Metadata specifikáció. Verzió: 1.0. (2010. December 13.)

Hasonló dokumentumok
Metadata specifikáció

Szolgáltatási szint megállapodás

Szolgáltatási szint megállapodás. Verzió: 1.0. (2010. december 13.)

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

HREF Föderáció Policy áttekintés

Metadata Specifikció

Szövetségi (föderatív) jogosultságkezelés

Hosszú távú hiteles archiválás elektronikus aláírás segítségével. Krasznay Csaba BME Informatikai Központ

HBONE tábor 2005 november Mohácsi János

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

S, mint secure. Nagy Attila Gábor Wildom Kft.

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

hatékony felhasználókezelés felhasználói roaming Bajnok Kristóf/Mohácsi János NIIF Intézet Budapest, június 2.

Titkosítás NetWare környezetben

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

Felhasználói dokumentáció a teljesítményadó állományok letöltéséhez v1.0

Adóhátralék kezelés egyszerűen. Telepítési útmutató. A program futtatásához Windows XP, Windows 7, 8 operációs rendszer szükséges.

Tanúsítványkérelem készítése, tanúsítvány telepítése Microsoft Internet Information szerveren

Tanúsítvány feltöltése Micardo kártyára

Tanúsítvány feltöltése Gemalto TPC IM CC és ID Classic 340 típusú kártyára

Adóhátralék kezelés egyszerűen. Használati útmutató

Tanúsítvány létrehozása Micardo kártyára

AAI & Shibboleth HBONE Workshop

Végfelhasználói Applet kézikönyv

Hitelesítés elektronikus aláírással BME TMIT

Elektronikus aláírás és titkosítás beállítása MS Outlook 2010 levelezőben

Verziószám 2.2 Objektum azonosító (OID) Hatálybalépés dátuma szeptember 2.

OCSP Stapling. Az SSL kapcsolatok sebességének növelése Apache, IIS és NginX szerverek esetén 1(10)

Magyar Nemzeti Bank - Elektronikus Rendszer Hitelesített Adatok Fogadásához ERA. Elektronikus aláírás - felhasználói dokumentáció

Felhasználói kézikönyv. Tőkepiaci Közzététel. Magyar Nemzeti Bank

Sú gó az ASIR/PA IR Públikús felú lethez

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

Tisztelt Felhasználó!

A SZABÁLYZAT CÉLJA...

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Az Outlook levelező program beállítása tanúsítványok használatához

Elektronikusan hitelesített PDF dokumentumok ellenőrzése

Felhasználói kézikönyv. ÜFT szolgáltatás. Magyar Nemzeti Bank

Műszaki dokumentáció Másolatkészítés műszaki feltételei

VBA makrók aláírása Office 2007 esetén

Az elektronikus másolatkészítés rendszerének műszaki dokumentációja 1. BEVEZETŐ

Elektronikus hitelesítés a gyakorlatban

Operátori segédlet a Guest Manager szoftverhez

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre

ELEKTRONIKUS ALÁÍRÁS E-JOG

K&H token tanúsítvány megújítás

AZ N-WARE KFT. ÁLTAL ELEKTRONIKUSAN ALÁÍRT PDF DOKUMENTUMOK HITELESSÉGÉNEK ELLENŐRZÉSE VERZIÓ SZÁM: 1.3 KELT:

Telenor Magyarország Távközlési Zrt.

Aláírási jogosultság igazolása elektronikusan

Tanúsítványkérelem készítése, tanúsítvány telepítése Apache szerveren

Azt írom alá, amit a képernyőn látok?

RENDELKEZÉSI NYILVÁNTARTÁS SZOLGÁLTATÁS RÉSZLETES FELTÉTELEI

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre. Windows 7, Windows 8, Windows 8.1 és Windows 10-es operációs rendszeren 1(9)

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

Tanúsítványcserélő alkalmazás használata minősített szervezeti aláíró tanúsítványok megújításához

PTE-PROXY VPN használata, könyvtári adatbázisok elérhetősége távolról

Tanúsítvány és hozzá tartozó kulcsok feltöltése Gemalto TPC IM CC és ID Classic 340 kártyára

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

QBE Édes Otthon lakásbiztosítás tarifáló webservice. Fejlesztői dokumentáció 1.0.2

Microsec Zrt. által kibocsátott elektronikus aláírás telepítése Windows 7 (x86/x64) Internet Explorer 9 (32 bites) böngészőbe

Linux Linux rendszeren a Wine segédprogram segítségével telepíthető az Adobe Digital Editions.

