Metadata specifikáció

Hasonló dokumentumok
Metadata specifikáció. Verzió: 1.0. (2010. December 13.)

Szolgáltatási szint megállapodás. Verzió: 1.0. (2010. december 13.)

Szolgáltatási szint megállapodás

HREF Föderáció Policy áttekintés

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Szövetségi (föderatív) jogosultságkezelés

Metadata Specifikció

Végfelhasználói Applet kézikönyv

Felhasználói dokumentáció a teljesítményadó állományok letöltéséhez v1.0

Adóhátralék kezelés egyszerűen. Telepítési útmutató. A program futtatásához Windows XP, Windows 7, 8 operációs rendszer szükséges.

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE

Hosszú távú hiteles archiválás elektronikus aláírás segítségével. Krasznay Csaba BME Informatikai Központ

hatékony felhasználókezelés felhasználói roaming Bajnok Kristóf/Mohácsi János NIIF Intézet Budapest, június 2.

Adóhátralék kezelés egyszerűen. Használati útmutató

AAI & Shibboleth HBONE Workshop

Az Outlook levelező program beállítása tanúsítványok használatához

Verziószám 2.2 Objektum azonosító (OID) Hatálybalépés dátuma szeptember 2.

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

HBONE tábor 2005 november Mohácsi János

Sú gó az ASIR/PA IR Públikús felú lethez

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Tanúsítvány feltöltése Gemalto TPC IM CC és ID Classic 340 típusú kártyára

Tisztelt Felhasználó!

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

Magyar Nemzeti Bank - Elektronikus Rendszer Hitelesített Adatok Fogadásához ERA. Elektronikus aláírás - felhasználói dokumentáció

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

VBA makrók aláírása Office 2007 esetén

Hitelesítés elektronikus aláírással BME TMIT

Microsec Zrt. által kibocsátott elektronikus aláírás telepítése Windows 7 (x86/x64) Internet Explorer 9 (32 bites) böngészőbe

Operátori segédlet a Guest Manager szoftverhez

Telenor Magyarország Távközlési Zrt.

Tanúsítvány feltöltése Micardo kártyára

NSR TAO rendszer használatához kiadott tanúsítvány megújításának lépései

AZ N-WARE KFT. ÁLTAL ELEKTRONIKUSAN ALÁÍRT PDF DOKUMENTUMOK HITELESSÉGÉNEK ELLENŐRZÉSE VERZIÓ SZÁM: 1.3 KELT:

S, mint secure. Nagy Attila Gábor Wildom Kft.

RENDELKEZÉSI NYILVÁNTARTÁS SZOLGÁLTATÁS RÉSZLETES FELTÉTELEI

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

Felhasználói kézikönyv. Tőkepiaci Közzététel. Magyar Nemzeti Bank

Könyvtári címkéző munkahely

ECDL Információ és kommunikáció

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

Webkezdő. A modul célja

NSR TAO rendszer használatához kiadott tanúsítvány megújításának lépései

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

Országos Területrendezési Terv térképi mel ékleteinek WMS szolgáltatással történő elérése, Quantum GIS program alkalmazásával Útmutató 2010.

QBE Édes Otthon lakásbiztosítás tarifáló webservice. Fejlesztői dokumentáció 1.0.2

Műszaki dokumentáció Másolatkészítés műszaki feltételei

Csoportkezelés a szövetségben

VBA makrók aláírása Office XP/2002/2003 esetén

A SZABÁLYZAT CÉLJA...

Felhasználói kézikönyv. ÜFT szolgáltatás. Magyar Nemzeti Bank

Elektronikus aláírás és titkosítás beállítása MS Outlook 2010 levelezőben

Azt írom alá, amit a képernyőn látok?

VECTRUM Kft. VECTRUM e-számla Felhasználói útmutató 1.2 verzió

Rendelkezési nyilvántartás szolgáltatás részletes feltételei

Az elektronikus másolatkészítés rendszerének műszaki dokumentációja 1. BEVEZETŐ

OCSP Stapling. Az SSL kapcsolatok sebességének növelése Apache, IIS és NginX szerverek esetén 1(10)

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre. Windows 7, Windows 8, Windows 8.1 és Windows 10-es operációs rendszeren 1(9)

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Digitális aláírás általános telepítése és ellenőrzése

KIR-STAT internetes adatgyűjtő rendszer

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre

K&H token tanúsítvány megújítás

IP Thermo for Windows

Parlagfű Bejelentő Rendszer

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

A csatlakozási szerződés 1. sz. melléklete

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON

Az internet az egész világot behálózó számítógép-hálózat.

