„HREF szolgáltatási szint megállapodás” változatai közötti eltérés

Innen: KIFÜ Wiki
(DS)
(metadata)
1. sor: 1. sor:
 
== Műszaki szolgáltatások ==
 
== Műszaki szolgáltatások ==
 
=== Metadata ===
 
=== Metadata ===
A föderációban a metadata állomány írja le a résztvevőket, ez alapján kommunikál egymással az IdP és az SP.
+
A metadata a föderáció tagjait leíró, a föderációs operátor által digitálisan aláírt állomány, mely létfontosságú a résztvevők egymással való kommunikációjának szempontjából. A metadata által tartalmazott információkkal és a metadata biztonságával kapcsolatban további információkat a [[HREFMetadataSpec|Metadata Specifikáció]] tartalmaz.
==== Elérhetőség, frissítés ====
 
* Lásd [[HREFMetadataSpec|Metadata specifikáció]]
 
  
 
===== Biztonsági megfontolások =====
 
===== Biztonsági megfontolások =====
* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a <code>cacheDuration</code> idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''
+
Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat:
* Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány <code>validUntil</code> paraméterében meghatározott ideig tart.
 
* Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. (Denial of Service).
 
  
===== Szolgáltatási szint =====
+
* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''
A legfontosabb szempont, hogy az elérhetetlenségből fakadó szolgáltatáskiesés garantáltan megakadályozható legyen, azonban ez nagyon nehezen mérhető.
+
* Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart.
 +
* Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.
  
; Metadata aktualitása
+
A fentiek alapján a metadata elérhetősége és a benne tárolt adatok gyors megváltoztathatósága létfontosságú.
 +
 
 +
===== Az elérhetőség kritériumai =====
 +
A legfontosabb szempont, hogy az elérhetetlenségből fakadó szolgáltatáskiesés megakadályozható legyen. A föderációban részt vevő komponensek a központi metadatát helyileg gyorstárazzák, így a metadata elérhetetlensége a gyorstárazási idő (<code>cacheDuration</code>) alatt nem okozhat szolgáltatáskiesési problémát - kivéve azon entitások esetén, melyek a kiesés időtartama alatt kerülnek újraindításra.
 +
 
 +
Fontos kiemelni, hogy a központi metadata elérhetetlensége miatti szolgáltatáskiesés bármely föderációs komponensnél a fent leírt gyorstárazási és érvényességi időszakon belül mindenképpen helyi szoftver- (vagy konfigurációs) hiba következménye.
 +
 
 +
; Metadata elérhetősége
 
: A metadata akkor tekinthető aktuálisnak, ha egy ismert URL-lel kapcsolatban az alábbi feltételek egyszerre teljesülnek
 
: A metadata akkor tekinthető aktuálisnak, ha egy ismert URL-lel kapcsolatban az alábbi feltételek egyszerre teljesülnek
 
:* az URL-ről egy szabványos SAML metadata állomány tölthető le
 
:* az URL-ről egy szabványos SAML metadata állomány tölthető le
19. sor: 23. sor:
 
:* a letöltött állomány 2 óránál nem régebben keletkezett
 
:* a letöltött állomány 2 óránál nem régebben keletkezett
  
'''Vállalt szolgáltatási szint''': a metadata aktuálisnak tekinthető tetszőleges 12 hónapos időtartamra nézve az idő '''99,5%'''-ában.
+
==== Szolgáltatási szint ====
 +
A metadata aktuálisnak tekinthető tetszőleges 12 hónapos időtartamra nézve az idő '''99,5%'''-ában. (TODO: hálózat, terheléselosztó rendelkezésre állása? idp1/2 failover? helyreállítás vállalt időtartama?)
 +
 
  
 
==== Adminisztráció (Resource Registry) ====
 
==== Adminisztráció (Resource Registry) ====

A lap 2010. május 21., 09:34-kori változata

Műszaki szolgáltatások

Metadata

A metadata a föderáció tagjait leíró, a föderációs operátor által digitálisan aláírt állomány, mely létfontosságú a résztvevők egymással való kommunikációjának szempontjából. A metadata által tartalmazott információkkal és a metadata biztonságával kapcsolatban további információkat a Metadata Specifikáció tartalmaz.

Biztonsági megfontolások

Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat:

  • Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (cacheDuration) idejével, amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)
  • Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (validUntil paraméterében meghatározott ideig) tart.
  • Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.

