Módosítások

A HREF Föderációhoz csatlakozó Tagok és Partnerek a csatlakozással magukra nézve kötelező érvényűként elfogadják az alább leírtakat. Az '''ajánlott''' eljárásoktól való eltérés indokolt esetben lehetséges, de minden eltérést dokumentálni szükséges.

= Identitás-menedzsment =

Jelen fejezet összefoglalja az intézményen belüli felhasználókezelésre vonatkozó előírásokat. A felhasználókezelés magában foglalja a

Az intézmények '''kötelesek''' az alkalmazott felhasználókezelési elveiket dokumentálni, és a működést ezen dokumentáció alapján rendszeresen (legalább évente egyszer) ellenőrizni, szükség esetén a dokumentációt frissíteni.

== Adatforrások ==

A felhasználói adatok több helyről származhatnak:

* az IdP adatbázisban szereplő felhasználók rendszeresen szinkronizálásra kerülnek az autoritatív adatbázissal,

* a hiteles adatforrásból kikerülő felhasználókat törölni '''kell''' az IdP adatbázisából is.

== Hitelesítési policy ==

'''Tilos''' egy természetes személyhez több felhasználói bejegyzést rendelni. Gondoskodni '''kell''' a felhasználónevek egyediségéről, újrakiosztásuknak megakadályozásáról is.

Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl. tanulmányi rendszer) terhelik.

=== Teszt felhasználók és szerep felhasználók ===

'''Nem ajánlott''', de bizonyos megkötésekkel lehetséges technikai bejegyzések (például teszt accountok) illetve szerep felhasználók (dékán, adminisztrátor, ...) használata, de ezeket egyértelműen azonosítani és dokumentálni '''kell'''. Az intézményhez fűződő szerepet tároló attribútumnak ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) a teszt illetve szerep felhasználók esetén '''tilos''' valódi értékeket adni (hallgató, oktató, alkalmazott, ...).

A teszt felhasználók jelszavát '''kötelező''' legalább 6 havonta cserélni.

== Jelszavak kiosztása és karbantartása ==

Az IdP adatbázisbejegyzéseihez tartozó jelszavakat '''tilos''' nem hitelesített csatornán továbbítani bármely két rendszer között, például elektronikus levélben elküldeni, titkosítatlan kapcsolaton bekérni.

'''Ajánlott''' a jelszavak brute-force támadásának kiszűrése, egyéb preventív módszerek alkalmazása (például 3 elrontott jelszó után automatikus kitiltás).

=== Felhasználói adatok karbantartása ===

Az intézmény '''köteles''' a felhasználói adatbázisát rendszeresen karbantartani, abban a lejárt és nem használt accountokat letiltani. '''Kötelező''' a felhasználói adatokban bekövetkezett változásokat 4 héten belül(?) átvezetni az IdP adatbázisába.

'''Kötelező''' az intézményhez való viszony ([[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]]) gyakori karbantartása (legalább heti rendszerességgel).

=== Felhasználók kiléptetése ===

Amennyiben egy felhasználó viszonya megszűnt az intézménnyel, az adatkarbantartásnál leírtakkal összhangban az [[HREFAttributeSpec#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] értékét 1 héten belül törölni '''kell'''.

Lehetőség van arra, hogy a hallgatók esetén a jogviszony megszűnte után ún. 'öregdiák' státuszban továbbra is használható maradjon a szolgáltatás (ezt azonban az 'alum' viszonnyal '''kötelezően''' jelezni kell).

= Szolgáltatás-menedzsment =

Ez a szakasz az előzőekben leírt identitás-menedzsment elvekhez kapcsolódóan az egyes szoftver-komponensek üzemeltetését foglalja össze. A szakasz többnyire csak ajánlásokat fogalmaz meg.

== Rendelkezésre állás ==

Az intézmény számára '''ajánlott''' a szolgáltatási szint (SLA) dokumentálása, és az eljárások rendszeres ellenőrzése az elkészült dokumentációnak megfelelően. Az SLA a következő pontokat foglalja magában:

* Tervezett és nem tervezett leállásokkal kapcsolatos megkötések

** egy éven belüli előre tervezett karbantartási célú leállások maximális száma

** nem tervezett leállások kommunikálásának módja

* Szolgáltató rendszerek architektúrája, különös tekintettel az egyszeres hibapontokra, redundáns (tartalék-) rendszerekre, esetleges klaszterek működésére.

== Támogatás ==

A föderációban részt vevő intézmények '''kötelesek''' az IdP-vel (és az SP-vel) kapcsolatos problémákra reagálni tudó operátori szerepkört kialakítaniuk. '''Ajánlott''', hogy ezt a szerepet ne egy ember töltse be, hiszen a felmerülő problémák esetén sok esetben gyors beavatkozás szükséges.

Az operátori problémákat '''ajánlott''' issue tracking rendszerben követni, amihez optimális esetben hibaelhárítást segítő tudásbázis is tartozhat.

=== Felhasználók támogatása ===

Az intézményeknek '''kötelező''' az IdP-vel kapcsolatosan végfelhasználói támogatást nyújtani. Ezen támogatás elérhetőségéről a felhasználókat tájékoztatni kell, amit a [[Resource_Registry]]-n keresztül felvitt helpdesk URL segíthet.

A föderációs operátor a végfelhasználók részére nem nyújt támogatást.

=== Föderációs operátorral való kapcsolattartás, incidens-kezelés ===

Az intézményeknek '''kötelességük''' dokumentálni az IdP szolgáltatással kapcsolatos katasztrófa-elhárítási teendőket, és ezen dokumentációkat rendszeresen (legalább évente) ellenőrizni, naprakészen tartani.

Amennyiben a szolgáltatás által használt kriptográfiai kulcsok kompromittálódtak, az intézmény adminisztrátorának '''kötelessége''' a kulcsot '''azonnal''' visszavonni a föderációból (a [[Resource_Registry]]-n keresztül), illetve 8 órán belül értesítenie a NIIF AAI csapatot.

== Jelentések készítése ==

Az IdP szolgáltatás működésével kapcsolatban '''ajánlott''' meghatározni különböző metrikákat, melyek a szolgáltatás rendelkezésre állását és felhasználásának módját, hatékonyságát mérik.

A teljes föderáció statisztikáját a föderációs operátor tartja karban. Az IdP üzemeltetője '''köteles''' az IdP előző pontban felsorolt statisztikáit az operátor számára rendelkezésre bocsátani.

= Üzemeltetési kérdések =

== Üzemeltetéssel kapcsolatos kötelezettségek ==

Az intézmények '''kötelesek''' AAI rendszereiket elvárható gondossággal üzemeltetni, az üzemeltetési eljárásaikat dokumentálni, azokat rendszeresen felülvizsgálni. Az AAI rendszerek megfelelő működéséhez szükséges infrastruktúra biztosítása (megfelelő hálózati elérés, szoftverfrissítések, időszinkronizálás) az intézmények feladata.

== Naplózás, monitorozás ==

'''Ajánlott''' a szolgáltatás működését folyamatosan monitorozni. Ez a monitorozás magában foglalhatja a naplóállományok rendszeres vizsgálatát, az operációs rendszer, illetve a hálózat elérhetőségének, átbocsátó képességének ellenőrzését illetve mérését. Hiba esetén '''ajánlott''' az operátorok automatikus (e-mail, SMS) értesítése.

Az incidensek felderítése érdekében az IdP '''köteles''' minden belépésről a felhasználó visszakövethetőségét biztosító adatokat 30 napig megőrizni, majd azután törölni. Az IdP ezeket az adatokat '''nem adhatja ki''' az SP-k számára.

== Biztonság ==

Az AAI infrastruktúra szervereire, illetve a személyes adatokat kezelő egyéb szerverekre való belépést erősen korlátozni '''kell'''. '''Ajánlott''' a többfaktoros, emelt szintű autentikáció, illetve a belépés bizonyos hálózati szegmensekre való korlátozása. Az intézmény felelőssége, hogy ezen szerverekre csak a megfelelő jogosultsággal bíró operátorok léphessenek be.

Biztosítani '''kell''', hogy a működéshez szükséges privát kulcsokhoz csak az arra jogosultak férhessenek hozzá. Amennyiben egy kulcs kompromittálódik, azt azonnal vissza '''kell''' vonni az AAI rendszerből, és erről 1 munkanapon belül értesíteni '''kell''' a föderációs operátort!

== AAI komponensek konfigurációja, üzemeltetése ==

Az AAI komponensek számára '''kötelező''' a föderációs metaadatot a központi helyről letölteni (http://metadata.eduid.hu/metadata.xml), és legfeljebb napi gyakorisággal frissíteni. A metaadat aláírását illetve a benne szereplő érvényességre vonatkozó adatokat (validUntil) '''kötelező''' minden frissítés során ellenőrizni. A metaadat aláíró tanúsítványát '''ajánlott''' összevetni a NIIF AAI visszavonási listával.

Az intézmények számára '''ajánlott''' az AAI rendszerek konfigurációjának dokumentálása, illetve verziókövetése.

=== Attribútumok kezelése ===

Az intézmény '''köteles''' a felhasználók személyes adatait a törvényi előírásokkal összhangban kezelni. Az IdP csak olyan attribútumokat adhat ki, amelyek minimálisan szükségesek egy szolgáltatás működéséhez. Minden kiadott személyes adat csak a felhasználó beleegyezésével adható ki.

Az IdP-nek '''kötelező''' támogatnia célzott, átlátszatlan azonosítót, és ezt az SP-k számára kiadni (amennyiben az adott SP kér ilyet). Ez az azonosító lehet az ún. [[HREFAttributeSpec#eduPersonTargetedID|eduPersonTargetedID]], vagy SAML2 persistent NameID, utóbbit '''kötelező''' perzisztensen kezelni (tehát adatbázisban tárolni). További információ: [[HREFAttributeSpec#NameID_formátumok_-_melyiket_válasszam.3F|a NameID formátumokról]].

=== Felhasznált SAML profilok ===

Az IdP '''köteles''' a SAML2 Web Browser SSO profilt <code>HTTP-Redirect</code> binding felett támogatni.

A felhasználó személyes adatainak védelme érdekében az IdP '''köteles''' minden végpontját SSL/TLS-sel védeni (HTTPS). Az SP számára '''ajánlott''' az SSL/TLS használata. Felhasználói adatot titkosítatlan csatornán átvinni '''tilos''' (tehát ha az SP nem használ SSL/TLS-t, az assertion titkosítása '''kötelező''', egyébként '''ajánlott''').

=== Adatvédelem, attribútum-kiadás ===

Az IdP-nek '''kötelező''' megjelölni egy ''adatvédelmi felelőst'', aki jogosult az adatkiadási szabályokról dönteni. '''Ajánlott''' szerep e-mail címet megadni erre a célra.

Az IdP adatvédelmi felelőse folyamatosan figyelemmel kíséri a Resource Registry-ben attribútum filterek változását (ill. az erről küldött e-maileket), amelyeket a változástól számított 7 napon belül jóvá '''kell''' hagynia vagy el '''kell''' utasítania.

= Források =

[http://www.switch.ch/aai/support/bcp/idp-1.0.html SWITCH - Best current practices for operating a SWITCHaai Identity Provider]