Módosítások

A föderációban metadata a föderáció tagjait leíró, a metadata föderációs operátor által digitálisan aláírt állomány írja le , mely létfontosságú a résztvevőket, ez alapján kommunikál résztvevők egymással az IdP való kommunikációjának szempontjából. A metadata által tartalmazott információkkal és az SPa metadata biztonságával kapcsolatban további információkat a [[HREFMetadataSpec|Metadata Specifikáció]] tartalmaz. ===== Elérhetőség, frissítés kritériumai =====A metaadat állományban szerepel legfontosabb szempont, hogy az állomány érvényességi ideje (<code>validUntil</code>) és gyorstárazhatósági ideje elérhetetlenségből fakadó szolgáltatáskiesés megakadályozható legyen. A föderációban részt vevő komponensek a központi metadatát helyileg gyorstárazzák, így a metadata elérhetetlensége a gyorstárazási idő (<code>cacheDuration</code>). Az állomány a <code>cacheDuration</code> paraméterben megadott időtartamon keresztül gyorstárazható, azaz ezalatt az idő alatt az entitásnak nem szükséges letöltenie a központi metaadatokat. Ha a letöltés (vagy az aláírásokozhat szolgáltatáskiesési problémát -ellenőrzés) valamilyen oknál fogva nem sikerülkivéve azon entitások esetén, akkor melyek a régi metadata tartalma a <code>validUntil</code> időpontig tekinthető hitelesnekkiesés időtartama alatt kerülnek újraindításra.

A föderációban az alábbi paraméterek érvényesek:* <code>validUntil</code>: az aláírás időpontja + 3 nap* <code>cacheDuration</code>: 60 perc* a metadata állomány 60 percenként automatikusan frissül===== Biztonsági megfontolások =====* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a <code>cacheDuration</code> idejévelFontos kiemelni, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Amennyiben a támadó képes blokkolni hogy a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány <code>validUntil</code> paraméterében meghatározott ideig tart.* Amennyiben elérhetetlensége miatti szolgáltatáskiesés bármely föderációs komponensnél a metaadatok fent leírt gyorstárazási és érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást időszakon belül mindenképpen helyi szoftver- (pl. IdP esetén azonosítási szolgáltatást) nyújtani. (Denial of Servicevagy konfigurációs)hiba következménye.

A metadata akkor tekinthető '''elérhetőnek''', ha legalább egy, a föderációs operátor hálózatán kívül levő IP címről elérhető, és az URL-ről egy szabványos SAML metadata állomány tölthető le, és aláírása egy ismert kulccsal ellenőrizhető. A metadata akkor tekinthető '''aktuálisnak''', ha elérhető, és a letöltött állomány 2 óránál nem régebben keletkezett.==== Vállalt rendelkezésre állás ====A föderációs operátor vállalja, hogy a metadata tetszőleges 12 hónapos időtartamra nézve az idő '''99.9%-ában elérhető''', '''99%-ában aktuális'''.===Föderáció adminisztráció (Resource Registry) ===A [[Resource_Registry|Resource Registry]] a metaadat állományban található - az egész föderációt leíró - adatok szerkesztését lehetővé tevő alkalmazás. A Resource Registryben tárolt adatokat a föderációs operátor illetve az intézmények kapcsolattartói szerkeszthetik.=== Szolgáltatási szint =Elérhetőség kritériumai ====A legfontosabb szempontResource Registry elérhetősége a benne tárolt adatok szerkesztésére vonatkozik, hogy a metaadatok elérhetőségét nem érinti. Mivel azonban az esetleges kompromittálódott kulcsok visszavonása az intézmények részéről csak ezen az elérhetetlenségből fakadó szolgáltatáskiesés garantáltan megakadályozható legyenadminisztrációs rendszeren keresztül elvégezhető, azonban ez nagyon nehezen mérhetőezért a rendszer elérhetősége a föderáció operatív működése szempontjából fontos.

; Metadata aktualitása : A metadata akkor tekinthető aktuálisnakResource Registry elérhető, ha legalább egy ismert URL-lel kapcsolatban , a föderációs operátor hálózatán kívül eső IP címről megnyitható, és bejelentkezés működőképes (feltételezve, hogy az alábbi feltételek egyszerre teljesülnekazonosító szervezet rendben működik).:* ==== Vállalt rendelkezésre állás ====Tetszőleges 12 hónapos időtartamra nézve a szolgáltatás az URLidő '''98%-ről egy szabványos SAML metadata állomány tölthető leában''' elérhető.=== Discovery Service ===:* A Discovery Service (keresőszolgáltatás) az SP-k számára a letöltött állomány aláírásának ellenőrzése felhasználó azonosító szervezetét kiválasztó alkalmazás. Amennyiben egy ismert kulccsal ellenőrizhető:* SP adminisztrátora úgy dönt, hogy az SP a letöltött állomány 2 óránál nem régebben keletkezett:* központi keresőszolgáltatást használja, úgy az adott SP-n történő belépések esetén a <code>validUntil</code> paraméterben meghatározott időbélyeg nincs közelebb, mint 70 órakomponens elérhetősége kritikus.

