Módosítások

Throughout this document the interpretation of terms '''MUST''', '''MUST NOT''', '''RECOMMENDEDSHOULD''', '''DISCOURAGEDSHOULD NOT''' are defined as::* '''MUST''' (or '''SHALL''', '''REQUIRED'''): the definition is an absolute requirement of the specification in order to build and keep trust in the federation. :* '''MUST NOT''': the definition is an absolute prohibition of the specification:* '''SHOULD''' (or '''RECOMMENDED'''): there may be valid reasons for ignoring the definition, however, the divergence from the specification '''MUST''' be documented:* '''SHOULD NOT''' (or '''NOT RECOMMENDED'''): there may be valid reasons for the particular behaviour to be acceptable, however, the divergence from the specification '''MUST''' be documented

== Identitás-menedzsment Identity management ==# The organization organisation operating the Identity Provider '''MUST''' document its privacy policy and make it available to its users.# The organization organisation '''MUST''' define the sources, the maintenance procedures and approximate quality of the data about its users, and supply this documentation to the Federation.

# Role accounts (such as 'director', 'secretary') '''SHOULD NOT''' be used.

## Attribute implementations '''MUST''' follow the Attribute Specification.

# User credentials (i.e. passwords) '''MUST NOT''' be transmitted on over public network in unencrypted form.# Initial If initial user passwords are distributed, it '''SHOULD''' be distributed done through non-electronic form

## If the authoritative source of user information is an external database (i.e. studenti student information system), then the above limit timeframe starts from the time of the change in the primary system.## Students may use 'alum' affiliation after leaving the organizationorganisation. Values 'student' or 'member' '''MUST NOT''' be used afterwards.

== Szolgáltatás-menedzsment Service management ==# The organization Az intézmény köteles organisation '''MUST''' develop a föderációs operátorral való kapcsolattartásra megfelelő szerepkört kialakítanirole responsible for liaison with the Federation Operator. IdP# The organisation operating the Identity Provider '''MUST''' provide end-t üzemeltető intézmény köteles az IdP-vel kapcsolatban végfelhasználói támogatást nyújtani, és ezen támogatás elérhetőségéről a felhasználóit tájékoztatniuser support for its affiliated users and have them informed about the availability of the support. Az intézmény köteles az általa üzemeltetett IdP napi felbontású anonimizált forgalmi statisztikáit a föderációs operátor rendelkezésére bocsátani. Ezen statisztikai adatok a következőek# The organisation '''MUST''' provide the following data to the Federation Operator as anonymous daily statistics about the Identity Provider usage: egyedi felhasználók száma,#* number of unique users; egyes föderációs szolgáltatások felé indított tranzakciók száma,#* number of transactions initiated to each federation service; összes bejelentkezési tranzakció száma. Üzemeltetési kérdések A személyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, és azt legalább 30 napig megőrizni. Az intézmény ezeket a naplókat köteles a hatályos adatvédelmi szabályokkal összhangban kezelni. Az AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata. Biztosítani kell a privát kulcsok védelmét. Amennyiben egy kulcs kompromittálódik, az intézmény köteles a föderációs operátort 24 órán belül értesíteni#* total number of logins.

Ajánlott hosszú lejáratú== Operational issues ==# Any transaction including personal data '''MUST''' be logged and log files '''SHALL''' be kept for at least ''30 days''.## The log files above '''MUST''' be treated in accordance with the applicable data protection laws.# Cryptographic keys of the Identity Provider '''MUST''' be at least ''2048 bits'' long.## Private keys '''MUST''' be protected.## In case of a key compromise, the Federation Operator '''MUST''' be notified within 24 hours.## Use of self-signed tanúsítványok használatacertificates with a long expiration time is '''RECOMMENDED'''. Vonatkozó # Use of SAML szabványok: Kötelező az ## The Identity Provider '''MUST''' comply with the ''Interoperable SAML 2.0 Web Browser SSO Deployment Profile '' (http://saml2int.org) dokumentumban kötelezőnek megjelölt elemek támogatása  A ## It is '''RECOMMENDED''' to support ''SAML2 Web Borwser Browser SSO profil támogatása Profile'' over HTTP Artifact binding felett ajánlottBinding. Ajánlott a ## It is '''RECOMMENDED''' to support ''SAML2 Single Logout profil támogatása Profile'' over HTTP Redirect illetve and SOAP binding felettBindings. Az IdP köteles minden végpontját # All SAML endpoints of the Identity Provider '''SHALL''' be protected by HTTPS (SSL/TLS) protokollok segítségével védeni. Az IdP minden # All SAML végpontjának az IdP-t üzemeltető intézmény tulajdonában álló endpoints of the Identity Provider '''MUST''' be under a DNS domain alatt kell lenniewhich is possessed by the operating organisation. Az IdP által használt scope-oknak az IdP-t üzemeltető intézmény tulajdonában álló # All scopes used by the Identity Provider '''MUST''' be under a DNS domain alatt kell lenniewhich is possessed by the operating organisation.