cs:tech:categories:sirtfi

This is an old revision of the document!


Sirtfi

Security Incident Response Trust Framework for Federated Identity, zkratkou označované jako Sirtfi, si klade za cíl koordinovat komunikaci mezi organizacemi za účelem řešení bezpečnostních incidentů v rámci federací identit. Tento bezpečnostní rámec se skládá ze seznamu tvrzení, které o sobě může organizace potvrdit, aby získala označení Sirtfi. Na SIRTFI wiki se nachází podrobná dokumentace.

Existuje on-line kurz vysvětlující, jak se může součástí Sirtfi stát poskytovatel identit (IdP) nebo poskytovatel služeb (SP).

Oficiální dokumentace v angličtině se nachází na adrese https://refeds.org/sirtfi a chcete-li se stát součástí této kategorie entit, je vaší povinností si originální dokumentaci prostudovat. Zde se nachází pouze nejdůležitější informace, které se Sirtfi týkají.

Žadatel o členství potvrzuje, že plně pochopil zde uvedenou i odkazovanou dokumentaci a že je členství této entity v souladu s požadavky.

V případě nedodržení požadavků bude entita z této kategorie odebrána a opětovné zařazení nebude umožněno.


1. Kontrola požadavků

Projděte si požadavky Sirtfi v1.0 a ověřte, zda splňujete všechny body, čili [OS1-OS6], [IR1-IR6], [TR1-TR2] a [PR1-PR2].

Splňujete-li všechny body, vaše organizace je kompatibilní se Sirtfi, pokud přidáte bezpečnostní kontakt do metadat a zároveň vyjádříte v metadatech podporu pro Sirtfi.

2. Bezpečnostní kontakt

V metadatech své entity uveďte bezpečnostní kontakt dle Sirtfi certification v1.0 a to pomocí přidání níže uvedené části kódu.

Existuje návod pro pomoc s výběrem bezpečnostního kontaktu.

<EntityDescriptor>
 
  <!-- metadata -->
 
  <ContactPerson xmlns:remd="http://refeds.org/metadata" contactType="other"
                 remd:contactType="http://refeds.org/metadata/contactType/security">
    <GivenName>EXAMPLE-CERTS</GivenName>
    <EmailAddress>mailto:certs@example.org</EmailAddress>
  </ContactPerson>
 
</EntityDescriptor>

Je-li Váš kontakt z externí organizace, chceme od daného kontaktu potvrzení, že je spolupráce domluvena.

3. Zařazení do kategorie Sirtfi

Uveďte v metadatech, že dodržujete Sirtfi pomocí elementu <EntityAttribute> pomocí následujícího bloku kódu.

<EntityDescriptor>
  <Extensions>
    <mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute">
      <saml:Attribute xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
                      NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
                      Name="urn:oasis:names:tc:SAML:attribute:assurance-certification">
        <saml:AttributeValue>https://refeds.org/sirtfi</saml:AttributeValue>
      </saml:Attribute>
    </mdattr:EntityAttributes>
  </Extensions>
 
  <!-- metadata -->
 
</EntityDescriptor>

Novou verzi metadat pošlete s žádostí o registraci do Sirtfi (ukázkový e-mail je uveden níže) na e-mailovou adresu eduid-admin@eduid.cz. E-mail musí být poslán odpovědnou osobou (tzv. administrativním nebo technickým kontaktem) a digitálně podepsán osobním certifikátem. V žádosti o členství v Sirtfi se musí nacházet explicitní informace, že entita úspěšně prošla všemi požadavky.

Předmět: Zařazení https://example.org/shibboleth do Sirtfi


Dobrý den,

žádám o zařazení entity https://example.org/shibboleth do kategorie entit Sirtfi.

Entita dodržuje všechny požadavky, které jsou na ni kladeny, aby mohla být do kategorie Sirtfi zařazena.

S pozdravem
Kryštof Šáteček

Své případné konkrétní otázky směřujte na e-mailovou adresu info@eduid.cz.

Last modified:: 2019/01/02 14:43