Módosítások

HREF szolgáltatási szint megállapodás

1 739 bájt törölve, 2010. május 26., 15:17
Kiegészítő szolgáltatások
=== Metadata ===
A metadata a föderáció tagjait leíró, a föderációs operátor által digitálisan aláírt állomány, mely létfontosságú a résztvevők egymással való kommunikációjának szempontjából. A metadata által tartalmazott információkkal és a metadata biztonságával kapcsolatban további információkat a [[HREFMetadataSpec|Metadata Specifikáció]] tartalmaz.
 ===== Biztonsági megfontolások =====Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat: * Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart.* Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. A fentiek alapján a metadata elérhetősége és a benne tárolt adatok gyors megváltoztathatósága létfontosságú. ===== Az elérhetőség Elérhetőség kritériumai =====
A legfontosabb szempont, hogy az elérhetetlenségből fakadó szolgáltatáskiesés megakadályozható legyen. A föderációban részt vevő komponensek a központi metadatát helyileg gyorstárazzák, így a metadata elérhetetlensége a gyorstárazási idő (<code>cacheDuration</code>) alatt nem okozhat szolgáltatáskiesési problémát - kivéve azon entitások esetén, melyek a kiesés időtartama alatt kerülnek újraindításra.
Fontos kiemelni, hogy a központi metadata elérhetetlensége miatti szolgáltatáskiesés bármely föderációs komponensnél a fent leírt gyorstárazási és érvényességi időszakon belül mindenképpen helyi szoftver- (vagy konfigurációs) hiba következménye.
; Metadata elérhetőségeA metadata akkor tekinthető '''elérhetőnek''', ha legalább egy, a föderációs operátor hálózatán kívül levő IP címről elérhető, és az URL-ről egy szabványos SAML metadata állomány tölthető le, és aláírása egy ismert kulccsal ellenőrizhető. ; Metadata aktualitásaA metadata akkor tekinthető '''aktuálisnak''', ha elérhető, és a letöltött állomány 2 óránál nem régebben keletkezett. ==== Szolgáltatási szint Vállalt rendelkezésre állás ====A föderációs operátor vállalja, hogy a metadata tetszőleges 12 hónapos időtartamra nézve az idő '''99.9%'''-ában elérhető. A metadata tetszőleges 12 hónapos időtartamra nézve legalább az idő '''99,5%'''99%-ában aktuális'''(TODO: hálózat, terheléselosztó rendelkezésre állása? idp1/2 failover? helyreállítás vállalt időtartama?) 
=== Föderáció adminisztráció (Resource Registry) ===
A [[Resource_Registry|Resource Registry]] a metaadat állományban található - az egész föderációt leíró - adatok szerkesztését lehetővé tevő alkalmazás. A Resource Registryben tárolt adatokat a föderációs operátor illetve az intézmények kapcsolattartói szerkeszthetik.
 
==== Elérhetőség kritériumai ====
A Resource Registry elérhetősége a benne tárolt adatok szerkesztésére vonatkozik, a metaadatok elérhetőségét nem érinti. Mivel azonban az esetleges kompromittálódott kulcsok visszavonása az intézmények részéről csak ezen az adminisztrációs rendszeren keresztül elvégezhető, ezért a rendszer elérhetősége a föderáció operatív működése szempontjából fontos.
A Resource Registry elérhető, ha legalább egy, a föderációs operátor hálózatán kívül eső IP címről megnyitható, és bejelentkezés működőképes (feltételezve, hogy az azonosító szervezet rendben működik).
 
==== Vállalt rendelkezésre állás ====
TODO 95-99% között lehet valahol, 99 felett nem nagyon megvalósítható. Végig kell gondolni hogy egy esetleges vis maior esetén mennyi idő alatt vagyunk képesek Tetszőleges 12 hónapos időtartamra nézve a működőképességet visszaállítani, ha ez ~1 nap, akkor 95% fölé nem nagyon mehetünk, szolgáltatás az nagyjából évente 15-20 napnyi kiesés.  ==== Vállalt helyreállítási idő ====A Resource Registry'''98%-ben tárolt adatokról napi szintű mentéssel rendelkezünk. A rendszer leállásától számítva a működőképességet 1 munkanapon belül tudjuk helyreállítani, ami a legrosszabb esetben az elmúlt 1 nap változásainak elvesztésével jár (TODO: metadata verziózásból elég sokmindent vissza tudunk állítani)ában''' elérhető
=== Discovery Service ===
A Discovery Service (keresőszolgáltatás) az SP-k számára a felhasználó azonosító szervezetét kiválasztó alkalmazás. Amennyiben egy SP adminisztrátora úgy dönt, hogy az SP a központi keresőszolgáltatást használja, úgy az adott SP-n történő belépések esetén a komponens elérhetősége kritikus.
A keresőszolgáltatás a metaadatokból dolgozik, a metaadat változásait 2 1 napon (24 órán ) belül átveszi. 
==== Elérhetőség kritériumai ====
A keresőszolgáltatás elérhetőnek tekintendő, ha legalább 1, föderációs operátor hálózatán kívül eső IP címről elérhető, és a protokoll által leírt működést mutatja, valamint a metadatában szereplő azonosító szervezeteket ajánlja fel (figyelembe véve az előző pontban leírt időkorlátot a módosítások átvezetésére).
 
