„HREF szolgáltatási szint megállapodás” változatai közötti eltérés
a (→Adminisztráció (Resource Registry)) |
(DS) |
||
36. sor: | 36. sor: | ||
=== Discovery Service === | === Discovery Service === | ||
+ | A Discovery Service (keresőszolgáltatás) az SP-k számára a felhasználó azonosító szervezetét kiválasztó alkalmazás. Amennyiben egy SP adminisztrátora úgy dönt, hogy az SP a központi keresőszolgáltatást használja, úgy az adott SP-n történő belépések esetén a komponens elérhetősége kritikus. | ||
+ | |||
+ | A keresőszolgáltatás a metaadatokból dolgozik, a metaadat változásait 2 órán belül átveszi. | ||
+ | |||
==== Elérhetőség ==== | ==== Elérhetőség ==== | ||
+ | A keresőszolgáltatás elérhetetlensége esetén azon SP-k, melyek a központi keresőszolgáltatást használják a föderatív beléptetésre, működésképtelenné válnak. | ||
+ | |||
+ | ; Vállalt rendelkezésre állás | ||
+ | TODO '''99.5%''' (2 nap leállás / év) | ||
+ | |||
==== Adminisztráció ==== | ==== Adminisztráció ==== | ||
+ | |||
=== Monitoring === | === Monitoring === | ||
=== VHO IdP működtetése === | === VHO IdP működtetése === |
A lap 2010. május 20., 17:51-kori változata
Tartalomjegyzék
Műszaki szolgáltatások
Metadata
A föderációban a metadata állomány írja le a résztvevőket, ez alapján kommunikál egymással az IdP és az SP.
Elérhetőség, frissítés
Biztonsági megfontolások
- Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a
cacheDuration
idejével, amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS) - Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány
validUntil
paraméterében meghatározott ideig tart. - Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. (Denial of Service).
Szolgáltatási szint
A legfontosabb szempont, hogy az elérhetetlenségből fakadó szolgáltatáskiesés garantáltan megakadályozható legyen, azonban ez nagyon nehezen mérhető.
- Metadata aktualitása
- A metadata akkor tekinthető aktuálisnak, ha egy ismert URL-lel kapcsolatban az alábbi feltételek egyszerre teljesülnek
- az URL-ről egy szabványos SAML metadata állomány tölthető le
- a letöltött állomány aláírásának ellenőrzése egy ismert kulccsal ellenőrizhető
- a letöltött állomány 2 óránál nem régebben keletkezett
Vállalt szolgáltatási szint: a metadata aktuálisnak tekinthető tetszőleges 12 hónapos időtartamra nézve az idő 99,5%-ában.
Adminisztráció (Resource Registry)
A Resource Registry a metaadat állományban található - az egész föderációt leíró - adatok szerkesztését lehetővé tevő alkalmazás. A Resource Registryben tárolt adatokat a föderációs operátor illetve az intézmények kapcsolattartói szerkeszthetik.
- Elérhetőség
A Resource Registry elérhetősége a benne tárolt adatok szerkesztésére vonatkozik, a metaadatok elérhetőségét nem érinti. Mivel azonban az esetleges kompromittálódott kulcsok visszavonása az intézmények részéről csak ezen az adminisztrációs rendszeren keresztül elvégezhető, ezért a rendszer elérhetősége a föderáció operatív működése szempontjából fontos.
- Vállalt rendelkezésre állás, incidensek kezelése
TODO 95-99% között lehet valahol, 99 felett nem nagyon megvalósítható. Végig kell gondolni hogy egy esetleges vis maior esetén mennyi idő alatt vagyunk képesek a működőképességet visszaállítani, ha ez ~1 nap, akkor 95% fölé nem nagyon mehetünk, az nagyjából évente 15-20 napnyi kiesés.
A Resource Registry-ben tárolt adatokról napi szintű mentéssel rendelkezünk. A rendszer leállásától számítva a működőképességet 1 munkanapon belül tudjuk helyreállítani, ami a legrosszabb esetben az elmúlt 1 nap változásainak elvesztésével jár (TODO: metadata verziózásból elég sokmindent vissza tudunk állítani).
- Monitorozás
TODO
Discovery Service
A Discovery Service (keresőszolgáltatás) az SP-k számára a felhasználó azonosító szervezetét kiválasztó alkalmazás. Amennyiben egy SP adminisztrátora úgy dönt, hogy az SP a központi keresőszolgáltatást használja, úgy az adott SP-n történő belépések esetén a komponens elérhetősége kritikus.
A keresőszolgáltatás a metaadatokból dolgozik, a metaadat változásait 2 órán belül átveszi.
Elérhetőség
A keresőszolgáltatás elérhetetlensége esetén azon SP-k, melyek a központi keresőszolgáltatást használják a föderatív beléptetésre, működésképtelenné válnak.
- Vállalt rendelkezésre állás
TODO 99.5% (2 nap leállás / év)
Adminisztráció
Monitoring
VHO IdP működtetése
IdP outsourcing
Adminisztratív szolgáltatások
- Attribútum specifikáció kidolgozása, karbantartása
- Identity Management ajánlások és specifikáció kidolgozása, karbantartása
- URN registry (URN névterek kezelése, delegálása)
- Statisztika
- Audit
Támogatás
- Helpdesk intézményi adminisztrátorok számára
- Dokumentáció, tudásbázis működtetése
- Oktatás, tanácsadás
- Marketing
- „Sales”: intézmények és szolgáltatók bevonása