Rendelkezési nyilvántartás szolgáltatás részletes feltételei

VBA makrók aláírása Office XP/2002/2003 esetén

Elektronikus aláírás ellenőrzése PDF formátumú e-számlán

Műszaki specifikáció NETLOCK CryptoServer - YAQUD

NSR TAO rendszer használatához kiadott tanúsítvány megújításának lépései

Azonosí tá srá Visszávezetett Dokumentumhitelesí te s (AVDH) á Perkápu vonátkozá sá bán

Biztonság a glite-ban

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA AZ INFORMATIKAI PLATFORMON

ECDL Információ és kommunikáció

Webkezdő. A modul célja

DIGITÁLIS TANÚSÍTVÁNY HASZNÁLATA A REGIONÁLIS BOOKING PLATFORMON

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

KIR-STAT internetes adatgyűjtő rendszer

NSR TAO rendszer használatához kiadott tanúsítvány megújításának lépései

Könyvtárak szövetségben! Magyar Zsuzsanna MTA SZTAKI ITAK

Az Ingenico i5100 legfontosabb funkciói

Országos Területrendezési Terv térképi mel ékleteinek WMS szolgáltatással történő elérése, Quantum GIS program alkalmazásával Útmutató 2010.

PDF dokumentumok elektronikus aláírása, időbélyegzése és ellenőrzése Adobe Reader DC alkalmazással

Tanúsítványkérelem készítése, tanúsítvány telepítése Lotus Domino szerveren

MÉRY Android Alkalmazás

Parlagfű Bejelentő Rendszer

Csoportkezelés a szövetségben

TANÚSÍTVÁNY. tanúsítja, hogy a Magyar Posta Biztosító Zrt. és a Magyar Posta Életbiztosító Zrt., illetve a Magyar Posta Zrt. által üzemeltetett

Gyakorlati tudnivalók

VECTRUM Kft. VECTRUM e-számla Felhasználói útmutató 1.2 verzió

BUDAPESTI RENDŐR-FŐKAPITÁNYSÁG XVIII. KERÜLETI RENDŐRKAPITÁNYSÁG

AZ N-WARE KFT. ÁLTAL ELEKTRONIKUSAN ALÁÍRT PDF DOKUMENTUMOK HITELESSÉGÉNEK ELLENŐRZÉSE VERZIÓ SZÁM: 1.1 KELT:

Attribútum specifikáció

A Statisztikai adatszolgáltatás menüpont alatt végezhető el az adatlap kitöltése. 3 Statisztikai adatszolgáltatás menetének részletes bemutatása

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához

A TERC VIP költségvetés-készítő program telepítése, Interneten keresztül, manuálisan

TANÚSÍTVÁNY. tanúsítja, hogy az. ORGA Kartensysteme GmbH, Germany által előállított

TERC V.I.P. hardverkulcs regisztráció

Könyvtári címkéző munkahely

Digitális aláírás általános telepítése és ellenőrzése

Tartalom. Bejelentkezés...2 Feltöltés...3 Dokumentumok...4 Jelszómódosítás...7 Jelszókérés...7 Kijelentkezés...8

Átírás:

Metadata specifikáció Verzió: 1.0 (2010. December 13.) aai@niif.hu

Biztonsági megfontolások Mivel a metadata tartalmazza a föderációban részt vevő tagok és komponensek technikai információit, ezért a benne tárolt információkkal kapcsolatban figyelembe kell venni a következő biztonsági megfontolásokat: Téves vagy kompromittálódott adatok eltávolítása esetén a sérülékenységi ablak megegyezik a metadata gyorstárazhatósági (cacheduration) idejével, amennyiben a támadó nem képes blokkolni a központi metaadatok elérhetőségét (DOS) Amennyiben a támadó képes blokkolni a központi metaadatok elérhetőségét, a sérülékenységi ablak a legutolsó letöltött metadata állomány érvényességéig (validuntilparaméterében meghatározott ideig) tart. Amennyiben a metaadatok érvényességi ideje lejár, az entitás nem képes azonosítani a többi föderációs résztvevőt, ezért nem tud föderációs szolgáltatást (pl. IdP esetén azonosítási szolgáltatást) nyújtani. Metaadatban tárolt információk Bizalom a metaadatban a metaadat integritásvédelmét és hitelességét egy digitális aláírás biztosítja. a metaadat visszavonhatóságát a lejárati idő (validuntil) biztosítja, ami jelenleg 3 nap. az egyes rendszerek gyorstárazhatják a metaadatot, de legalább naponta egyszer kötelesek a hiteles állományt frissíteni. az aláírási procedúrát a #Metaadat_aláírásának_módja fejezet írja le. Tanúsítványok kötelező legalább 1024 bites kulcspárt használni az entitások által használt tanúsítvánnyal kapcsolatban a föderáció nem tesz különleges megkötést, sőt: ajánlott hosszú lejáratú self- signed tanúsítványok használata További információk minden szöveges mezőt legalább két nyelven: magyarul és angolul ki kell tölteni kötelezően kitöltendőek az intézményi, adminisztratív információk (Organization illetve ContactPerson elemek) ajánlott megadni egy helpdesk URL- r, ahova hiba esetén a felhasználók fordulhatnak (errorurl attribútum) SP- k esetén további kötelező elemek 2

