„HREF szolgáltatási szint megállapodás” változatai közötti eltérés

Innen: KIFÜ Wiki
a (Adminisztratív szolgáltatások)
(metadatára vonatkozó részek tisztítása + egyéb tisztítás)
3. sor: 3. sor:
 
A föderációban a metadata állomány írja le a résztvevőket, ez alapján kommunikál egymással az IdP és az SP.  
 
A föderációban a metadata állomány írja le a résztvevőket, ez alapján kommunikál egymással az IdP és az SP.  
 
==== Elérhetőség, frissítés ====
 
==== Elérhetőség, frissítés ====
A metaadat állományban szerepel az állomány érvényességi ideje (<code>validUntil</code>) és gyorstárazhatósági ideje (<code>cacheDuration</code>). Az állomány a <code>cacheDuration</code> paraméterben megadott időtartamon keresztül gyorstárazható, azaz ezalatt az idő alatt az entitásnak nem szükséges letöltenie a központi metaadatokat. Ha a letöltés (vagy az aláírás-ellenőrzés) valamilyen oknál fogva nem sikerül, akkor a régi metadata tartalma a <code>validUntil</code> időpontig tekinthető hitelesnek.
+
* Lásd [[HREFMetadataSpec|Metadata specifikáció]]
  
A föderációban az alábbi paraméterek érvényesek:
 
* <code>validUntil</code>: az aláírás időpontja + 3 nap
 
* <code>cacheDuration</code>: 60 perc
 
* a metadata állomány 60 percenként automatikusan frissül
 
 
===== Biztonsági megfontolások =====
 
===== Biztonsági megfontolások =====
 
* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a <code>cacheDuration</code> idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''
 
* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a <code>cacheDuration</code> idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''
22. sor: 18. sor:
 
:* a letöltött állomány aláírásának ellenőrzése egy ismert kulccsal ellenőrizhető
 
:* a letöltött állomány aláírásának ellenőrzése egy ismert kulccsal ellenőrizhető
 
:* a letöltött állomány 2 óránál nem régebben keletkezett
 
:* a letöltött állomány 2 óránál nem régebben keletkezett
:* a <code>validUntil</code> paraméterben meghatározott időbélyeg nincs közelebb, mint 70 óra
 
  
 
'''Vállalt szolgáltatási szint''': a metadata aktuálisnak tekinthető tetszőleges 12 hónapos időtartamra nézve az idő '''99,5%'''-ában.
 
'''Vállalt szolgáltatási szint''': a metadata aktuálisnak tekinthető tetszőleges 12 hónapos időtartamra nézve az idő '''99,5%'''-ában.
39. sor: 34. sor:
 
* Identity Management ajánlások és specifikáció kidolgozása, karbantartása
 
* Identity Management ajánlások és specifikáció kidolgozása, karbantartása
 
* URN registry (URN névterek kezelése, delegálása)
 
* URN registry (URN névterek kezelése, delegálása)
* Steering committee összehívása, döntés előkészítés
 
* Számlázás
 
 
* Statisztika
 
* Statisztika
 
* Audit
 
* Audit

A lap 2010. május 20., 16:24-kori változata

Műszaki szolgáltatások

Metadata

A föderációban a metadata állomány írja le a résztvevőket, ez alapján kommunikál egymással az IdP és az SP.

Elérhetőség, frissítés

Biztonsági megfontolások
  • Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a cacheDuration idejével, amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)
  • Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány validUntil paraméterében meghatározott ideig tart.
  • Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. (Denial of Service).
Szolgáltatási szint

A legfontosabb szempont, hogy az elérhetetlenségből fakadó szolgáltatáskiesés garantáltan megakadályozható legyen, azonban ez nagyon nehezen mérhető.

Metadata aktualitása
A metadata akkor tekinthető aktuálisnak, ha egy ismert URL-lel kapcsolatban az alábbi feltételek egyszerre teljesülnek
  • az URL-ről egy szabványos SAML metadata állomány tölthető le
  • a letöltött állomány aláírásának ellenőrzése egy ismert kulccsal ellenőrizhető
  • a letöltött állomány 2 óránál nem régebben keletkezett

Vállalt szolgáltatási szint: a metadata aktuálisnak tekinthető tetszőleges 12 hónapos időtartamra nézve az idő 99,5%-ában.

Adminisztráció (Resource Registry)

Discovery Service

Elérhetőség

Adminisztráció

Monitoring

VHO IdP működtetése

IdP outsourcing

Adminisztratív szolgáltatások

  • Attribútum specifikáció kidolgozása, karbantartása
  • Identity Management ajánlások és specifikáció kidolgozása, karbantartása
  • URN registry (URN névterek kezelése, delegálása)
  • Statisztika
  • Audit

Támogatás

  • Helpdesk intézményi adminisztrátorok számára
  • Dokumentáció, tudásbázis működtetése
  • Oktatás, tanácsadás
  • Marketing
  • „Sales”: intézmények és szolgáltatók bevonása