565
szerkesztés
Módosítások
átstrukturálás, külön metadata fájlok, régi aláírási folyamat leírása törölve
A föderációs metaadat célja, hogy a föderációban részt vevő intézmények illetve entitások technikai, bizalmi és adminisztratív adatait egy helyre gyűjtse. A metaadatok formátuma megfelel a SAML2 metaadat szabványnak.
=Biztonsági megfontolások =Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat: * Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (<code>cacheDuration</code>) idejével, '''amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS)'''* Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (<code>validUntil</code> paraméterében meghatározott ideig) tart.* Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. = Metaadatban tárolt információk ==
* Bizalom a metaadatban
** a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja.
*** gps koordináták, IP cím tartomány
*** különböző tagek, például a szolgáltatás publikus-e, vagy épp bevezetés alatt áll-e
== Metaadat kiterjesztések használata ==
|}
=== Logo ===
<mdui:DomainHint>niif.hu</mdui:DomainHint>
<mdui:DomainHint>iif.hu</mdui:DomainHint>
</Extensions>
<KeyDescriptor use="signing">
<mdui:PrivacyStatementURL>https://rr.aai.niif.hu/privacy-policy</mdui:PrivacyStatementURL>
<mdui:InformationURL>https://rr.aai.niif.hu/about</mdui:InformationURL>
</Extensions>
<KeyDescriptor use="signing">
= Metaadat aláírásának módja =
* Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk.
* Az aláírás on-line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt).
* PKI ellenőrzés lehetősége.
* Aláíró kulcs cseréje 2 évente.
** Az aláíró kulcs cseréjekor a régi és az új aláíró kulcs párhuzamosan dolgozik, külön metaadat fájlokba (a fájl neve tartalmazza a kulcsra vonatkozó információt). == Metaadat fájlok ==A HREF föderációban többféle metaadat-forrás áll rendelkezésre:
Az alábbi aláírási folyamatot az idp1 illetve idp2 gépek végzik, de egyszerre csak az egyik, szerepük kézi konfigurálással megfordítható.
** Az aláíratlan metaadat a https://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványát explicit módon ellenőrzni kell.
** A letöltött metaadat formai ellenőrzése.
** Az ellenőrzött metaadat egy verziókövető rendszerbe kerül, az esetleges változásról e-mail értesítés készül.
* Metaadat aláírás
** Az aláíró szoftver rendszeresen (5 1-2 percenként) ellenőrzi az aláíratlan metaadat repositoryta metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatot metaadatokat készít.** Amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt metaadat készül (8 óránként)állományok készülnek.
* Aláírt metaadat kezelése
** Az aláírt metaadat a https://metadata.eduid.hu/metadata-sets/href.xml URL-en érhető el, amelyet az aktuálisan aláíró gép szolgál ki. <br style="clear: both" />