AttributeConsumingService, ami megadja a kért attribútumokat RequestedAttributes - itt az attribútum informális neve is szerepeljen ServiceName, ServiceDescription az SP szolgáltatás neve és leírása a szolgáltatás elérhetősége, amin a szolgáltatás bemutatkozik (extension) adatkezelési szabályzatra mutató URL (extension) IdP- k esetén a scope csak az adott intézmény kezelésében levő domain név lehet (Shibboleth extension) lehetőség van további adatok megadására is logó gps koordináták, IP cím tartomány különböző tagek, például a szolgáltatás publikus- e, vagy épp bevezetés alatt áll- e Metaadat kiterjesztések használata Ezen kiegészítő adatok tárolására az internet2 szabványtervezetet készít, ennek a sémának a jelenlegi verziója megtalálható itt. A kiegészítő séma névtere: urn:oasis:names:tc:saml:2.0:metadata:ui. Az alábbi táblázatban ezen névtérben definiált legfontosabb elemeket foglaljuk össze: element név GeolocationHint InformationURL PrivacyStatementURL Logo IPHint szemantika szélesség és hosszúság érték, a + előjel az északi szélességet illetve keleti hosszúságot jelöli az entitásról további információkat (pl. helpdesk) szolgáltató oldal. Az SP adatvédelmi nyilatkozátnak elérhetősége (URL) Az IdP/SP logójának elérhetősége (Csak az IdP- knél) az intézmény hálózati tartománya(i). IdP felderítés esetén előválasztás értékekre vonatkozó megkötések 47.47359,19.052891 Engedélyezett formátumok: HTML, PDF Formátummal kapcsolatban lásd #Logo CIDR, több érték is megadható 3

DomainHint lehetséges ennek alapján. (Csak az IdP- knél) az intézmény által felügyelt domain név. IdP felderítés esetén előválasztás lehetséges ennek alapján. Több érték is megadható Logo formátum: URL egy transzparens hátterű PNG, vagy transzparens hátterű GIF képre méretezés javasolt oldalarány 1:1 vagy 16:9 maximális méret 200x200px ajánlott egy 16x16px- es verziót is megadni attribútumok xml:lang: lokalizációs információ href: opcionális link height: opcionális magasság érték pixelben width: opcionális szélesség érték pixelben Metaadat aláírásának módja Aláíró kulcs és tanúsítványok Az aláíró kulcsot smart cardon, pin kóddal védve tároljuk. Az aláírás on- line történik, a kártya pin kódját az aláíró szoftver indításakor az AAI adminisztrátor adja meg, a jelszó nem kerül tárolásra az aláírást végző rendszeren (sem másutt). NIIF CA által aláírt tanúsítvány, a teljes lánc beágyazva az aláírásba. PKI ellenőrzés lehetősége. Aláírási folyamat Aláíratlan metaadat frissítése az aláíratlan metaadat a https://rr.aai.niif.hu oldalról ütemezetten (5 perc) letöltésre kerül. A letöltés során az rr.aai.niif.hu tanúsítványa explicit módon ellenőrzésre kerül. a letöltött metaadat formai ellenőrzése az ellenőrzött entitások egy verziókövető rendszerbe kerülnek, az esetleges változásról e- mail értesítés készül (href- metadata- changesnevű levelezőlistára) 4

