1 260
szerkesztés
Módosítások
autosave
== Purpose of this document ==
This document defines identity management and system operation requirements and recommendations for Identity Providers joining the HREF Federation.
Throughout this document the interpretation of terms '''MUST'', '''MUST NOT''', '''RECOMMENDED''', '''DISCOURAGED''' are defined as:
* '''MUST''' (or '''SHALL''', '''REQUIRED'''): the definition is an absolute requirement of the specification in order to build and keep trust in the federation.
* '''MUST NOT''': the definition is an absolute prohibition of the specification
* '''SHOULD''' (or '''RECOMMENDED'''): there may be valid reasons for ignoring the definition, however, the divergence '''MUST''' be documented
* '''SHOULD NOT''' (or '''NOT RECOMMENDED'''): there may be valid reasons for the particular behaviour to be acceptable, however, the divergence '''MUST''' be documented
== Identitás-menedzsment ==
# The organization operating the Identity Provider '''MUST''' document its privacy policy and make it available to its users.
# The organization '''MUST''' define the sources, the maintenance procedures and approximate quality of the data about its users, and supply this documentation to the Federation.
# Uniqueness of the usernames '''MUST''' be guaranteed.
# One individual '''SHOULD NOT''' have more than one user accounts.
# Role accounts '''SHOULD NOT''' be used.
# Use of attributes:
## Attribute implementations '''MUST''' follow the Attribute Specification
## The Identity Provider '''MUST''' implement the following attributes:
##* eduPersonTargetedID
##* eduPersonScopedAffiliation
##* schacHomeOrganizationType
##* eduPersonPrincipalName
## The Identity Provider '''SHOULD''' implement the following attributes:
##* displayName
##* mail
##* eduPersonEntitlement
## The IdP '''MUST''' ensure that eduPersonTargetedID and eduPersonPrincipalName are not re-assignable.
# Limitation of test accounts:
## all test accounts '''MUST''' be identified and documented along with the individual who is responsible for the test account
## real transactions '''MUST NOT''' be initiated by test accounts
## test accounts '''SHOULD''' be distinguished with appropriate homeOrganizationType value.
# User credentials (i.e. passwords) '''MUST NOT''' be transmitted on public network in unencrypted form.
# Initial user passwords '''SHOULD''' be distributed through non-electronic form
# Changes in the users' affiliation to the institution '''MUST''' be populated to the IdP database within ''7 days''
## If the authoritative source of user information is an external database (i.e. studenti information system), then the above limit starts from the time of the change in the primary system.
## Students may use 'alum' affiliation after leaving the organization. Values 'student' or 'member' '''MUST NOT''' be used afterwards.
## For faculty members and employees, affiliation values 'staff', 'employee', 'faculty' and 'member' '''MUST''' be revoked.
== Szolgáltatás-menedzsment ==
# The organization Az intézmény köteles a föderációs operátorral való kapcsolattartásra megfelelő szerepkört kialakítani.
IdP-t üzemeltető intézmény köteles az IdP-vel kapcsolatban végfelhasználói támogatást nyújtani, és ezen támogatás elérhetőségéről a felhasználóit tájékoztatni.
Az intézmény köteles az általa üzemeltetett IdP napi felbontású anonimizált forgalmi statisztikáit a föderációs operátor rendelkezésére bocsátani. Ezen statisztikai adatok a következőek:
egyedi felhasználók száma,
egyes föderációs szolgáltatások felé indított tranzakciók száma,
összes bejelentkezési tranzakció száma.
Üzemeltetési kérdések
A személyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, és azt legalább 30 napig megőrizni.
Az intézmény ezeket a naplókat köteles a hatályos adatvédelmi szabályokkal összhangban kezelni.
Az AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata.
Biztosítani kell a privát kulcsok védelmét.
Amennyiben egy kulcs kompromittálódik, az intézmény köteles a föderációs operátort 24 órán belül értesíteni.
Ajánlott hosszú lejáratú, self-signed tanúsítványok használata
Vonatkozó SAML szabványok
Kötelező az Interoperable SAML 2.0 Web Browser SSO Deployment Profile (http://saml2int.org) dokumentumban kötelezőnek megjelölt elemek támogatása
A Web Borwser SSO profil támogatása HTTP Artifact binding felett ajánlott.
Ajánlott a SAML2 Single Logout profil támogatása HTTP Redirect illetve SOAP binding felett.
Az IdP köteles minden végpontját HTTPS (SSL/TLS) protokollok segítségével védeni.
Az IdP minden SAML végpontjának az IdP-t üzemeltető intézmény tulajdonában álló DNS domain alatt kell lennie.
Az IdP által használt scope-oknak az IdP-t üzemeltető intézmény tulajdonában álló DNS domain alatt kell lennie.