A fentiek alapján a metadata elérhetősége és a benne tárolt adatok gyors megváltoztathatósága létfontosságú.

Az elérhetőség kritériumai

A legfontosabb szempont, hogy az elérhetetlenségből fakadó szolgáltatáskiesés megakadályozható legyen. A föderációban részt vevő komponensek a központi metadatát helyileg gyorstárazzák, így a metadata elérhetetlensége a gyorstárazási idő (cacheDuration) alatt nem okozhat szolgáltatáskiesési problémát - kivéve azon entitások esetén, melyek a kiesés időtartama alatt kerülnek újraindításra.

Fontos kiemelni, hogy a központi metadata elérhetetlensége miatti szolgáltatáskiesés bármely föderációs komponensnél a fent leírt gyorstárazási és érvényességi időszakon belül mindenképpen helyi szoftver- (vagy konfigurációs) hiba következménye.

Metadata elérhetősége
A metadata akkor tekinthető aktuálisnak, ha egy ismert URL-lel kapcsolatban az alábbi feltételek egyszerre teljesülnek
  • az URL-ről egy szabványos SAML metadata állomány tölthető le
  • a letöltött állomány aláírásának ellenőrzése egy ismert kulccsal ellenőrizhető
  • a letöltött állomány 2 óránál nem régebben keletkezett

Szolgáltatási szint

A metadata aktuálisnak tekinthető tetszőleges 12 hónapos időtartamra nézve az idő 99,5%-ában. (TODO: hálózat, terheléselosztó rendelkezésre állása? idp1/2 failover? helyreállítás vállalt időtartama?)


Adminisztráció (Resource Registry)

A Resource Registry a metaadat állományban található - az egész föderációt leíró - adatok szerkesztését lehetővé tevő alkalmazás. A Resource Registryben tárolt adatokat a föderációs operátor illetve az intézmények kapcsolattartói szerkeszthetik.

Elérhetőség

A Resource Registry elérhetősége a benne tárolt adatok szerkesztésére vonatkozik, a metaadatok elérhetőségét nem érinti. Mivel azonban az esetleges kompromittálódott kulcsok visszavonása az intézmények részéről csak ezen az adminisztrációs rendszeren keresztül elvégezhető, ezért a rendszer elérhetősége a föderáció operatív működése szempontjából fontos.

Vállalt rendelkezésre állás, incidensek kezelése

TODO 95-99% között lehet valahol, 99 felett nem nagyon megvalósítható. Végig kell gondolni hogy egy esetleges vis maior esetén mennyi idő alatt vagyunk képesek a működőképességet visszaállítani, ha ez ~1 nap, akkor 95% fölé nem nagyon mehetünk, az nagyjából évente 15-20 napnyi kiesés.

A Resource Registry-ben tárolt adatokról napi szintű mentéssel rendelkezünk. A rendszer leállásától számítva a működőképességet 1 munkanapon belül tudjuk helyreállítani, ami a legrosszabb esetben az elmúlt 1 nap változásainak elvesztésével jár (TODO: metadata verziózásból elég sokmindent vissza tudunk állítani).

Monitorozás

TODO

Discovery Service

A Discovery Service (keresőszolgáltatás) az SP-k számára a felhasználó azonosító szervezetét kiválasztó alkalmazás. Amennyiben egy SP adminisztrátora úgy dönt, hogy az SP a központi keresőszolgáltatást használja, úgy az adott SP-n történő belépések esetén a komponens elérhetősége kritikus.

A keresőszolgáltatás a metaadatokból dolgozik, a metaadat változásait 2 órán belül átveszi.

Elérhetőség

A keresőszolgáltatás elérhetetlensége esetén azon SP-k, melyek a központi keresőszolgáltatást használják a föderatív beléptetésre, működésképtelenné válnak.

Vállalt rendelkezésre állás

TODO 99.5% (2 nap leállás / év)

Adminisztráció

Monitoring

VHO IdP működtetése

IdP outsourcing

Adminisztratív szolgáltatások

  • Attribútum specifikáció kidolgozása, karbantartása
  • Identity Management ajánlások és specifikáció kidolgozása, karbantartása
  • URN registry (URN névterek kezelése, delegálása)
  • Statisztika
  • Audit

Támogatás

  • Helpdesk intézményi adminisztrátorok számára
  • Dokumentáció, tudásbázis működtetése
  • Oktatás, tanácsadás
  • Marketing
  • „Sales”: intézmények és szolgáltatók bevonása