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONÁLIS BOOKING PLATFORMON

Titkosítás NetWare környezetben

Netlock Kft. által kibocsátott elektronikus aláírás telepítése Windows XP SP3 Internet Explorer 8 böngészőbe

Tanúsítványkérelem készítése, tanúsítvány telepítése Microsoft Internet Information szerveren

FortiClient VPN-IPSec kliens konfigurációs segédlet

Tanúsítvány létrehozása Micardo kártyára

Tanúsítvány és hozzá tartozó kulcsok feltöltése Gemalto TPC IM CC és ID Classic 340 kártyára

AZ N-WARE KFT. ÁLTAL ELEKTRONIKUSAN ALÁÍRT PDF DOKUMENTUMOK HITELESSÉGÉNEK ELLENŐRZÉSE VERZIÓ SZÁM: 1.1 KELT:

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Gemalto Classic Client Toolbox telepítési és használati útmutató

LEI kód igénylési folyamat leírása

MÉRY Android Alkalmazás

KFKI Unified Messaging Server (UMS) Felhasználói Útmutató

Attribútum specifikáció

Nokia N97_mini (Mail for Exchange) beállítása Virtualoso levelezésre

Útmutató az Elektronikus fizetési meghagyás használatához

Felhasználói útmutató

MI SZÜKSÉGES A KÉRELMEK ELEKTRONIKUS ÚTON TÖRTÉNŐ BENYÚJTÁSÁHOZ?

A csatlakozási szerződés 1. sz. melléklete

LETÉTKEZELŐ NYILVÁNTARTÁSI RENDSZER

NAV on-line adatszolgáltatás dokumentáció

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

Személyes adatok védelmi alapelvei

Mikroszámla. Interneten működő számlázóprogram. Kézikönyv

Nyeremenyremeny.hu Médiaajánlat

Használati utasítás.

XML / CSV specifikáció

TANÚSÍTVÁNY. tanúsítja, hogy az. ORGA Kartensysteme GmbH, Germany által előállított

Gemalto Classic Client Toolbox telepítési és használati útmutató. Verziószám 1.1 Objektum azonosító (OID) Hatálybalépés dátuma március 24.

Átírás:

Metadata specifikáció Verzió: 1.1 (2011. Szeptember 14.) aai@niif.hu

Biztonsági megfontolások Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat: Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (cacheduration) idejével, amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS) Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (validuntilparaméterében meghatározott ideig) tart. Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. Metaadatban tárolt információk Bizalom a metaadatban a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja. a metaadat visszavonhatóságát a lejárati idő (validuntil) biztosítja, ami jelenleg 3 nap. az egyes rendszerek gyorstárazhatják a metaadatot, de legalább naponta egyszer kötelesek a hiteles állományt frissíteni. az aláírási procedúrát a #Metaadat_aláírásának_módja fejezet írja le. Tanúsítványok kötelező legalább 1024 bites kulcspárt használni az entitások által használt tanúsítvánnyal kapcsolatban a föderáció nem tesz különleges megkötést, sőt: ajánlott hosszú lejáratú self- signed tanúsítványok használata További információk minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni kötelezően kitöltendőek az intézményi, adminisztratív információk (Organization illetve ContactPerson elemek) ajánlott megadni egy helpdesk URL- r, ahova hiba esetén a felhasználók fordulhatnak (errorurl attribútum) SP- k esetén további kötelező elemek 2

AttributeConsumingService, ami megadja a kért attribútumokat RequestedAttributes - itt az attribútum informális neve is szerepeljen ServiceName, ServiceDescription az SP szolgáltatás neve és leírása a szolgáltatás elérhetősége, amin a szolgáltatás bemutatkozik (extension) adatkezelési szabályzatra mutató URL (extension) IdP- k esetén a scope csak az adott intézmény kezelésében levő domain név lehet (Shibboleth extension) lehetőség van további adatok megadására is logó gps koordináták, IP cím tartomány különböző tagek, például a szolgáltatás publikus- e, vagy épp bevezetés alatt áll- e Metaadat kiterjesztések használata Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható itt. A kiegészítő séma névtere: urn:oasis:names:tc:saml:2.0:metadata:ui. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze: element név GeolocationHint InformationURL PrivacyStatementURL Logo IPHint szemantika szélesség és hosszúság érték, a + előjel az északi szélességet illetve keleti hosszúságot jelöli az entitásról további információkat (pl. helpdesk) szolgáltató oldal. Az SP adatvédelmi nyilatkozátnak elérhetősége (URL) Az IdP/SP logójának elérhetősége (Csak az IdP- knél) az intézmény hálózati tartománya(i). IdP felderítés esetén előválasztás értékekre vonatkozó megkötések 47.47359,19.052891 Engedélyezett formátumok: HTML, PDF Formátummal kapcsolatban lásd #Logo CIDR, több érték is megadható 3