'''A keresőszolgáltatás a metaadatokból dolgozik, a metaadat változásait 1 napon (24 órán) belül átveszi.==== Elérhetőség kritériumai ====A keresőszolgáltatás elérhetőnek tekintendő, ha legalább 1, föderációs operátor hálózatán kívül eső IP címről elérhető, és a protokoll által leírt működést mutatja, valamint a metadatában szereplő azonosító szervezeteket ajánlja fel (figyelembe véve az előző pontban leírt időkorlátot a módosítások átvezetésére).==== Vállalt szolgáltatási szint''': a metadata aktuálisnak tekinthető tetszőleges rendelkezésre állás ====Tetszőleges 12 hónapos időtartamra nézve a szolgáltatás az idő '''99,5.9%-ában'''-ábanelérhető.=== Virtuális azonosítószervezet ===A föderációs operátor által biztosított virtuális azonosítószervezet biztosítja a saját azonosítószervezettel nem rendelkező intézmények számára a felhasználók AAI infrastruktúrába kapcsolását, illetve a többi azonosítószervezet számára a vendégfelhasználók regisztrálását és karbantartását.==== Elérhetőség kritériumai ====A virtuális azonosítószervezet két komponensből áll:* adminisztrációs felület a felhasználók kezelésére* azonosító szerver

A virtuális azonosítószerv elérhetőnek tekinthető, ha legalább egy, föderációs operátor hálózatán kívül eső IP címről elérhető az adminisztrációs felület (feltéve, hogy az adminisztrátor saját azonosító szervezete és a föderációs infrastruktúra megfelelően működik); illetve az azonosító szerver.==== Vállalt rendelkezésre állás ====A virtuális azonosítószervezet elérhető tetszőleges, 12 hónapos időtartamon számított teljes idő '''99%-ában'''.===Föderációs komponensek monitorozása === Adminisztráció A föderációs operátor az általa üzemeltetett komponenseket folyamatosan és automatikusan ellenőrzi. Ez az ellenőrzés kiterjed az infrastruktúra építőelemeire (switchek, hálózati elemek, szerverek), a szervereken futó operációs rendszerekre, és a föderációs szoftverekre is. A monitorozás az NIIF hálózatán (Resource RegistryHBONE) belülről történik.==Támogatás ===== Helpdesk intézményi adminisztrátorok számára ===A föderációs operátor ügyfélszolgáltatot tart fenn a tagok és partnerek számára. Az ügyfélszolgálat feladata mind az incidensek kezelése, mind az általános segítségnyújtás (például csatlakozási szándék, vagy hibaelhárítás esetén).

Az esetleges incidensek 0-24 óráig bejelenthetők az NIIFI incidens-kezelő ügyeletén is (http://www.niif.hu/szolgaltatasok/middleware/csirt_kapcsolat).===Egyéb támogatás = Adminisztratív szolgáltatások ==* Attribútum specifikáció kidolgozásaA föderációs operátor a föderációs technológiákkal, trendekkel kapcsolatban folyamatosan frissülő tudásbázist tart fent, illetve rendszeres és eseti oktatásokkal segíti a tagok közötti tudásátadást. Ugyancsak elősegíti a használt szoftverekkel kapcsolatos információk, hibabejelentések terjedését a résztvevő intézmények és a szoftverek fejlesztői között. Az operátor feladata, karbantartásahogy a felhasznált szoftverekkel kapcsolatos biztonsági frissítésekre felhívja a résztvevők figyelmét.== Kiegészítő szolgáltatások ==* Identity Management ajánlások és specifikáció kidolgozásaA föderációs operátor az alábbi szolgáltatásokat garancia nélkül, karbantartásabest effort jelleggel működteti:

* Steering committee összehívása, döntés előkészítésStatisztika* Számlázás == Támogatás ==* Helpdesk intézményi adminisztrátorok számára* Dokumentáció, tudásbázis működtetése* Oktatás, tanácsadásAudit* MarketingIntézményi AAI komponensek monitorozása* „Sales”: intézmények IdP és szolgáltatók bevonásaSP hosting