IdP Operational Requirements

Innen: KIFÜ Wiki
A lap korábbi változatát látod, amilyen Bajnokk(AT)niif.hu (vitalap | szerkesztései) 2011. szeptember 27., 14:50-kor történt szerkesztése után volt. (autosave)
(eltér) ← Régebbi változat | Aktuális változat (eltér) | Újabb változat→ (eltér)

Purpose of this document

This document defines identity management and system operation requirements and recommendations for Identity Providers joining the HREF Federation.

Throughout this document the interpretation of terms MUST, MUST NOT', RECOMMENDED, DISCOURAGED are defined as:

  • MUST (or SHALL, REQUIRED): the definition is an absolute requirement of the specification in order to build and keep trust in the federation.
  • MUST NOT: the definition is an absolute prohibition of the specification
  • SHOULD (or RECOMMENDED): there may be valid reasons for ignoring the definition, however, the divergence MUST be documented
  • SHOULD NOT (or NOT RECOMMENDED): there may be valid reasons for the particular behaviour to be acceptable, however, the divergence MUST be documented

Identitás-menedzsment

  1. The organization operating the Identity Provider MUST document its privacy policy and make it available to its users.
  2. The organization MUST define the sources, the maintenance procedures and approximate quality of the data about its users, and supply this documentation to the Federation.
  3. Uniqueness of the usernames MUST be guaranteed.
  4. One individual SHOULD NOT have more than one user accounts.
  5. Role accounts SHOULD NOT be used.
  6. Use of attributes:
    1. Attribute implementations MUST follow the Attribute Specification
    2. The Identity Provider MUST implement the following attributes:
      • eduPersonTargetedID
      • eduPersonScopedAffiliation
      • schacHomeOrganizationType
      • eduPersonPrincipalName
    3. The Identity Provider SHOULD implement the following attributes:
      • displayName
      • mail
      • eduPersonEntitlement
    4. The IdP MUST ensure that eduPersonTargetedID and eduPersonPrincipalName are not re-assignable.
  7. Limitation of test accounts:
    1. all test accounts MUST be identified and documented along with the individual who is responsible for the test account
    2. real transactions MUST NOT be initiated by test accounts
    3. test accounts SHOULD be distinguished with appropriate homeOrganizationType value.
  8. User credentials (i.e. passwords) MUST NOT be transmitted on public network in unencrypted form.
  9. Initial user passwords SHOULD be distributed through non-electronic form
  10. Changes in the users' affiliation to the institution MUST be populated to the IdP database within 7 days
    1. If the authoritative source of user information is an external database (i.e. studenti information system), then the above limit starts from the time of the change in the primary system.
    2. Students may use 'alum' affiliation after leaving the organization. Values 'student' or 'member' MUST NOT be used afterwards.
    3. For faculty members and employees, affiliation values 'staff', 'employee', 'faculty' and 'member' MUST be revoked.

Szolgáltatás-menedzsment

  1. The organization Az intézmény köteles a föderációs operátorral való kapcsolattartásra megfelelő szerepkört kialakítani.
       IdP-t üzemeltető intézmény köteles az IdP-vel kapcsolatban végfelhasználói támogatást nyújtani, és ezen támogatás elérhetőségéről a felhasználóit tájékoztatni.
       Az intézmény köteles az általa üzemeltetett IdP napi felbontású anonimizált forgalmi statisztikáit a föderációs operátor rendelkezésére bocsátani. Ezen statisztikai adatok a következőek:
           egyedi felhasználók száma,
           egyes föderációs szolgáltatások felé indított tranzakciók száma,
           összes bejelentkezési tranzakció száma.
   Üzemeltetési kérdések
       A személyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, és azt legalább 30 napig megőrizni.
           Az intézmény ezeket a naplókat köteles a hatályos adatvédelmi szabályokkal összhangban kezelni.
       Az AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata.
           Biztosítani kell a privát kulcsok védelmét.
           Amennyiben egy kulcs kompromittálódik, az intézmény köteles a föderációs operátort 24 órán belül értesíteni.
           Ajánlott hosszú lejáratú, self-signed tanúsítványok használata
       Vonatkozó SAML szabványok
           Kötelező az Interoperable SAML 2.0 Web Browser SSO Deployment Profile (http://saml2int.org) dokumentumban kötelezőnek megjelölt elemek támogatása
           A Web Borwser SSO profil támogatása HTTP Artifact binding felett ajánlott.
           Ajánlott a SAML2 Single Logout profil támogatása HTTP Redirect illetve SOAP binding felett.
       Az IdP köteles minden végpontját HTTPS (SSL/TLS) protokollok segítségével védeni.
       Az IdP minden SAML végpontjának az IdP-t üzemeltető intézmény tulajdonában álló DNS domain alatt kell lennie.
       Az IdP által használt scope-oknak az IdP-t üzemeltető intézmény tulajdonában álló DNS domain alatt kell lennie.