DomainHint lehetséges ennek alapján. (Csak az IdP- knél) az intézmény által felügyelt domain név. IdP felderítés esetén előválasztás lehetséges ennek alapján. Több érték is megadható Logo formátum: URL egy transzparens hátterű PNG, vagy transzparens hátterű GIF képre méretezés javasolt oldalarány 1:1 vagy 16:9 maximális méret 200x200px ajánlott egy 16x16px- es verziót is megadni attribútumok xml:lang: lokalizációs információ href: opcionális link height: opcionális magasság érték pixelben width: opcionális szélesség érték pixelben Metaadat aláírásának módja Aláíró kulcs és tanúsítványok Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk. Az aláírás on- line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt). Aláírási folyamat Aláíratlan metaadat frissítése az aláíratlan metaadat a https://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványa explicit módon ellenőrzésre kerül. a letöltött metaadat formai ellenőrzése az ellenőrzött entitások egy verziókövető rendszerbe kerülnek, az esetleges változásról e- mail értesítés készül (href- metadata- changesnevű levelezőlistára) Az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek 4

Aláírás ellenőrzése explicit tanúsítvánnyal A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. Az explicit ellenőrzés esetén a http://metadata.eduid.hu/current/ URL- ről kell letölteni a metadata fájlokat, például: http://metadata.eduid.hu/current/href.xml. A tanúsítvány a https://metadata.eduid.hu oldalról érhető el. DN- je EMAILADDRESS=aai@niif.hu, CN=HREF Metadata Signer 2010, OU=AAI, O=NIIF Institute, O=NIIF CA, C=HU SHA1 09:C2:8B:09:AB:9E:C2:9B:A5:71:37:E7:36:C6:10:FF:96: 9F:D7:FE Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni. A tanúsítványcsere koordinálása out- of- band módszerrel történik (a href-tech levelezőlista segítségével). Aláíró kulcs cseréje A föderációs metadata aláíró kulcsa 2-3 évente kerül megújításra. A föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása. A kulccsere koordinálása a href-tech levelezőlistán keresztül történik. Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulcscsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal. Metaadat elérése A HREF föderációban többféle metaadat- forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu - ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem indokolt az SSL használata, ezért - amennyiben lehetséges -, érdemes a metadata URL- eket nem titkosított HTTP protokoll segítségével letölteni. A metadata elérés URL- je a következő: http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metada ta_forras}.xml. A metadata források jelenleg a következők lehetnek: href.xml: az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások href-test.xml: a HREF föderáció tesztrendszerei. Bármely, föderációban részt vevő intézmény tehet be teszt- entitást ebbe a halmazba, ezért ezen metaadat- forrás csak tesztelési célra használható. href-edugain.xml: a HREF föderációból az edugainkonföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs 5

kritériumoknak, és képesek az edugainkonföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az edugain metaadatot is. edugain.xml: az edugainkonföderáció metaadata, a HREF aláíró kulccsal aláírva. edugain-test.xml: az edugainkonföderáció teszt metaadata, a HREF aláíró kulccsal aláírva. intézmény- specifikus metaadat fájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével. Metaadat nézetek A föderációs operátor külön kérésre speciálisan transzformált metaadat nézeteket is szolgáltat. Ezek a nézetek XSLT transzformációval állnak elő a mindig aktuális metadata állományból. A nézetek speciális URL- en keresztül érhetőek el (csak HTTPS felett): https://metadata.eduid.hu/${nezet}/${relativ_metadata_fajl}. Néhány példa: https://metadata.eduid.hu/entities/current/href.xml - entitás azonosítók listája (mindig az aktuális aláíró kulcs használatával). https://metadata.eduid.hu/php- ds- idp/current/href.xml - SWITCH- féle Discovery Service- hez konfigurációs állomány. 6

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés