Módosítások

** kötelező legalább 1024 bites kulcspárt használni** az entitások által használt tanúsítvánnyal kapcsolatban a föderációs metaadat-specifikáció a lejárati időn kívül föderáció nem tesz különleges megkötést, sőt: ajánlott az ún. hosszú lejáratú self-signed tanúsítvány tanúsítványok használata

Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható [httpshttp://spaceswiki.internet2oasis-open.eduorg/downloadsecurity/attachments/9731/saml_ds_login_ui_02.odt?version=1 ezen a linken (odt formátumban)SAML2MetadataUI itt].

<mdui:DiscoHints xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:GeolocationHint>47.518356,19.055437</mdui:GeolocationHint> <mdui:DomainHint>niif.hu</mdui:DomainHint> <mdui:DomainHint>iif.hu</mdui:DomainHint> </mdui:DiscoHints>

<mdui:UIInfo xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL> <mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL> </mdui:UIInfo>

 === HREF-2020 === * NIIF CA által aláírt tanúsítvány4096 bites, a teljes lánc beágyazva az aláírásbaSHA-384 RSA aláíró kulcs.* PKI ellenőrzés lehetőségeAz aláírás on-line történik, több telephelyes tartalékolt infrastruktúrával.

* Aláíratlan Az aláíratlan metaadat frissítése: ** az # Az aláíratlan metaadat a https://rr.aai.niifeduid.hu oldalról ütemezetten (5 perc) letöltésre kerül, minden óra 15. A letöltés során az rrés 45.aai.niif.hu tanúsítványa explicit módon ellenőrzésre percében letöltésre kerül.** a # A letöltött metaadat formai XML séma ellenőrzéseellenőrzése.** # A metadat feltöltése az ellenőrzött entitások egy verziókövető rendszerbe kerülnek, az esetleges változásról e-mail értesítés készül (<code>href-metadata-changes</code> nevű levelezőlistára</code>)* Az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít** amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnekobjektum tárolóba.

== Aláírás ellenőrzése PKI segítségével ==* Mivel az aláíró tanúsítvány és A föderáció entitásai a tanúsítványkiadó hatóság (CA) tanúsítványa is föderációs metaadat hitelességéről a metadata része, ezért végezhető PKI digitális aláírás ellenőrzésével győződhetnek meg. Az explicit ellenőrzés is.* PKI használata esetén a <code>http://metadata.eduid.hu/current/</code> URL-ről érdemes kell letölteni a metadata fájlokat, ott ugyanis mindig az aktuálisan legfrissebb kulccsal aláírt példányok érhetőek el. '''Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni.''' === HREF-2011 === * A Root CA HREF-2011 tanúsítvány a következő URL-ről https://metadata.eduid.hu oldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>FE:AE:0B:E8:FB:59:ED:F7:CB:7F:69:DF:19:4F:8B:6D:C7:F6: http96:66<//wwwcode>|-| Serial Number || 1|-| Version || 3|-| C || HU|-| O || NIIF Institute|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || aai@niif.hu|-| Érvényesség kezdete || 2011.10.05.|-| Érvényesség vége || 2031.ca09.niif30.hu|} === HREF-2020 === * A HREF-2020 tanúsítvány a https:/sites/cametadata.niifeduid.huoldalról érhető el. {| class="wikitable"|-| SHA-1 || <code>C3:72:DC:75:4C:FA:BA:65:63:52:D9:6B:47:5B:44:7E:AA:F6:45:61</files/niif_ca_root_x509code>|-| Serial Number || 80:21:EF:F0:BA:16:04:BD|-| Version || 1|-| C || HU|-| ST || Budapest|-| L || Budapest|-| O || Governmental Agency for IT Development|-| OU || eduID Federation Operator|-| CN || Metadata Signer|-| emailAddress || info@eduid.hu|-| Érvényesség kezdete || 2020.06.13.|-| Érvényesség vége || 2025.06.14.pem** PKI használata esetén a kulccsere automatikus, de a kompromittálódott kulcs visszavonhatósága miatt a visszavonási listák (CRL) használata rendkívül fontos!|}

* Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulccsere kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal.* Érvényességi megfontolások** ha egy entitás egy kulccserénél nem követi le a tanúsítvány változását (és nem használ PKI ellenőrzést), akkor számára a metaadatok a kulccsere lezárulása - a régi kulcs eltávolítása - után elérhetetlenek lesznek. Ilyenkor az utolsó hitelesítésre került metadata <code>validUntil</code> időpontja után az entitás képtelen lesz kommunikálni a föderációval.