==== Vállalt rendelkezésre állás ====
TODO Tetszőleges 12 hónapos időtartamra nézve a szolgáltatás az idő '''99.59%-ában''' (2 nap leállás / év) ==== Adminisztráció ==== ==== Monitoring ====elérhető.
=== Virtuális azonosítószervezet ===
A föderációs operátor által biztosított virtuális azonosítószervezet biztosítja a saját azonosítószervezettel nem rendelkező intézmények számára a felhasználók AAI infrastruktúrába kapcsolását, illetve a többi azonosítószervezet számára a vendégfelhasználók regisztrálását és karbantartását.
 ==== Elérhetőség kritériumai ====
A virtuális azonosítószervezet két komponensből áll:
* adminisztrációs felület a felhasználók kezelésére
A virtuális azonosítószerv elérhetőnek tekinthető, ha legalább egy, föderációs operátor hálózatán kívül eső IP címről elérhető az adminisztrációs felület (feltéve, hogy az adminisztrátor saját azonosító szervezete és a föderációs infrastruktúra megfelelően működik); illetve az azonosító szerver.
 
==== Vállalt rendelkezésre állás ====
A virtuális azonosítószervezet elérhető tetszőleges, 12 hónapos időtartamon számított teljes idő '''99%-ában'''.
 
TODO: ua. mint RR esetén
 
=== Föderációs komponensek monitorozása ===
A föderációs operátor az általa üzemeltetett komponenseket folyamatosan és automatikusan ellenőrzi. TODO == Adminisztratív szolgáltatások ==* Attribútum specifikáció kidolgozásaEz az ellenőrzés kiterjed az infrastruktúra építőelemeire (switchek, karbantartása* Identity Management ajánlások és specifikáció kidolgozásahálózati elemek, szerverek), karbantartása* URN registry (URN névterek kezelésea szervereken futó operációs rendszerekre, delegálása)* Statisztika* Audités a föderációs szoftverekre is.
A monitorozás az NIIF hálózatán (HBONE) belülről történik.
== Támogatás ==
=== Helpdesk intézményi adminisztrátorok számára ===
A föderációs operátor ügyfélszolgáltatot tart fenn a tagok és partnerek számára. Az ügyfélszolgálat feladata mind az incidensek kezelése, mind az általános segítségnyújtás (például csatlakozási szándék, vagy hibaelhárítás esetén).
Az ügyfélszolgálat '''munkanaponként 09-16 17 óra között''' működik, és az intézményi megkeresésekre legfeljebb 2 1 munkanapon belül válaszol. Az esetleges incidensek ügyeleti időben bejelenthetők az NIIFI incidens-kezelő ügyeletén is (http://www.niif.hu/szolgaltatasok/middleware/csirt_kapcsolat).
Az esetleges incidensek 0-24 óráig bejelenthetők az NIIFI incidens-kezelő ügyeletén is (http://www.niif.hu/szolgaltatasok/middleware/csirt_kapcsolat).
=== Egyéb támogatás ===
A föderációs operátor a föderációs technológiákkal, trendekkel kapcsolatban folyamatosan frissülő tudásbázist tart fent, illetve rendszeres és eseti oktatásokkal segíti a tagok közötti tudásátadást. Ugyancsak elősegíti a használt szoftverekkel kapcsolatos információk, hibabejelentések terjedését a résztvevő intézmények és a szoftverek fejlesztői között. Az operátor feladata, hogy a felhasznált szoftverekkel kapcsolatos biztonsági frissítésekre felhívja a résztvevők figyelmét.
== Kiegészítő szolgáltatások ==A föderációs operátor az alábbi szolgáltatásokat garancia nélkül, best effort jelleggel működteti:* MarketingURN registry (URN névterek kezelése, delegálása)* „Sales”: intézmények Statisztika* Audit* Intézményi AAI komponensek monitorozása* IdP és szolgáltatók bevonásaSP hosting
A lap eredeti címe: „https://wiki.niif.hu/index.php?title=Speciális:MobileDiff/1790...1846

Navigációs menü