Föderációs policy csatlakozó intézmények (IdP-k) számára

FIGYELEM! A specifikáció kidolgozása folyamatban van, lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez a figyelmeztetés itt szerepel, addig munkaverziónak tekintendő!

A szócikk vagy fejezet még megírásra vár Kérlek, kommentjeiddel segítsd a tervezetet!

Jelen dokumentum célja

A dokumentum célja, hogy a föderációhoz csatlakozó intézmények számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.

Felépítés

Identitás-menedzsment

Jelen fejezet összefoglalja az intézményen belüli felhasználókezelésre vonatkozó előírásokat és tanácsokat. A felhasználókezelés magában foglalja a

• felhasználói accountok létrehozását,
• ezen accountok folyamatos ellenőrzését és naprakészen tartását,
• a felhasználó távozása után a felhasználói adatok törlését,
• az adatok védelmét illetéktelen behatolással szemben.

Az intézmények kötelesek az alkalmazott felhasználókezelési elveiket dokumentálni, és a működést ezen dokumentáció alapján rendszeresen ellenőrizni, szükség esetén a dokumentációt frissíteni.

Adatforrások

A felhasználói adatok több helyről származhatnak:

• személyes felvétel,
• egyéb autoritatív adatbázis (tanulmányi, munkaügyi rendszer).

Amennyiben egy intézmény külső, független adatbázist használ az IdP adatbázisának feltöltésére, köteles a következő kritériumokat betartani:

• az adatforrásként szolgáló rendszer naprakész adatokat tartalmaz
• az IdP adatbázisban szereplő felhasználók rendszeresen szinkronizálásra kerülnek az autoritatív adatbázissal
• a hiteles adatforrásból kikerülő felhasználókat törölni kell az IdP adatbázisából is.

Hitelesítési policy

• Az IdP adatbázisában (LDAP, relációs adatbázis) szereplő minden egyes bejegyzésnek egy valós, intézmény által azonosított felhasználóhoz kell tartoznia.
• Minden egyes adatbázisbeli bejegyzés különböző egyénhez kell tartozzon.
• A felhasználói account hitelesítésekor ajánlott az account tulajdonosát személyesen azonosítani, személyi igazolvány, vagy egyéb hivatalos okmány segítségével.
• Ajánlott a természetes azonosítókat (név, anyja neve, születési hely és idő), illetve a postai elérhetőséget a hivatalos okmányokon szereplő adatokkal egyeztetni.
• Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl. tanulmányi rendszer) terhelik.

Accountok kiosztása és karbantarása

• Ajánlott a felhasználói accountokhoz tartozó jelszavakat személyes, vagy egyéb, nem elektronikus módon kiosztani (pl. postai úton).
• Lehetőség van arra, hogy a felhasználó saját maga állítsa be jelszavát, ha technikailag a felhasználó biztonságos azonosítása lehetséges (pl. külső rendszerben).
• Az intézmény köteles a felhasználói adatbázisát rendszeresen karbantartani, abban a lejárt és nem használt accountokat letiltani.
• Az intézmény köteles a felhasználói adatokban bekövetkezett változásokat 4 héten belül(?) átvezetni az IdP adatbázisába. Amennyiben egy felhasználó viszonya megszűnt az intézménnyel, 3 hónapon belül(?) a felhasználói accountot le kell tiltani.
• Az intézmény köteles a felhasználókról annyi adatot és annyi ideig megtartani, ameddig a felhasználó által esetleg okozott visszaélések bizonyíthatósága jogilag fennáll (?).

Jelszavak

• Az intézmények kötelesek dokumentálni a jelszavakkal kapcsolatban alkalmazott megkötéseiket.
• A jelszavak minimális hossza legalább 6 karakter.
• Ajánlott a legalább 8 karakteres, több karakterosztályt tartalmazó jelszavak kikényszerítése.
• Ajánlott a szótárban szereplő szavak jelszavakban történő felhasználásának tiltása.
• Ajánlott a jelszavak cseréjének kikényszerítése legalább évente (illetve az utolsó 3 évben felhasznált jelszavak újrabeállításának tiltása).
• Ajánlott a jelszavak brute-force támadásának kiszűrése, egyéb preventív módszerek alkalmazása (például 3 elrontott jelszó után automatikus 5 perces tiltás).
• Ha az IdP adatbázisa külső rendszerrel szinkronizált, lehetséges a jelszómódosítást a külső rendszerben használt jelszóhoz kötni, amennyiben a külső rendszerben kikényszerített jelszó-policy a fent leírtaknak megfelel.
• A jelszavak csak titkosított csatornán kerülhetnek átadásra bármely két, hálózatilag szeparált rendszerelem között (pl. böngésző - IdP, IdP - LDAP, ...)

