Módosítások

← Régebbi szerkesztés

HREF metadata specifikáció

2 358 bájt hozzáadva, 2021. március 29., 19:01

nincs szerkesztési összefoglaló

~~= Metaadat specifikáció =~~A föderációs metaadat célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.

~~{{ATTENTION|A specifikáció kidolgozása folyamatban van~~= Biztonsági megfontolások =Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ~~lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez~~ ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a ~~figyelmeztetés itt szerepel, addig munkaverziónak tekintendő! }}~~következő biztonsági megfontolásokat:

~~A föderációs metaadat specifikáció célja~~* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, ~~hogy~~ '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Amennyiben a támadó képes blokkolni a ~~föderációban részt vevő intézmények illetve entitások technikai~~központi metaadatok elérhetőségét, ~~bizalmi és adminisztratív adatait egy helyre gyűjtse~~a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart. A * Amennyiben a metaadatok ~~formátuma megfelel~~ érvényességi ideje lejár, az entitás nem képes azonosítani a ~~SAML2 metaadat szabványnak~~többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.

== Metaadatban tárolt információk ==

* Bizalom a metaadatban

** a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja.

** a metaadat visszavonhatóságát a lejárati idő (<code>validUntil</code>) biztosítja, ami jelenleg 3 nap.

** az egyes rendszerek gyorstárazhatják a metaadatot, de ~~maximum~~ legalább naponta egyszer kötelesek a ~~benne megjelölt ideig (<code>cacheDuration</code>)~~hiteles állományt frissíteni.

** az aláírási procedúrát a [[#Metaadat_aláírásának_módja]] fejezet írja le.

* Tanúsítványok

** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a ~~föderációs metaadat-specifikáció a lejárati időn kívül~~ föderáció nem tesz különleges megkötést, sőt: ajánlott ~~az ún.~~ hosszú lejáratú self-signed ~~tanúsítvány~~ tanúsítványok használata

* További információk

** minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni

*** gps koordináták, IP cím tartomány

*** különböző tagek, például a szolgáltatás publikus-e, vagy épp bevezetés alatt áll-e

~~== Biztonsági megfontolások ==~~

Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat:

* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''

* Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart.

* Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.

== Metaadat kiterjesztések használata ==

Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [~~https~~http://~~spaces~~wiki.~~internet2~~oasis-open.~~edu~~org/~~download~~security/~~attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)~~SAML2MetadataUI itt].

A kiegészítő séma névtere: <code>urn:oasis:names:tc:SAML:2.0:metadata:ui</code>. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze:

|}

~~=== Entity tagek ===~~

A metaadatban tárolt entitásokhoz kapcsolódó ún. 'tagek' tárolását a <code>urn:geant:niif.hu:eduid.hu:entity-attributes:tags</code> névtérben elhelyezkedő XML elementekkel valósítjuk meg. Ez a koncepció megegyezik a UKFederation által használt 'label' kiterjesztéssel.

~~Az általánosan használt tagek a következők:~~

* <code><Public xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" /></code> - publikusan használható SP

* <code><EduGAIN xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" /></code> - eduGAIN konföderációban használható IdP / SP

* <code><Testing xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" /></code> - tesztelés alatt álló IdP / SP

=== Logo ===

== Egy IdP példa ==

<EntityDescriptor entityID="https://idp.niif.hu/shibboleth"

xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">

<shibmd:Scope>niif.hu</shibmd:Scope>

<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> <~~Testing xmlns="urn:geant:niif.hu~~/mdui:~~eduid.hu:entity-attributes:tags" /~~DiscoHints>

</Extensions>

</ContactPerson>

</EntityDescriptor>

</source>

== Egy SP példa ==

<EntityDescriptor entityID="https://rr.aai.niif.hu/shibboleth"

xmlns:mdui="urn:oasis:names:tc:SAML:2.0:metadata:ui">

<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> <~~Public xmlns="urn:geant:niif.hu~~/mdui:~~eduid.hu:entity-attributes:tags" /~~UIInfo>

</Extensions>

</ContactPerson>

</EntityDescriptor>

</source>

= Metaadat aláírásának módja =

~~== HREF (régi) ==~~=== Aláíró kulcs és tanúsítványok ===* Az aláíró kulcs nem titkosított, az aláírás on-line történik.* A tanúsítványt az NIIF CA írta alá, de nem használatos PKI ellenőrzésre.* A metadata aláíró tanúsítvány jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el.

=== ~~Aláírások ütemezése~~ HREF-2011 ===* Az aláírást egy óránként, feltétel nélkül lefutó szkript végzi.

~~== eduID-HREF (új, tervezett) ==~~

~~=== Aláíró kulcs és tanúsítványok ===~~

* Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk.

* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt).

* NIIF CA által aláírt tanúsítvány, a teljes lánc beágyazva az aláírásba.

* PKI ellenőrzés lehetősége.

* Aláíró kulcs cseréje 2 évente.

** Az aláíró kulcs cseréjekor a régi és az új aláíró kulcs párhuzamosan dolgozik, külön metaadat fájlokba (a fájl neve tartalmazza a kulcsra vonatkozó információt).

=== ~~Metaadat fájlok~~ HREF-2020 ===* A http://metadata.eduid.hu/metadata.xml URL mindig az aktuálisan legfrissebb metaadat fájlra mutat.** Ez a metaadat fájl csak PKI ellenőrzéssel együtt használható4096 bites, ~~hiszen az~~ SHA-384 RSA aláíró kulcs ~~cseréjekor megváltozik a tanúsítvány~~.* ~~Jelenleg~~ Az aláírás on-line történik, több telephelyes tartalékolt infrastruktúrával. == Aláírási folyamat == Az aláíratlan metaadat frissítése: # Az aláíratlan metaadat a ~~http~~https://~~metadata~~rr.eduid.hu~~/metadata-2010~~oldalról ütemezetten, minden óra 15. és 45. percében letöltésre kerül.~~xml URL-en érhető el a legfrissebb aláíró kulccsal készülő~~ # A letöltött metaadatXML séma ellenőrzése ellenőrzése.** # A ~~CA ellenőrzést nem végző rendszerek számára ajánlott a sorozatszámmal (évszámmal) ellátott metaadat URL használata~~metadat feltöltése az objektum tárolóba.

