a https://href_signermetadata.eduid.crt címen hu oldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>C3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61</code>|-| Serial Number || 80:21:EF:F0:BA:16:04:BD|-| Version || 1|-| C || HU|-| ST || Budapest|-| L || Budapest|-| O || Governmental Agency for IT Development|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || info@eduid.hu|-| Érvényesség kezdete || 2020.06.13.|-| Érvényesség vége || 2025.06.14.|}
==Aláíró kulcs cseréje = Aláírások ütemezése ===* Az aláírást egy óránként, feltétel nélkül lefutó szkript végzi.
* A kulccsere koordinálása a <code>href-tech</code> levelezőlistán keresztül történik.
* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.
=Metaadat elérése = eduIDA HREF föderációban többféle metaadat-HREF (újforrás áll rendelkezésre, tervezett) ===== Aláíró kulcs és tanúsítványok ===* Az aláíró kulcsot szoftver tokenben (Java Keystore), jelszóval védve tároljukmelyeket a http://metadata.eduid.* Az aláírás onhu -line történikról lehet elérni. Fontos megemlíteni, hogy a jelszót metadata letöltésénél nem indokolt az aláíró szoftver indításakor az AAI adminisztrátor adja megSSL használata, ezért - amennyiben lehetséges -, érdemes a jelszó metadata URL-eket nem kerül tárolásra az aláírást végző rendszeren (sem másutt).* NIIF CA által aláírt tanúsítvány, a teljes lánc beágyazva az aláírásba.* PKI ellenőrzés lehetőségetitkosított HTTP protokoll segítségével letölteni.
A HREF föderációban teszt jelleggel működik és elérhető MDX-kiszolgáló: <code>http://mdx.eduid.hu</code>. A megfelelő beállításokhoz [[MDX|itt]] érhető el segédlet. '''Az MDX kiszolgáló eltérő kulcsot és tanúsítványt használ. Jelenleg az MDX elérés még csak teszt jelleggel működik, az élesüzemre váltáskor a HREF-2020 tanúsítvánnyal fog működni.''' A jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/current/mdx-test-signer-2015.crt<br style/code> === HREF-2015 === {| class="clearwikitable"|-| SHA-1 || <code>91: both" 81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>|-| Serial Number || AA:90:7C:D9:0C:D5:64:8D|-| Version || 3|-| C || HU|-| ST || -|-| L || Budapest|-| O || NIIFI|-| OU || AAI|-| CN || eduID MDX metadata signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2015.10.13.|-| Érvényesség vége || 2034.12.12.|}