Szolgáltatás-menedzsment

Ez a szakasz az előzőekben leírt identitás-menedzsment elvekhez kapcsolódóan az egyes szoftver-komponensek üzemeltetését foglalja össze. A szakasz többnyire csak ajánlásokat fogalmaz meg.

Rendelkezésre állás

• Tervezett leállások csak az előre meghirdetett karbantartási időszakokban történjenek.
• Szükséges dokumentálni a szolgáltatási szintet, mely a következő pontokat foglalja magában:
  • egy éven belüli előre tervezett karbantartási célú leállások maximális száma
  • egy éven belüli maximális állási idő
  • a leállási időszakok kommunikálásának módja
  • nem tervezett leállások kommunikálásának módja
• A karbantartási időszakokat ajánlott rendszeres frissítések alkalmazására használni, ezen karbantartások lehetőleg előre kiszámíthatóan, kevés kiesést okozó időben történjenek.
• Az IdP szolgáltatás lehető legnagyobb rendelkezésre állása klaszterezett architektúrában valósítható meg.
• Amennyiben a klaszterezett működés nem megvalósítható, ajánlott egy tartalék-rendszer kiépítése, amely probléma esetén minimális kézi beavatkozással képes átvenni a működést.
• Klaszterezett esetben fontos, hogy sem a terheléselosztó, sem az autentikációs és egyéb adatforrások nem képeznek egyszeres hibapontot a rendszerben. A hálózati eszközök és áramforrások redundáns kiépítése is ajánlott.

Support

• Az intézményeknek kötelességük az IdP-vel kapcsolatosan végfelhasználói támogatást nyújtani. Ezen támogatás elérhetőségéről a felhasználókat tájékoztatni kell, amit a Resource_Registry-n keresztül felvitt helpdesk URL segíthet.
• Az IdP-t üzemeltető szervezeti egység elérhetőségét fel kell tüntetni a Resource_Registry-ben. Ajánlott a csoporthoz közösen tartozó telefonszámot és e-mail címet használni.
• Az IdP operátori problémákat ajánlott issue tracking rendszerben követni, amihez optimális esetben hibaelhárítást segítő tudásbázis is tartozhat.
• A gyakran előforduló hibákat és kérdéseket ajánlott a fent említett helpdesk URL-en publikálni.

Incidens-kezelés

• Az intézményeknek kötelességük dokumentálni az IdP szolgáltatással kapcsolatos katasztrófa-elhárítási teendőket, és ezen dokumentációkat rendszeresen (legalább évente) ellenőrizni, naprakészen tartani.
• Amennyiben az IdP szolgáltatás által használt kriptográfiai kulcsok kompromittálódtak, az adminisztrátornak kötelessége a kulcsot visszavonni a föderációból (a Resource_Registry-n keresztül), illetve értesítenie a NIIF AAI csapatot.

Jelentések készítése

• Az IdP szolgáltatás működésével kapcsolatban ajánlott meghatározni különböző metrikákat, melyek a szolgáltatás rendelkezésre állását és felhasználásának módját, hatékonyságát mérik.
• A föderáció összesített statisztikájának elkészítéséhez ajánlott a következő adatok begyűjtése, napi felbontással:
  • egyedi felhasználók száma
  • egyes szolgáltatások felé adott SSO autentikációk száma
  • összes SSO session száma
• A működés belső finomításához ennél több, és részletesebb adatra is szükség lehet (csúcsterhelés meghatározása, terhelési időszakok számítása, kiadott attribútumok gyakorisága, ...)

Üzemeltetési kérdések

Naplózás, monitorozás

Mentés

Biztonság

Dokumentálási rend

IdP Konfiguráció

Egyéb

Hardver infrastruktúra

Hálózati infrastruktúra

Szoftver infrastruktúra

Források

SWITCH - Best current practices for operating a SWITCHaai Identity Provider