565
szerkesztés
Módosítások
átstrukturálás, további pontosítások
* NIIF CA által aláírt tanúsítvány, a teljes lánc beágyazva az aláírásba.
* PKI ellenőrzés lehetősége.
== Aláírási folyamat ==
* Aláíratlan metaadat frissítése
** az aláíratlan metaadat a https://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványa explicit módon ellenőrzésre kerül.
** a letöltött metaadat formai ellenőrzése
** az ellenőrzött entitások egy verziókövető rendszerbe kerülnek, az esetleges változásról e-mail értesítés készül (<code>href-metadata-changes</code> nevű levelezőlistára</code>)
* Az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít
** amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek
== Aláírás ellenőrzése explicit tanúsítvánnyal ==
** ha egy entitás egy kulccserénél nem követi le a tanúsítvány változását (és nem használ PKI ellenőrzést), akkor számára a metaadatok a kulccsere lezárulása - a régi kulcs eltávolítása - után elérhetetlenek lesznek. Ilyenkor az utolsó hitelesítésre került metadata <code>validUntil</code> időpontja után az entitás képtelen lesz kommunikálni a föderációval.
= Metaadat elérése =
A HREF föderációban többféle metaadat-forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu -ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem indokolt az SSL használata, ezért - amennyiben lehetséges -, érdemes a metadata URL-eket nem titkosított HTTP protokoll segítségével letölteni.
* <code>href.xml</code>: az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások
* <code>href-test.xml</code>: a HREF föderáció tesztrendszerei. Bármely, föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat-forrás csak tesztelési célra használható.
* intézmény-specifikus metaadat fájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével.
== Aláírási folyamat Metaadat nézetek ==Az alábbi aláírási folyamatot az idp1 illetve idp2 gépek végzik, de egyszerre csak az egyik, szerepük kézi konfigurálással megfordíthatóA föderációs operátor külön kérésre speciálisan transzformált metaadat nézeteket is szolgáltat. * Aláíratlan metaadat frissítése** az aláíratlan metaadat Ezek a nézetek XSLT transzformációval állnak elő a https://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerülmindig aktuális metadata állományból. A letöltés során az rr.aai.niif.hu tanúsítványát explicit módon ellenőrzni kell.** a letöltött metaadat formai ellenőrzése** az ellenőrzött metaadat egy verziókövető rendszerbe kerül, az esetleges változásról enézetek speciális URL-mail értesítés készül* Metaadat aláírás** az aláíró szoftver rendszeresen en keresztül érhetőek el (1-2 percenkéntcsak HTTPS felett) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít** amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek* Aláírt metaadat kezelése** az aláírt föderációs metaadat a <code>http: https://metadata.eduid.hu/${alairo_kulcs_kibocsatasanak_evenezet}/${metadata_forrasrelativ_metadata_fajl}</code> URL-en érhető el** az aláírt metaadatok kiszolgálását tartalékolt webszerver végzi. Néhány példa:
