Toto je starší verze dokumentu!
Security Incident Response Trust Framework for Federated Identity, zkratkou označované jako SIRTFI, si klade za cíl koordinovat komunikaci mezi organizacemi za účelem řešení bezpečnostních incidentů v rámci federací identit. Tento bezpečnostní rámec se skládá ze seznamu tvrzení, které o sobě může organizace potvrdit, aby získala označení Sirtfi. Na SIRTFI wiki se nachází podrobná dokumentace.
Existuje on-line kurz vysvětlující, jak se může součástí Sirtfi stát poskytovatel identit (IdP) nebo poskytovatel služeb (SP).
Oficiální dokumentace v angličtině se nachází na adrese https://refeds.org/sirtfi a chcete-li se stát součástí této kategorie entit, je vaší povinností si originální dokumentaci prostudovat. Zde se nachází pouze nejdůležitější informace, které se Sirtfi týkají.
Žadatel o členství potvrzuje, že plně pochopil zde uvedenou i odkazovanou dokumentaci a že je členství této entity v souladu s požadavky.
V případě nedodržení požadavků bude entita z této kategorie odebrána a opětovné zařazení nebude umožněno.
Projděte si požadavky Sirtfi v1.0 a ověřte, zda splňujete všechny body, čili [OS1-OS6], [IR1-IR6], [TR1-TR2] a [PR1-PR2].
Splňujete-li všechny body, vaše organizace je kompatibilní se Sirtfi, pokud přidáte bezpečnostní kontakt do metadat a zároveň vyjádříte v metadatech podporu pro Sirtfi.
V metadatech své entity uveďte bezpečnostní kontakt dle Sirtfi certification v1.0 a to pomocí přidání níže uvedené části kódu.
Existuje návod pro pomoc s výběrem bezpečnostního kontaktu.
<EntityDescriptor> <!-- metadata --> <ContactPerson xmlns:remd="http://refeds.org/metadata" contactType="other" remd:contactType="http://refeds.org/metadata/contactType/security"> <GivenName>EXAMPLE-CERTS</GivenName> <EmailAddress>mailto:certs@example.org</EmailAddress> </ContactPerson> </EntityDescriptor>
Je-li Váš kontakt z externí organizace, chceme od daného kontaktu potvrzení, že je spolupráce domluvena.
Uveďte v metadatech, že dodržujete Sirtfi pomocí elementu <EntityAttribute>
pomocí následujícího bloku kódu.
<EntityDescriptor> <Extensions> <mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute"> <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" Name="urn:oasis:names:tc:SAML:attribute:assurance-certification"> <saml:AttributeValue>https://refeds.org/sirtfi</saml:AttributeValue> </saml:Attribute> </mdattr:EntityAttributes> </Extensions> <!-- metadata --> </EntityDescriptor>
Novou verzi metadat pošlete s žádostí o registraci do Sirtfi (ukázkový e-mail je uveden níže) na e-mailovou adresu eduid-admin@eduid.cz. E-mail musí být poslán odpovědnou osobou (tzv. administrativním nebo technickým kontaktem) a digitálně podepsán osobním certifikátem. V žádosti o členství v Sirtfi se musí nacházet explicitní informace, že entita úspěšně prošla všemi požadavky.
Předmět: Zařazení https://example.org/shibboleth do Sirtfi
Dobrý den,
žádám o zařazení entity https://example.org/shibboleth do kategorie entit Sirtfi.
Entita dodržuje všechny požadavky, které jsou na ni kladeny, aby mohla být do kategorie Sirtfi zařazena.
S pozdravem
Kryštof Šáteček
Své případné konkrétní otázky směřujte na e-mailovou adresu info@eduid.cz.
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz