cs:tech:categories:sirtfi

Sirtfi

Security Incident Response Trust Framework for Federated Identity, zkratkou označované jako Sirtfi, si klade za cíl koordinovat komunikaci mezi organizacemi za účelem řešení bezpečnostních incidentů v rámci federací identit. Tento bezpečnostní rámec se skládá ze seznamu tvrzení, které o sobě může organizace potvrdit, aby získala označení Sirtfi. Na Sirtfi wiki se nachází podrobná dokumentace.

Existuje on-line kurz vysvětlující, jak se může součástí Sirtfi stát poskytovatel identit (IdP) nebo poskytovatel služeb (SP).

Oficiální dokumentace v angličtině se nachází na adrese https://refeds.org/sirtfi a chcete-li se stát součástí této kategorie entit, je vaší povinností si originální dokumentaci prostudovat. Zde se nachází pouze nejdůležitější informace, které se Sirtfi týkají.

Žadatel o členství potvrzuje, že plně pochopil zde uvedenou i odkazovanou dokumentaci a že je členství této entity v souladu s požadavky.

V případě nedodržení požadavků bude entita z této kategorie odebrána a opětovné zařazení nebude umožněno.


1. Kontrola požadavků

Projděte si požadavky Sirtfi v1.0 a ověřte, zda splňujete všechny body, čili [OS1-OS6], [IR1-IR6], [TR1-TR2] a [PR1-PR2].

Splňujete-li všechny body, vaše organizace je kompatibilní se Sirtfi, pokud přidáte bezpečnostní kontakt do metadat a zároveň vyjádříte v metadatech podporu pro Sirtfi.

2. Bezpečnostní kontakt

V metadatech své entity uveďte bezpečnostní kontakt dle Sirtfi certification v1.0 a to pomocí přidání níže uvedené části kódu.

Existuje návod pro pomoc s výběrem bezpečnostního kontaktu.

<EntityDescriptor>
 
  <!-- metadata -->
 
  <ContactPerson xmlns:remd="http://refeds.org/metadata" contactType="other"
                 remd:contactType="http://refeds.org/metadata/contactType/security">
    <GivenName>EXAMPLE-CERTS</GivenName>
    <EmailAddress>mailto:certs@example.org</EmailAddress>
  </ContactPerson>
 
</EntityDescriptor>

Je-li Váš kontakt z externí organizace, chceme od daného kontaktu potvrzení, že je spolupráce domluvena.

3. Zařazení do kategorie Sirtfi

Uveďte v metadatech, že dodržujete Sirtfi pomocí elementu <EntityAttribute> pomocí následujícího bloku kódu.

<EntityDescriptor>
  <Extensions>
    <mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute">
      <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
                      NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
                      Name="urn:oasis:names:tc:SAML:attribute:assurance-certification">
        <saml:AttributeValue>https://refeds.org/sirtfi</saml:AttributeValue>
      </saml:Attribute>
    </mdattr:EntityAttributes>
  </Extensions>
 
  <!-- metadata -->
 
</EntityDescriptor>

Novou verzi metadat pošlete s žádostí o registraci do Sirtfi (ukázkový e-mail je uveden níže) na e-mailovou adresu eduid-admin@eduid.cz. E-mail musí být poslán odpovědnou osobou (tzv. administrativním nebo technickým kontaktem) a digitálně podepsán osobním certifikátem. V žádosti o členství v Sirtfi se musí nacházet explicitní informace, že entita úspěšně prošla všemi požadavky.

Předmět: Zařazení https://example.org/shibboleth do Sirtfi


Dobrý den,

žádám o zařazení entity https://example.org/shibboleth do kategorie entit Sirtfi.

Entita dodržuje všechny požadavky, které jsou na ni kladeny, aby mohla být do kategorie Sirtfi zařazena.

S pozdravem
Kryštof Šáteček

Své případné konkrétní otázky směřujte na e-mailovou adresu info@eduid.cz.

Last modified:: 2019/01/02 14:44