==Aláírás ellenőrzése explicit tanúsítvánnyal = ~~Aláírási folyamat~~ ===~~Az alábbi aláírási folyamatot az idp1 illetve idp2 gépek végzik, de egyszerre csak az egyik, szerepük kézi konfigurálással megfordítható.~~

* Aláíratlan A föderáció entitásai a föderációs metaadat ~~frissítése~~** hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. Az ~~aláíratlan metaadat~~ explicit ellenőrzés esetén a ~~https~~<code>http://~~rr.aai~~metadata.~~niif~~eduid.hu ~~oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványát explicit módon ellenőrzni~~ /current/</code> URL-ről kell.** A letöltött metaadat formai ellenőrzése.** Az ellenőrzött metaadat egy verziókövető rendszerbe kerülletölteni a metadata fájlokat.

* Metaadat aláírás** Az aláíró szoftver rendszeresen (5 percenként) ellenőrzi az aláíratlan metaadat repositoryt, és változás esetén új aláírt metaadatot készít.** Amennyiben nincs változás, fix időközönként új aláírt metaadat készül (8 óránként)'''Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.'''

* Aláírt metaadat kezelése** Az aláírt metaadat a https://metadata.eduid.hu/metadata.xml URL=== HREF-~~en érhető el, amelyet az aktuálisan aláíró gép szolgál ki.~~2011 ===

* A HREF-2011 tanúsítvány a https://metadata.eduid.hu oldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6:96:66<~~br style~~/code>|-| Serial Number || 1|-| Version || 3|-| C || HU|-| O || NIIF Institute|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2011.10.05.|-| Érvényesség vége || 2031.09.30.|} === HREF-2020 === * A HREF-2020 tanúsítvány a https://metadata.eduid.hu oldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>C3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61</code>|-| Serial Number || 80:21:EF:F0:BA:16:04:BD|-| Version || 1|-| C || HU|-| ST || Budapest|-| L || Budapest|-| O || Governmental Agency for IT Development|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || info@eduid.hu|-| Érvényesség kezdete || 2020.06.13.|-| Érvényesség vége || 2025.06.14.|} == Aláíró kulcs cseréje == * A kulccsere koordinálása a <code>href-tech</code> levelezőlistán keresztül történik.* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal. = Metaadat elérése =A HREF föderációban többféle metaadat-forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu -ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem indokolt az SSL használata, ezért - amennyiben lehetséges -, érdemes a metadata URL-eket nem titkosított HTTP protokoll segítségével letölteni. A metadata elérés URL-je a következő: <code>http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metadata_forras}.xml</code>. A metadata források jelenleg a következők lehetnek: {| class="wikitable"|-| <code>href.xml</code> || Az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások.|-| <code>href-test.xml</code> || A HREF föderáció tesztrendszerei. Bármely, a föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.|-| <code>href-pending.xml</code> || A HREF föderáció "előszobája"~~clear~~. Az újonnan csatlakozó intézmények IdP-je először itt lesz elérhető.|-| <code>href-edugain.xml</code> || A HREF föderációból az [http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.|-| <code>edugain.xml</code> || Az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.|-| <code>intézmény-specifikus</code> || Az intézmény-specifikus metaadat fájlok (pl.: bme.xml, ceu.xml, stb.), melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.|} == MDX-alapú elérés ==Az MDX, azaz MetaDataeXchange protokolt erőforrás optimalizálás céljából találták ki, hogy ne kelljen egyes IdP-knek és SP-knek indokolatlanul nagy XML fájlokat feldolgozniuk és tárolniuk, mikor a felhasználóiknak jó eséllyel a fájlokban tárolt entitások töredékére van csak szükségük. Ezért az egyes entitásokat be lehet úgy állítani, hogy csak akkor töltsék le az adott entitás metaadatát, mikor arra szükség van (az első letöltés után természetesen helyben tároldóik a metaadat a <code>cacheDuration</code>-ben megadott ideig). A HREF föderációban teszt jelleggel működik és elérhető MDX-kiszolgáló: <code>http: ~~both~~//mdx.eduid.hu</code>. A megfelelő beállításokhoz [[MDX|itt]] érhető el segédlet. '''Az MDX kiszolgáló eltérő kulcsot és tanúsítványt használ. Jelenleg az MDX elérés még csak teszt jelleggel működik, az élesüzemre váltáskor a HREF-2020 tanúsítvánnyal fog működni.''' A jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/current/mdx-test-signer-2015.crt</code> === HREF-2015 === {| class=" wikitable"|-| SHA-1 || <code>91:81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43</code>|-| Serial Number || AA:90:7C:D9:0C:D5:64:8D|-| Version || 3|-| C || HU|-| ST || -|-| L || Budapest|-| O || NIIFI|-| OU || AAI|-| CN || eduID MDX metadata signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2015.10.13.|-| Érvényesség vége || 2034.12.12.|}

Northway(AT)niif.hu

bürokraták, adminisztrátorok

107

szerkesztés

Módosítások

HREF metadata specifikáció

Navigációs menü

Személyes eszközök

Névterek

Változatok

Nézetek

Több

Keresés

Navigáció

Eszközök