A metadata elérés URL-je a következő: <code>http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metadata_forras}.xml</code>.  A metadata források jelenleg a következők lehetnek:* {| class="wikitable"|-| <code>href.xml</code>: az || Az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások.* |-| <code>href-test.xml</code>: a || A HREF föderáció tesztrendszerei. Bármely, a föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.* |-| <code>href-pending.xml</code> || A HREF föderáció "előszobája". Az újonnan csatlakozó intézmények IdP-je először itt lesz elérhető.|-| <code>href-edugain.xml</code>: a || A HREF föderációból az [http://edugain.org eduGAIN] konföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.* |-| <code>edugain.xml</code>: az || Az [http://edugain.org eduGAIN] konföderáció metaadata, a HREF aláíró kulccsal aláírva.* |-| <code>edugainintézmény-test.xmlspecifikus</code>: az [http://edugain.org eduGAIN] konföderáció teszt metaadata, a HREF aláíró kulccsal aláírva.* || Az intézmény-specifikus metaadat fájlok(pl.: bme.xml, ceu.xml, stb.), melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.|} == MDX-alapú elérés ==Az MDX, azaz MetaDataeXchange protokolt erőforrás optimalizálás céljából találták ki, hogy ne kelljen egyes IdP-knek és SP-knek indokolatlanul nagy XML fájlokat feldolgozniuk és tárolniuk, mikor a felhasználóiknak jó eséllyel a fájlokban tárolt entitások töredékére van csak szükségük. Ezért az egyes entitásokat be lehet úgy állítani, hogy csak akkor töltsék le az adott entitás metaadatát, mikor arra szükség van (az első letöltés után természetesen helyben tároldóik a metaadat a <code>cacheDuration</code>-ben megadott ideig).  A HREF föderációban teszt jelleggel működik és elérhető MDX-kiszolgáló: <code>http://mdx.eduid.hu</code>. A megfelelő beállításokhoz [[MDX|itt]] érhető el segédlet.

== Metaadat nézetek ==A föderációs operátor külön kérésre speciálisan transzformált metaadat nézeteket is szolgáltat'''Az MDX kiszolgáló eltérő kulcsot és tanúsítványt használ. Ezek Jelenleg az MDX elérés még csak teszt jelleggel működik, az élesüzemre váltáskor a nézetek XSLT transzformációval állnak elő a mindig aktuális metadata állományból. A nézetek speciális URLHREF-en keresztül érhetőek el (csak HTTPS felett): https://metadata.eduid.hu/${nezet}/${relativ_metadata_fajl}2020 tanúsítvánnyal fog működni. Néhány példa:'''

* httpsA jelenlegi tanúsítvány innen tölthető le: <code>http://metadata.eduid.hu/entities/current/hrefmdx-test-signer-2015.xml crt</code> === HREF-2015 === {| class="wikitable"|- entitás azonosítók listája (mindig az aktuális aláíró kulcs használatával).* https| SHA-1 || <code>91:81:AD:2B:F1:C1:4E:47:93:A2:9D:49:34:B7:77:62:4F:2F:98:43<//code>|-| Serial Number || AA:90:7C:D9:0C:D5:64:8D|-| Version || 3|-| C || HU|-| ST || -|-| L || Budapest|-| O || NIIFI|-| OU || AAI|-| CN || eduID MDX metadata.eduidsigner|-| emailAddress || aai@niif.hu/php|-ds| Érvényesség kezdete || 2015.10.13.|-idp/current/href| Érvényesség vége || 2034.12.xml - SWITCH-féle Discovery Service-hez konfigurációs állomány12.|}