„HREF szolgáltatási szint megállapodás” változatai közötti eltérés
a (→Metadata: autosave) |
(→Elérhetőség) |
||
| 2. sor: | 2. sor: | ||
=== Metadata === | === Metadata === | ||
A föderációban a metadata állomány írja le a résztvevőket, ez alapján kommunikál egymással az IdP és az SP. | A föderációban a metadata állomány írja le a résztvevőket, ez alapján kommunikál egymással az IdP és az SP. | ||
| − | ==== Elérhetőség ==== | + | ==== Elérhetőség, frissítés ==== |
A metaadat állományban szerepel az állomány érvényességi ideje (<code>validUntil</code>) és gyorstárazhatósági ideje (<code>cacheDuration</code>). Az állomány a <code>cacheDuration</code> paraméterben megadott időtartamon keresztül gyorstárazható, azaz ezalatt az idő alatt az entitásnak nem szükséges letöltenie a központi metaadatokat. Ha a letöltés (vagy az aláírás-ellenőrzés) valamilyen oknál fogva nem sikerül, akkor a régi metadata tartalma a <code>validUntil</code> időpontig tekinthető hitelesnek. | A metaadat állományban szerepel az állomány érvényességi ideje (<code>validUntil</code>) és gyorstárazhatósági ideje (<code>cacheDuration</code>). Az állomány a <code>cacheDuration</code> paraméterben megadott időtartamon keresztül gyorstárazható, azaz ezalatt az idő alatt az entitásnak nem szükséges letöltenie a központi metaadatokat. Ha a letöltés (vagy az aláírás-ellenőrzés) valamilyen oknál fogva nem sikerül, akkor a régi metadata tartalma a <code>validUntil</code> időpontig tekinthető hitelesnek. | ||
| 8. sor: | 8. sor: | ||
* <code>validUntil</code>: az aláírás időpontja + 3 nap | * <code>validUntil</code>: az aláírás időpontja + 3 nap | ||
* <code>cacheDuration</code>: 60 perc | * <code>cacheDuration</code>: 60 perc | ||
| + | * a metadata állomány 60 percenként automatikusan frissül | ||
===== Biztonsági megfontolások ===== | ===== Biztonsági megfontolások ===== | ||
* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a <code>cacheDuration</code> idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)''' | * Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a <code>cacheDuration</code> idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)''' | ||
* Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány <code>validUntil</code> paraméterében meghatározott ideig tart. | * Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány <code>validUntil</code> paraméterében meghatározott ideig tart. | ||
* Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. (Denial of Service). | * Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. (Denial of Service). | ||
| + | |||
| + | ===== Szolgáltatási szint ===== | ||
| + | A legfontosabb szempont, hogy az elérhetetlenségből fakadó szolgáltatáskiesés garantáltan megakadályozható legyen, azonban ez nagyon nehezen mérhető. | ||
| + | |||
| + | ; Metadata aktualitása | ||
| + | : A metadata akkor tekinthető aktuálisnak, ha egy ismert URL-lel kapcsolatban az alábbi feltételek egyszerre teljesülnek | ||
| + | :* az URL-ről egy szabványos SAML metadata állomány tölthető le | ||
| + | :* a letöltött állomány aláírásának ellenőrzése egy ismert kulccsal ellenőrizhető | ||
| + | :* a letöltött állomány 2 óránál nem régebben keletkezett | ||
| + | :* a <code>validUntil</code> paraméterben meghatározott időbélyeg nincs közelebb, mint 70 óra | ||
| + | |||
| + | '''Vállalt szolgáltatási szint''': a metadata aktuálisnak tekinthető tetszőleges 12 hónapos időtartamra nézve az idő '''99,5%'''-ában. | ||
| + | |||
==== Aláírás, automatikus frissítés ==== | ==== Aláírás, automatikus frissítés ==== | ||
A metadata egy minden fél által megbízhatónak tekintett kulccsal aláírt struktúra, amelynek adott érvényességi ideje (<code>validUntil</code>) és gyorstárazhatósági ideje (<code>cacheDuration</code>) van. | A metadata egy minden fél által megbízhatónak tekintett kulccsal aláírt struktúra, amelynek adott érvényességi ideje (<code>validUntil</code>) és gyorstárazhatósági ideje (<code>cacheDuration</code>) van. | ||
A lap 2009. december 2., 14:43-kori változata
Tartalomjegyzék
Műszaki szolgáltatások
Metadata
A föderációban a metadata állomány írja le a résztvevőket, ez alapján kommunikál egymással az IdP és az SP.
Elérhetőség, frissítés
A metaadat állományban szerepel az állomány érvényességi ideje (validUntil) és gyorstárazhatósági ideje (cacheDuration). Az állomány a cacheDuration paraméterben megadott időtartamon keresztül gyorstárazható, azaz ezalatt az idő alatt az entitásnak nem szükséges letöltenie a központi metaadatokat. Ha a letöltés (vagy az aláírás-ellenőrzés) valamilyen oknál fogva nem sikerül, akkor a régi metadata tartalma a validUntil időpontig tekinthető hitelesnek.
A föderációban az alábbi paraméterek érvényesek:
-
validUntil: az aláírás időpontja + 3 nap -
cacheDuration: 60 perc - a metadata állomány 60 percenként automatikusan frissül
Biztonsági megfontolások
- Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a
cacheDurationidejével, amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS) - Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány
validUntilparaméterében meghatározott ideig tart. - Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. (Denial of Service).
Szolgáltatási szint
A legfontosabb szempont, hogy az elérhetetlenségből fakadó szolgáltatáskiesés garantáltan megakadályozható legyen, azonban ez nagyon nehezen mérhető.
- Metadata aktualitása
- A metadata akkor tekinthető aktuálisnak, ha egy ismert URL-lel kapcsolatban az alábbi feltételek egyszerre teljesülnek
- az URL-ről egy szabványos SAML metadata állomány tölthető le
- a letöltött állomány aláírásának ellenőrzése egy ismert kulccsal ellenőrizhető
- a letöltött állomány 2 óránál nem régebben keletkezett
- a
validUntilparaméterben meghatározott időbélyeg nincs közelebb, mint 70 óra
Vállalt szolgáltatási szint: a metadata aktuálisnak tekinthető tetszőleges 12 hónapos időtartamra nézve az idő 99,5%-ában.
Aláírás, automatikus frissítés
A metadata egy minden fél által megbízhatónak tekintett kulccsal aláírt struktúra, amelynek adott érvényességi ideje (validUntil) és gyorstárazhatósági ideje (cacheDuration) van.
A központi metaadat állomány 60 percenként frissül.
Adminisztráció (Resource Registry)
Discovery Service
Elérhetőség
Adminisztráció
Monitoring
VHO IdP működtetése
IdP outsourcing
Adminisztratív szolgáltatások
- Attribútum specifikáció
- Identity Management ajánlások és specifikáció
- URN registry (URN névterek kezelése, delegálása)
- Steering committee összehívása, döntés előkészítés
- Számlázás
Támogatás
- Helpdesk intézményi adminisztrátorok számára
- Dokumentáció, tudásbázis működtetése
- Oktatás, tanácsadás
- Marketing
- „Sales”: intézmények és szolgáltatók bevonása
