HREF műszaki előírások

Innen: KIFÜ Wiki
A lap korábbi változatát látod, amilyen Hege(AT)niif.hu (vitalap | szerkesztései) 2010. március 16., 13:31-kor történt szerkesztése után volt. (idm elvek)

Föderációs policy csatlakozó intézmények (IdP-k) számára


Attention.png FIGYELEM!
A specifikáció kidolgozása folyamatban van, lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez a figyelmeztetés itt szerepel, addig munkaverziónak tekintendő!


UnderConstruction.png A szócikk vagy fejezet még megírásra vár
Kérlek, kommentjeiddel segítsd a tervezetet!

Jelen dokumentum célja

A dokumentum célja, hogy a föderációhoz csatlakozó intézmények számára elvárásokat és ajánlásokat fogalmazzon meg, melyek a csatlakozáshoz szükséges általános üzemeltetési és identitás-menedzsment területeket fednek le. Ezen elvárások és ajánlások a föderációba vetett bizalom kiépítéséhez és megtartásához elengedhetetlenül szükségesek.

Felépítés

Identitás-menedzsment

Jelen fejezet összefoglalja az intézményen belüli felhasználókezelésre vonatkozó előírásokat és tanácsokat. A felhasználókezelés magában foglalja a

  • felhasználói accountok létrehozását,
  • ezen accountok folyamatos ellenőrzését és naprakészen tartását,
  • a felhasználó távozása után a felhasználói adatok törlését,
  • az adatok védelmét illetéktelen behatolással szemben.

Az intézmények kötelesek az alkalmazott felhasználókezelési elveiket dokumentálni, és a működést ezen dokumentáció alapján rendszeresen ellenőrizni, szükség esetén a dokumentációt frissíteni.

Adatforrások

A felhasználói adatok több helyről származhatnak:

  • személyes felvétel,
  • egyéb autoritatív adatbázis (tanulmányi, munkaügyi rendszer).

Amennyiben egy intézmény külső, független adatbázist használ az IdP adatbázisának feltöltésére, köteles a következő kritériumokat betartani:

  • az adatforrásként szolgáló rendszer naprakész adatokat tartalmaz
  • az IdP adatbázisban szereplő felhasználók rendszeresen szinkronizálásra kerülnek az autoritatív adatbázissal
  • a hiteles adatforrásból kikerülő felhasználókat törölni kell az IdP adatbázisából is.


Hitelesítési policy

  • Az IdP adatbázisában (LDAP, relációs adatbázis) szereplő minden egyes bejegyzésnek egy valós, intézmény által azonosított felhasználóhoz kell tartoznia.
  • Minden egyes adatbázisbeli bejegyzés különböző egyénhez kell tartozzon.
  • A felhasználói account hitelesítésekor ajánlott az account tulajdonosát személyesen azonosítani, személyi igazolvány, vagy egyéb hivatalos okmány segítségével.
  • Ajánlott a természetes azonosítókat (név, anyja neve, születési hely és idő), illetve a postai elérhetőséget a hivatalos okmányokon szereplő adatokkal egyeztetni.
  • Amennyiben a felhasználók nem közvetlenül kerülnek rögzítésre az IdP adatbázisába, hanem külső adatforrásból, ezen azonosítási feladatok a külső adatforrás karbantartóját (pl. tanulmányi rendszer) terhelik.


Accountok kiosztása és karbantarása

  • Ajánlott a felhasználói accountokhoz tartozó jelszavakat személyes, vagy egyéb, nem elektronikus módon kiosztani (pl. postai úton).
  • Lehetőség van arra, hogy a felhasználó saját maga állítsa be jelszavát, ha technikailag a felhasználó biztonságos azonosítása lehetséges (pl. külső rendszerben).
  • Az intézmény köteles a felhasználói adatbázisát rendszeresen karbantartani, abban a lejárt és nem használt accountokat letiltani.
  • Az intézmény köteles a felhasználói adatokban bekövetkezett változásokat 4 héten belül(?) átvezetni az IdP adatbázisába. Amennyiben egy felhasználó viszonya megszűnt az intézménnyel, 3 hónapon belül(?) a felhasználói accountot le kell tiltani.
  • Az intézmény köteles a felhasználókról annyi adatot és annyi ideig megtartani, ameddig a felhasználó által esetleg okozott visszaélések bizonyíthatósága jogilag fennáll (?).


Jelszavak

  • Az intézmények kötelesek dokumentálni a jelszavakkal kapcsolatban alkalmazott megkötéseiket.
  • A jelszavak minimális hossza legalább 6 karakter.
  • Ajánlott a legalább 8 karakteres, több karakterosztályt tartalmazó jelszavak kikényszerítése.
  • Ajánlott a szótárban szereplő szavak jelszavakban történő felhasználásának tiltása.
  • Ajánlott a jelszavak cseréjének kikényszerítése legalább évente (illetve az utolsó 3 évben felhasznált jelszavak újrabeállításának tiltása).
  • Ajánlott a jelszavak brute-force támadásának kiszűrése, egyéb preventív módszerek alkalmazása (például 3 elrontott jelszó után automatikus 5 perces tiltás).
  • Ha az IdP adatbázisa külső rendszerrel szinkronizált, lehetséges a jelszómódosítást a külső rendszerben használt jelszóhoz kötni, amennyiben a külső rendszerben kikényszerített jelszó-policy a fent leírtaknak megfelel.
  • A jelszavak csak titkosított csatornán kerülhetnek átadásra bármely két, hálózatilag szeparált rendszerelem között (pl. böngésző - IdP, IdP - LDAP, ...)

Szolgáltatás-menedzsment

Rendelkezésre állás

Support

Incidens-kezelés

Üzemeltetési kérdések

Naplózás, monitorozás

Mentés

Biztonság

Dokumentálási rend

IdP Konfiguráció

Egyéb

Hardver infrastruktúra

Hálózati infrastruktúra

Szoftver infrastruktúra

Források

SWITCH - Best current practices for operating a SWITCHaai Identity Provider

A lap eredeti címe: „https://wiki.niif.hu/index.php?title=HREF_műszaki_előírások&oldid=1625