565
szerkesztés
Módosítások
kilépés, profilok, naplók, egyéb apró változtatások
A dokumentum célja, hogy a föderációhoz csatlakozó intézmények számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.
Az eduID föderációhoz csatlakozó intézmények a csatlakozással magukra nézve kötelező érvényűként elfogadják az alább leírtakat. Bármely '''kötelező'''ként megjelölt pont be nem tartásából fakadó következményekért a felelősség az intézményt terheli. Az '''ajánlott''' eljárásoktól való eltérés indokolt esetben lehetséges, de minden eltérést dokumentálni szükséges.
= Identitás-menedzsment =
== Hitelesítési policy ==
A felhasználói account hitelesítésekor '''ajánlott''' az account tulajdonosát személyesen azonosítani, személyi igazolvány, vagy egyéb hivatalos okmány segítségével. '''Ajánlott''' továbbá a természetes azonosítókat (név, anyja neve, születési hely és idő), illetve a postai elérhetőséget a hivatalos okmányokon szereplő adatokkal egyeztetni.
Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl. tanulmányi rendszer) terhelik.
=== Teszt felhasználók és szerep felhasználók ===Bizonyos '''Nem ajánlott''', de bizonyos megkötésekkel lehetséges technikai bejegyzések (például teszt accountok) illetve szerep felhasználók (dékán, adminisztrátor, ...) használata, de ezeket egyértelműen azonosítani és dokumentálni '''kell'''. Az intézményhez fűződő szerepet tároló attribútumnak ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) a teszt accountok illetve szerep felhasználók esetén '''tilos''' valódi felhasználókhoz köthető értékeket tartalmaznia adni (hallgató, oktató, alkalmazott, ...). A teszt felhasználók jelszavát '''kötelező''' legalább 6 havonta cserélni.
== Jelszavak kiosztása és karbantartása ==
Az IdP adatbázisbejegyzéseihez tartozó jelszavakat '''tilos''' nem hitelesített csatornán továbbítani bármely két rendszer között, például elektronikus levélben elküldeni, titkosítatlan kapcsolaton bekérni.
Minimális elvárásként '''kötelező''' legalább 6 karakter hosszú, legalább két karakterosztályt (betűk, számok, egyéb jelek) tartalmazó jelszavak használata. '''Ajánlott''' a legalább 8 karakter hosszú, legalább két karakterosztályt tartalmazó jelszavak használata, ugyancsak '''ajánlott''' a jelszó szűrése a szótárban szereplő szavak alapján.
'''KötelezőAjánlott''' a jelszavak évenkénti cseréjének kikényszerítése.
Az elfelejtett jelszavak cseréjére az intézmény bármilyen, megfelelően biztonságos eljárást alkalmazhat (személyes megjelenés, tanulmányi rendszerben tárolt jelszó, SMS-ben elküldött ideiglenes jelszó), amit '''kötelező''' dokumentálni.
Az intézmény '''köteles''' a felhasználói adatbázisát rendszeresen karbantartani, abban a lejárt és nem használt accountokat letiltani. '''Kötelező''' a felhasználói adatokban bekövetkezett változásokat 4 héten belül(?) átvezetni az IdP adatbázisába.
'''Kötelező''' az intézményhez való viszony ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) gyakori karbantartása (legalább heti rendszerességgel). === Felhasználók kiléptetése ===Amennyiben egy felhasználó viszonya megszűnt az intézménnyel, 3 hónapon az adatkarbantartásnál leírtakkal összhangban az [[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] értékét 1 héten belül(?) törölni '''kell'''. Az intézmény '''köteles''' a felhasználói account felhasználók kiléptetési procedúráját dokumentálni, különös tekintettel az IdP-n keresztül történő belépését le oldali szolgáltatás használatára. '''kellAjánlott''' tiltania jogviszony megszűnte után legfeljebb néhány héttel letiltani a felhasználó belépésének lehetőségét.
Lehetőség van arra, hogy a hallgatók esetén a jogviszony megszűnte után ún. 'öregdiák' státuszban továbbra is használható maradjon a szolgáltatás (ezt azonban az 'alum' viszonnyal '''Ajánlottkötelezően''' az intézményhez való viszony gyakori karbantartása (például naponta történő szinkronizálás a tanulmányi rendszerreljelezni kell).
=== Felhasználók támogatása ===
Az intézményeknek '''ajánlottkötelező''' az IdP-vel kapcsolatosan végfelhasználói támogatást nyújtani. Ezen támogatás elérhetőségéről a felhasználókat tájékoztatni kell, amit a [[Resource_Registry]]-n keresztül felvitt helpdesk URL segíthet. A föderációs operátor a végfelhasználók részére nem nyújt támogatást.
