Módosítások

{{ATTENTION|A specifikáció kidolgozása folyamatban van= Biztonsági megfontolások =Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a figyelmeztetés itt szerepel, addig munkaverziónak tekintendő! }}következő biztonsági megfontolásokat:

A föderációs metaadat specifikáció célja* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, hogy '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Amennyiben a támadó képes blokkolni a föderációban részt vevő intézmények illetve entitások technikaiközponti metaadatok elérhetőségét, bizalmi és adminisztratív adatait egy helyre gyűjtsea sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart. A * Amennyiben a metaadatok formátuma megfelel érvényességi ideje lejár, az entitás nem képes azonosítani a SAML2 metaadat szabványnaktöbbi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.

== Metaadatban tárolt információk ==

** az egyes rendszerek gyorstárazhatják a metaadatot, de maximum legalább naponta egyszer kötelesek a benne megjelölt ideig (<code>cacheDuration</code>)hiteles állományt frissíteni.

** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata

Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [httpshttp://spaceswiki.internet2oasis-open.eduorg/downloadsecurity/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)SAML2MetadataUI itt].

<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> <Testing xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /DiscoHints>

<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> <Public xmlns="urn:geant:niif.hu/mdui:eduid.hu:entity-attributes:tags" /UIInfo>

== HREF (régi) Aláíró kulcs és tanúsítványok == === Aláíró kulcs és tanúsítványok HREF-2011 === * Az aláíró kulcs kulcsot smart cardon, pin kóddal védve tároljuk.* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem titkosítottkerül tárolásra az aláírást végző rendszeren (sem másutt). === HREF-2020 === * 4096 bites, az SHA-384 RSA aláíró kulcs.* Az aláírás on-line történik, több telephelyes tartalékolt infrastruktúrával.* == Aláírási folyamat == Az aláíratlan metaadat frissítése: # Az aláíratlan metaadat a https://rr.eduid.hu oldalról ütemezetten, minden óra 15. és 45. percében letöltésre kerül.# A letöltött metaadat XML séma ellenőrzése ellenőrzése.# A tanúsítványt metadat feltöltése az NIIF CA írta alá, de nem használatos PKI ellenőrzésreobjektum tárolóba. == Aláírás ellenőrzése explicit tanúsítvánnyal == A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. Az explicit ellenőrzés esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről kell letölteni a metadata fájlokat. '''Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.''' === HREF-2011 === * A metadata aláíró HREF-2011 tanúsítvány jelenleg a https://idpmetadata.eduid.hu oldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66</code>|-| Serial Number || 1|-| Version || 3|-| C || HU|-| O || NIIF Institute|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2011.10.05.|-| Érvényesség vége || 2031.09.30.|} === HREF-2020 === * A HREF-2020 tanúsítvány a https://href_signermetadata.eduid.crt címen hu oldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>C3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61</code>|-| Serial Number || 80:21:EF:F0:BA:16:04:BD|-| Version || 1|-| C || HU|-| ST || Budapest|-| L || Budapest|-| O || Governmental Agency for IT Development|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || info@eduid.hu|-| Érvényesség kezdete || 2020.06.13.|-| Érvényesség vége || 2025.06.14.|}

==Aláíró kulcs cseréje = Aláírások ütemezése ===* Az aláírást egy óránként, feltétel nélkül lefutó szkript végzi.

=Metaadat elérése = eduIDA HREF föderációban többféle metaadat-HREF (újforrás áll rendelkezésre, tervezett) ===== Aláíró kulcs és tanúsítványok ===* Az aláíró kulcsot szoftver tokenben (Java Keystore), jelszóval védve tároljukmelyeket a http://metadata.eduid.* Az aláírás onhu -line történikról lehet elérni. Fontos megemlíteni, hogy a jelszót metadata letöltésénél nem indokolt az aláíró szoftver indításakor az AAI adminisztrátor adja megSSL használata, ezért - amennyiben lehetséges -, érdemes a jelszó metadata URL-eket nem kerül tárolásra az aláírást végző rendszeren (sem másutt).* NIIF CA által aláírt tanúsítvány, a teljes lánc beágyazva az aláírásba.* PKI ellenőrzés lehetőségetitkosított HTTP protokoll segítségével letölteni.

=== Aláírási folyamat ===[[ImageA metadata elérés URL-je a következő:Metadata-signing-process<code>http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metadata_forras}.png|thumb|400px|HREF metadata signing process]]Az alábbi aláírási folyamatot az idp1 illetve idp2 gépek végzik, de egyszerre csak az egyik, szerepük kézi konfigurálással megfordíthatóxml</code>.

* Aláíratlan metaadat frissítése** Az aláíratlan metaadat A metadata források jelenleg a httpskövetkezők lehetnek://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványát explicit módon ellenőrzni kell.** A letöltött metaadat formai ellenőrzése.** Az ellenőrzött metaadat egy verziókövető rendszerbe kerül.

* Metaadat aláírás{| class="wikitable"** |-| <code>href.xml</code> || Az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások.|-| <code>href-test.xml</code> || A HREF föderáció tesztrendszerei. Bármely, a föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.|-| <code>href-pending.xml</code> || A HREF föderáció "előszobája". Az aláíró szoftver rendszeresen (5 percenként) ellenőrzi újonnan csatlakozó intézmények IdP-je először itt lesz elérhető.|-| <code>href-edugain.xml</code> || A HREF föderációból az aláíratlan metaadat repositoryt[http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és változás esetén új aláírt képesek az [http://edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot készítis.** Amennyiben nincs változás|-| <code>edugain.xml</code> || Az [http://edugain.org eduGAIN] konföderáció metaadata, fix időközönként új aláírt a HREF aláíró kulccsal aláírva.|-| <code>intézmény-specifikus</code> || Az intézmény-specifikus metaadat készül fájlok (8 óránkéntpl.: bme.xml, ceu.xml, stb.), melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.|}

* Aláírt metaadat kezelése== MDX-alapú elérés ==** Az aláírási folyamat végén MDX, azaz MetaDataeXchange protokolt erőforrás optimalizálás céljából találták ki, hogy ne kelljen egyes IdP-knek és SP-knek indokolatlanul nagy XML fájlokat feldolgozniuk és tárolniuk, mikor a felhasználóiknak jó eséllyel a fájlokban tárolt entitások töredékére van csak szükségük. Ezért az egyes entitásokat be lehet úgy állítani, hogy csak akkor töltsék le az aláíró IdP node adott entitás metaadatát, mikor arra szükség van (az aláírt metaadatot első letöltés után természetesen helyben tároldóik a másik szerverre átmozgatja.** Az aláírt metaadat a https://metadata.eduid.hu<code>cacheDuration</metadata.xml virtualizált URLcode>-en érhető el, amelyet mindkét szerver képes kiszolgálniben megadott ideig).

A HREF föderációban teszt jelleggel működik és elérhető MDX-kiszolgáló: <code>http://mdx.eduid.hu</code>. A megfelelő beállításokhoz [[MDX|itt]] érhető el segédlet. '''Az MDX kiszolgáló eltérő kulcsot és tanúsítványt használ. Jelenleg az MDX elérés még csak teszt jelleggel működik, az élesüzemre váltáskor a HREF-2020 tanúsítvánnyal fog működni.''' A jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/current/mdx-test-signer-2015.crt<br style/code> === HREF-2015 === {| class="clearwikitable"|-| SHA-1 || <code>91: both" 81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>|-| Serial Number || AA:90:7C:D9:0C:D5:64:8D|-| Version || 3|-| C || HU|-| ST || -|-| L || Budapest|-| O || NIIFI|-| OU || AAI|-| CN || eduID MDX metadata signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2015.10.13.|-| Érvényesség vége || 2034.12.12.|}