This document defines identity management and system operation requirements and recommendations for Identity Providers joining the HREF Federation.
Throughout this document the interpretation of terms '''MUST'', '''MUST NOT''', '''RECOMMENDED''', '''DISCOURAGED''' are defined as:
* '''MUST''' (or '''SHALL''', '''REQUIRED'''): the definition is an absolute requirement of the specification in order to build and keep trust in the federation.
* '''MUST NOT''': the definition is an absolute prohibition of the specification
* '''SHOULD''' (or '''RECOMMENDED'''): there may be valid reasons for ignoring the definition, however, the divergence '''MUST''' be documented
* '''SHOULD NOT''' (or '''NOT RECOMMENDED'''): there may be valid reasons for the particular behaviour to be acceptable, however, the divergence '''MUST''' be documented
== Identitás-menedzsment ==
# The organization operating the Identity Provider '''MUST''' document its privacy policy and make it available to its users.
# The organization '''MUST''' define the sources, the maintenance procedures and approximate quality of the data about its users, and supply this documentation to the Federation.
# Uniqueness of the usernames '''MUST''' be guaranteed.
# One individual '''SHOULD NOT''' have more than one user accounts.
# Role accounts '''SHOULD NOT''' be used.
# Use of attributes:
## Attribute implementations '''MUST''' follow the Attribute Specification
## The Identity Provider '''MUST''' implement the following attributes:
##* eduPersonTargetedID
##* eduPersonScopedAffiliation
##* schacHomeOrganizationType
##* eduPersonPrincipalName
## The Identity Provider '''SHOULD''' implement the following attributes:
##* displayName
##* eduPersonEntitlement
## The IdP '''MUST''' ensure that eduPersonTargetedID and eduPersonPrincipalName are not re-assignable.
# Limitation of test accounts:
## all test accounts '''MUST''' be identified and documented along with the individual who is responsible for the test account
## real transactions '''MUST NOT''' be initiated by test accounts
## test accounts '''SHOULD''' be distinguished with appropriate homeOrganizationType value.
# User credentials (i.e. passwords) '''MUST NOT''' be transmitted on public network in unencrypted form.
# Initial user passwords '''SHOULD''' be distributed through non-electronic form
# Changes in the users' affiliation to the institution '''MUST''' be populated to the IdP database within ''7 days''
## If the authoritative source of user information is an external database (i.e. studenti information system), then the above limit starts from the time of the change in the primary system.
## Students may use 'alum' affiliation after leaving the organization. Values 'student' or 'member' '''MUST NOT''' be used afterwards.
## For faculty members and employees, affiliation values 'staff', 'employee', 'faculty' and 'member' '''MUST''' be revoked.
== Szolgáltatás-menedzsment ==
# The organization Az intézmény köteles a föderációs operátorral való kapcsolattartásra megfelelő szerepkört kialakítani.
IdP-t üzemeltető intézmény köteles az IdP-vel kapcsolatban végfelhasználói támogatást nyújtani, és ezen támogatás elérhetőségéről a felhasználóit tájékoztatni.
Az intézmény köteles az általa üzemeltetett IdP napi felbontású anonimizált forgalmi statisztikáit a föderációs operátor rendelkezésére bocsátani. Ezen statisztikai adatok a következőek:
egyedi felhasználók száma,
egyes föderációs szolgáltatások felé indított tranzakciók száma,
összes bejelentkezési tranzakció száma.
Üzemeltetési kérdések
A személyes adatokkal kapcsolatos tranzakciókról kötelező naplóállományt készíteni, és azt legalább 30 napig megőrizni.
Az intézmény ezeket a naplókat köteles a hatályos adatvédelmi szabályokkal összhangban kezelni.
Az AAI infrastruktúra komponensei esetén kötelező legalább 2048 bites kulcsok használata.
Biztosítani kell a privát kulcsok védelmét.
Amennyiben egy kulcs kompromittálódik, az intézmény köteles a föderációs operátort 24 órán belül értesíteni.
Ajánlott hosszú lejáratú, self-signed tanúsítványok használata
Vonatkozó SAML szabványok
Kötelező az Interoperable SAML 2.0 Web Browser SSO Deployment Profile (http://saml2int.org) dokumentumban kötelezőnek megjelölt elemek támogatása
A Web Borwser SSO profil támogatása HTTP Artifact binding felett ajánlott.
Ajánlott a SAML2 Single Logout profil támogatása HTTP Redirect illetve SOAP binding felett.
Az IdP köteles minden végpontját HTTPS (SSL/TLS) protokollok segítségével védeni.
Az IdP minden SAML végpontjának az IdP-t üzemeltető intézmény tulajdonában álló DNS domain alatt kell lennie.
Az IdP által használt scope-oknak az IdP-t üzemeltető intézmény tulajdonában álló DNS domain alatt kell lennie.