Az IdP szolgáltatás működésével kapcsolatban '''ajánlott''' meghatározni különböző metrikákat, melyek a szolgáltatás rendelkezésre állását és felhasználásának módját, hatékonyságát mérik.
A föderáció összesített statisztikájának elkészítéséhez '''ajánlottkötelező''' a következő adatok begyűjtése, napi felbontással:
** egyedi felhasználók száma
** egyes föderációs szolgáltatások felé adott SSO autentikációk száma** összes SSO session autentikáció száma
A teljes föderáció statisztikáját a föderációs operátor tartja karban. Az IdP üzemeltetőjének üzemeltetője '''ajánlottköteles''', hogy az IdP előző pontban felsorolt statisztikáit az operátor számára rendelkezésre bocsátsabocsátani.
'''Ajánlott''' a webszerver és az IdP logokat napi szinten cserélni (rotálni), a régi logfájlokat pedig tömörített, integritásvédett formátumban tárolni.
Az incidensek felderítése érdekében az IdP '''köteles''' minden belépésről a felhasználó visszakövethetőségét biztosító adatokat 30 napig megőrizni, majd azután törölni. Az IdP ezeket az adatokat '''nem adhatja ki''' az SP-k számára.
'''Ajánlott''' a szerverek tűzfallal történő védelme, illetve behatolást észlelő rendszer (IDS) futtatása.
Az AAI infrastruktúra felhasználók számára szolgáltatásokat nyújtó elemeire '''ajánlott''' megbízható tanúsítványkiadó által kiadott , modern böngészők által elfogadott tanúsítványok használata (IdP webszerver, SP webszerver). Az IdP és az SP által használt, metaadatba is kerülő kulcshoz '''ajánlott'' az ún. self-signed tanúsítvány használata. Az AAI infrastruktúra elemei esetén '''megkövetelt''' a minimum 2048 bites kulcsok használata.
Biztosítani '''kell''', hogy a működéshez szükséges privát kulcsokhoz csak az arra jogosultak férhessenek hozzá. Amennyiben egy kulcs kompromittálódik, azt azonnal vissza '''kell''' vonni az AAI rendszerből, és erről 1 munkanapon belül értesíteni '''kell''' a föderációs operátort!
Az intézmények számára '''ajánlott''' az AAI rendszerek konfigurációjának dokumentálása, illetve verziókövetése.
=== Attribútumok kezelése ===
Az intézmény '''köteles''' a felhasználók személyes adatait a törvényi előírásokkal összhangban kezelni. Az IdP csak olyan attribútumokat adhat ki, amelyek minimálisan szükségesek egy szolgáltatás működéséhez. Minden kiadott személyes adat csak a felhasználó beleegyezésével adható ki.
Az IdP-nek '''kötelező''' támogatnia célzott, átlátszatlan azonosítót, és ezt az SP-k számára kiadni (amennyiben az adott SP kér ilyet). Ez az azonosító lehet az ún. [[HREFAttributeSpec#eduPersonTargetedID|eduPersonTargetedID]], vagy SAML2 persistent NameID, utóbbit '''kötelező''' perzisztensen kezelni (tehát adatbázisban tárolni). További információ: [[HREFAttributeSpec#NameID_formátumok_-_melyiket_válasszam.3F|a NameID formátumokról]].
=== Felhasznált SAML profilok ===
Az IdP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-Redirect</code> binding felett támogatni.
Az SP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-POST</code> felett támogatni.
Mind az IdP, mind az SP számára ajánlott a SAML2 Single Logout profil támogatása <code>HTTP-Redirect</code> illetve <code>SOAP</code> binding felett.
A <code>HTTP-Artifact</code> binding használata a Web Browser SSO profil esetén megengedett.
A felhasználó személyes adatainak védelme érdekében az IdP '''köteles''' minden végpontját SSL/TLS-sel védeni (HTTPS). Az SP számára '''ajánlott''' az SSL/TLS használata. Felhasználói adatot titkosítatlan csatornán átvinni '''tilos''' (tehát ha az SP nem használ SSL/TLS-t, az assertion titkosítása '''kötelező''', egyébként '''ajánlott''').
=== Adatvédelem, attribútum-kiadás ===
Az IdP-nek '''kötelező''' megjelölni egy ''adatvédelmi felelőst'', aki jogosult az adatkiadási szabályokról dönteni. '''Ajánlott''' szerep e-mail címet megadni erre a célra.