Az aláíró szoftver rendszeresen (1-2 percenként) ellenőrzi a metaadatot a verziókövető rendszerben, és változás esetén új aláírt metaadatokat készít amennyiben nincs változás, fix időközönként (naponta legalább egyszer) új aláírt állományok készülnek Aláírás ellenőrzése explicit tanúsítvánnyal A föderáció entitásai a föderációs metaadat hitelességéről a digitális aláírás ellenőrzésével győződhetnek meg. Ezen ellenőrzéshez az előző pontban említett tanúsítvány használható fel. Az explicit ellenőrzés esetén a http://metadata.eduid.hu/${kulcs_kibocsatas_eve}/ URL- ről kell letölteni a metadata fájlokat, például: http://metadata.eduid.hu/2010/href.xml. A tanúsítvány a https://metadata.eduid.hu oldalról érhető el. A tanúsítvány nevében szereplő 2010- es szám a kulcs generálásának évére vonatkozik. DN- je EMAILADDRESS=aai@niif.hu, CN=HREF Metadata Signer 2010, OU=AAI, O=NIIF Institute, O=NIIF CA, C=HU SHA- 1 09:C2:8B:09:AB:9E:C2:9B:A5:71:37:E7:36:C6:10:FF:96:9F:D 7:FE Ajánlott a tanúsítvány lejárati idejét figyelmen kívül hagyni. A tanúsítványcsere koordinálása out- of- band módszerrel történik (a href-tech levelezőlista segítségével). Aláírás ellenőrzése PKI segítségével Mivel az aláíró tanúsítvány és a tanúsítványkiadó hatóság (CA) tanúsítványa is a metadata része, ezért végezhető PKI ellenőrzés is. PKI használata esetén a http://metadata.eduid.hu/current/ URL- ről érdemes letölteni a metadata fájlokat, ott ugyanis mindig az aktuálisan legfrissebb kulccsal aláírt példányok érhetőek el. A Root CA tanúsítvány a következő URL- ről érhető el: http://www.ca.niif.hu/sites/ca.niif.hu/files/niif_ca_root_x509. pem PKI használata esetén a kulccsere automatikus, de a kompromittálódott kulcs visszavonhatósága miatt a visszavonási listák (CRL) használata rendkívül fontos! Aláíró kulcs cseréje A föderációs metadata aláíró kulcsa 2-3 évente kerül megújításra. 5

A föderációs entitások számára ajánlott a tanúsítvány lejárati idejének figyelmen kívül hagyása. A kulccsere koordinálása a href-tech levelezőlistán keresztül történik. Kulcs visszavonásakor (kompromittálódás gyanúja esetén) a régi aláíró kulcs azonnal eltávolításra kerül, kontrollált kulccsere esetén az aláírás párhuzamosan történik a régi és az új kulccsal. Érvényességi megfontolások ha egy entitás egy kulccserénél nem követi le a tanúsítvány változását (és nem használ PKI ellenőrzést), akkor számára a metaadatok a kulccsere lezárulása - a régi kulcs eltávolítása - után elérhetetlenek lesznek. Ilyenkor az utolsó hitelesítésre került metadata validuntil időpontja után az entitás képtelen lesz kommunikálni a föderációval. Metaadat elérése A HREF föderációban többféle metaadat- forrás áll rendelkezésre, melyeket a http://metadata.eduid.hu - ról lehet elérni. Fontos megemlíteni, hogy a metadata letöltésénél nem indokolt az SSL használata, ezért - amennyiben lehetséges -, érdemes a metadata URL- eket nem titkosított HTTP protokoll segítségével letölteni. A metadata elérés URL- je a következő: http://metadata.eduid.hu/${alairo_kulcs_kibocsatas_eve}/${metada ta_forras}.xml. A metadata források jelenleg a következők lehetnek: href.xml: az éles föderációban részt vevő, és a föderáció kritériumait teljesítő entitások href-test.xml: a HREF föderáció tesztrendszerei. Bármely, föderációban részt vevő intézmény tehet be teszt- entitást ebbe a halmazba, ezért ezen metaadat- forrás csak tesztelési célra használható. href-edugain.xml: a HREF föderációból az edugainkonföderációba kiajánlott entitások. Ide csak olyan entitások kerülhetnek be, melyek megfelelnek a föderációs kritériumoknak, és képesek az edugainkonföderációval való együttműködésre. Ezen entitások be kell hogy olvassák az edugain metaadatot is. edugain.xml: az edugainkonföderáció metaadata, a HREF aláíró kulccsal aláírva. edugain-test.xml: az edugainkonföderáció teszt metaadata, a HREF aláíró kulccsal aláírva. intézmény- specifikus metaadat fájlok, melyeket a föderáció kérésre biztosítja, tetszőleges entitások halmazba gyűjtésével. 6

Metaadat nézetek A föderációs operátor külön kérésre speciálisan transzformált metaadat nézeteket is szolgáltat. Ezek a nézetek XSLT transzformációval állnak elő a mindig aktuális metadata állományból. A nézetek speciális URL- en keresztül érhetőek el (csak HTTPS felett): https://metadata.eduid.hu/${nezet}/${relativ_metadata_fajl}. Néhány példa: https://metadata.eduid.hu/entities/current/href.xml - entitás azonosítók listája (mindig az aktuális aláíró kulcs használatával). https://metadata.eduid.hu/php- ds- idp/current/href.xml - SWITCH- féle Discovery Service- hez konfigurációs állomány. 7

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés