Módosítások

HREF metadata specifikáció

852 bájt törölve, 2010. augusztus 23., 10:59

átstrukturálás, külön metadata fájlok, régi aláírási folyamat leírása törölve

~~= Jelen dokumentum célja =~~

A föderációs metaadat célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.

=Biztonsági megfontolások =Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat: * Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart.* Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. = Metaadatban tárolt információk ==

* Bizalom a metaadatban

** a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja.

*** gps koordináták, IP cím tartomány

*** különböző tagek, például a szolgáltatás publikus-e, vagy épp bevezetés alatt áll-e

~~== Biztonsági megfontolások ==~~

Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat:

* Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''

* Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart.

* Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani.

== Metaadat kiterjesztések használata ==

|}

~~=== Entity tagek ===~~

A metaadatban tárolt entitásokhoz kapcsolódó ún. 'tagek' tárolását a <code>urn:geant:niif.hu:eduid.hu:entity-attributes:tags</code> névtérben elhelyezkedő XML elementekkel valósítjuk meg. Ez a koncepció megegyezik a UKFederation által használt 'label' kiterjesztéssel.

~~Az általánosan használt tagek a következők:~~

* <code><Public xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" /></code> - publikusan használható SP

* <code><EduGAIN xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" /></code> - eduGAIN konföderációban használható IdP / SP

* <code><Testing xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" /></code> - tesztelés alatt álló IdP / SP

=== Logo ===

<mdui:DomainHint>niif.hu</mdui:DomainHint>

<mdui:DomainHint>iif.hu</mdui:DomainHint>

~~<Testing xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" />~~

</Extensions>

<mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL>

<mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL>

~~<Public xmlns="urn:geant:niif.hu:eduid.hu:entity-attributes:tags" />~~

</Extensions>

= Metaadat aláírásának módja =

~~== HREF (régi) ==~~=== Aláíró kulcs és tanúsítványok ~~===~~* Az aláíró kulcs nem titkosított, az aláírás on-line történik.* A tanúsítványt az NIIF CA írta alá, de nem használatos PKI ellenőrzésre.* A metadata aláíró tanúsítvány jelenleg a https://idp.niif.hu/href_signer.crt címen érhető el. ~~=== Aláírások ütemezése ===~~* Az aláírást egy óránként, feltétel nélkül lefutó szkript végzi. ~~== eduID-HREF (új, tervezett) ===== Aláíró kulcs és tanúsítványok =~~==

* Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk.

* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt).

* PKI ellenőrzés lehetősége.

* Aláíró kulcs cseréje 2 évente.

** Az aláíró kulcs cseréjekor a régi és az új aláíró kulcs párhuzamosan dolgozik, külön metaadat fájlokba ~~(a fájl neve tartalmazza a kulcsra vonatkozó információt)~~. == Metaadat fájlok ==A HREF föderációban többféle metaadat-forrás áll rendelkezésre:

~~=== Metaadat fájlok ===~~* ~~A http://metadata~~<code>href.~~eduid.hu~~xml</~~metadata~~code>: az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások* <code>href-test.xml ~~URL mindig az aktuálisan legfrissebb metaadat fájlra mutat~~</code>: a HREF föderáció tesztrendszerei.** Ez Bármely, föderációban részt vevő intézmény tehet be teszt-entitást ebbe a halmazba, ezért ezen metaadat ~~fájl~~ -forrás csak ~~PKI ellenőrzéssel együtt~~ tesztelési célra használható~~, hiszen az aláíró kulcs cseréjekor megváltozik a tanúsítvány~~.* ~~Jelenleg~~ <code>href-edugain.xml</code>: a HREF föderációból az [http://~~metadata~~edugain.~~eduid~~org eduGAIN] konföderációba kiajánlott entitások.huIde csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az [http://~~metadata~~edugain.org eduGAIN] konföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az eduGAIN metaadatot is.* <code>edugain-mds-~~2010~~ng-resigned.xml ~~URL-en érhető el~~ </code>: az [http://edugain.org eduGAIN] konföderáció metaadata, a ~~legfrissebb~~ HREF aláíró kulccsal ~~készülő metaadat~~aláírva.** A CA ellenőrzést nem végző rendszerek számára ajánlott intézmény-specifikus metaadat fájlok, melyeket a ~~sorozatszámmal (évszámmal) ellátott metaadat URL használata~~föderáció kérésre biztosítja.

=== Aláírási folyamat ===

Az alábbi aláírási folyamatot az idp1 illetve idp2 gépek végzik, de egyszerre csak az egyik, szerepük kézi konfigurálással megfordítható.

** Az aláíratlan metaadat a https://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványát explicit módon ellenőrzni kell.

** A letöltött metaadat formai ellenőrzése.

** Az ellenőrzött metaadat egy verziókövető rendszerbe kerül, az esetleges változásról e-mail értesítés készül.

* Metaadat aláírás

** Az aláíró szoftver rendszeresen (5 1-2 percenként) ellenőrzi ~~az aláíratlan metaadat repositoryt~~a metaadatot a verziókövető rendszerben, és változás esetén új aláírt ~~metaadatot~~ metaadatokat készít.** Amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt ~~metaadat készül (8 óránként)~~állományok készülnek.

* Aláírt metaadat kezelése

** Az aláírt metaadat a https://metadata.eduid.hu/metadata-sets/href.xml URL-en érhető el, amelyet az aktuálisan aláíró gép szolgál ki. ~~<br style="clear: both" />~~

Hege(AT)niif.hu

565

szerkesztés

Módosítások

HREF metadata specifikáció

Navigációs menü

Személyes eszközök

Névterek

Változatok

Nézetek

Több

Keresés

Navigáció

Eszközök