通用联邦参与者操作实践

参与共通联邦(联合会)使参与联盟的组织(参与者)使用Shibboleth身份属性共享技术来管理上网 可以提供给InCommon社区的资源. 联盟的一个目标 是随着时间的推移，为这些合作组织制定社区标准 确保共享属性断言足够健壮并且值得信赖 管理对重要受保护资源的访问. 随着信任社区的发展， 该联盟希望参与者最终能够相互信任 身份管理系统和资源访问管理系统，因为他们信任他们的 自己的.

参与者的基本期望是他们提供权威和准确的信息 属性断言给其他参与者，以及接收属性的参与者 断言保护它，并尊重联邦对它施加的隐私约束 或者信息的来源. 为了实现这一目标，InCommon要求 每个参与者向其他参与者提供某些基本信息 火博体育任何身份管理系统的信息，包括所支持的身份属性 或者注册在联盟内使用的资源访问管理系统.

可信赖属性断言的两个标准 身份提供者 是否:(1)身份管理系统在组织的权限范围内 行政或业务管理，以及(2)颁发最终用户凭证的系统 (e.g.、PKI证书、用户名/密码、Kerberos主体等.)专门 是否有适当的风险管理措施(例如.g.、身份验证和授权 标准、安全实践、风险评估、变更管理控制、审计 轨迹等.).

InCommon期望从另一个服务提供者接收属性断言的服务提供者 参与者将尊重其他参与者的政策、规则和标准 数据的保护和使用. 此外，应该利用这些资料 只能用于提供它的目的. InCommon强烈反对 与第三方共享该数据，或将其聚合用于营销目的 未经明确许可¹ 提供参与者身份信息的.

InCommon要求参与者向所有其他参与者提供答案 回答以下问题.² 帮助回答每个问题的附加信息将在下一节中提供 这个文件的. 在本文档的末尾还有一个术语表，用于定义 以斜体显示的术语.

 

1.   联盟成员信息

1.以下InCommon Participant Operational Practices信息适用于:
参与者组织名称:火博体育大学.
以下信息截至2015年2月20日是准确的.

1.身份管理和/或隐私信息

火博体育参与者身份管理实践和/或 有关个人资料的私隐政策可浏览以下网页 位置(s): www.火博体育.edu/it/policies/

1.3联系方式

以下人员或办公室可以回答有关参与者身份管理的问题 系统或资源访问管理策略或实践.

姓名:德瓦恩·斯特林
头衔或角色:首席技术官
电子邮件地址: dsterlin@火博体育.edu
电话:518-580-5909

2.   身份提供者信息

身份提供者参与者必须承担的最重要的责任 联合是为了提供可信和准确的身份断言.³ 对于服务提供商来说，了解您的电子身份凭证是非常重要的 与给定凭据(或凭据)相关联的信息的可靠性如何 人).

社区

2.如果你是一个身份提供者，你如何定义这一组人 有资格获得电子身份? 如果允许有例外， 谁必须批准这样的例外?

A: 社区成员的定义是:在校学生(终止不超过 退出后30天)，获得学位的校友(给予最低限度的限制) 仅限电子邮件帐户)，现任教职员工(终止不超过30天) 雇佣结束后)和特殊项目组(给予最小的特殊目的) 电子身份只在其特别计划期间有效). 一些合同 根据具体情况为服务合作伙伴提供电子身份，仅用于 其需要的持续时间，只有经企业系统主任批准. 所有供应商帐户都有终止日期，并在业务约定完成时到期 或者一年，以较短的为准.

2.“社区成员”是一个断言，可以提供给访问 向参与主要任务的个人提供资源 大学或组织的. 例如，这个断言可能适用于任何人 谁的隶属关系是“现任学生、教师或员工”.”

你会识别在你的身份管理系统中登记的哪一部分人 作为Shibboleth身份声明中的“社区成员”给其他InCommon参与者?

A: 在火博体育学院，“社区成员”是指教职员工 或者学生，以及有限数量的合同服务合作伙伴，他们有一个持续的 与学院的关系.  

电子身份凭证

2.请概括描述用于建立的行政程序 一种电子身份，其结果是在您的 电子身份数据库? 请指明为此目的而登记的办事处. 例如, “注册商’s Office for students; HR for 教师 and staff.”

A: 教师和工作人员接受的角色和责任，当他们进入 学院的人力资源系统由人力资源办公室负责. 学生有自己的角色和责任 当他们作为已提交的被接受的申请人进入学生系统时 入学保证金由接受保证金的招生办公室确定 付款. 一旦定义了这些角色和职责，用户就自动地 加入电子身份数据库.  

2.您的电子身份凭证使用了哪些技术.g.Kerberos, userID/password, PKI)，与联邦活动相关? 如果不止一个 发出的电子证书的类型，如何确定谁接收哪种类型的证书? 如果链接了多个凭据，如何进行管理.g.，任何拥有Kerberos的人 凭据也可以获取PKI凭据)并记录?

A: 我们的系统对校园内的活动目录服务器使用用户ID/密码. 活动目录服务器遵循Kerberos身份验证模型，包括 也用于针对同一数据库对Unix服务器进行身份验证. 我们还使用 Oracle LDAP作为单独的目录服务器. 活动目录和Oracle LDAP 服务器使用扩展了eduPerson模式的当前模式. 所有系统(活动) 目录、LDAP服务器、Microsoft Office 365托管环境和我们的Oracle 应用程序(用户)由后台的帐户配置系统同步 end，使用户ID/密码在所有系统中保持一致.

2.如果您的电子身份凭证需要使用秘密密码 或者密码，在某些情况下，这个秘密会被传递出去 一个没有加密保护的网络.e.，“明文密码”为 在访问校园服务时使用)，请确定您的组织中谁可以 与任何其他参与者讨论这可能给他们带来的担忧:

A: 信息技术部门一直在积极消除 明文密码和所有“登录”页面强制重定向到加密链接. 可能会有一些由教职员工建立的遗留网页无法重定向， 但一旦它们被识别出来，就会被消灭. 这些只允许登录的页面很特别 目的或限制使用的页面，但有可能暴露一些密码以被捕获 或腐败. 对强密码的要求减轻了这种暴露 以及每年更换密码的强制政策. 全部集中维护 页面和系统使用加密协议来确保密码的安全. 如果参与者 在inCommon希望讨论这个话题，请使用节中的联系方式 1.3. 

2.是否支持“单点登录”(SSO)或类似的校园系统允许 为多个应用程序提供服务的单用户身份验证操作，您将做出 使用它来验证InCommon服务提供商的身份，请描述 SSO系统的关键安全方面，包括会话超时是否存在 由系统强制，是否支持用户发起的会话终止，以及 如何保护“公共访问站点”的使用.

A: 而我们使用单个标识符(userID)和单个令牌(密码)来标识 对于我们的用户，我们没有也不支持单点登录环境. 每个系统 需要单独登录才能访问系统. 对于大多数人来说，都有定时退出 我们的系统，尤其是那些可以访问敏感数据的系统，要么上锁，要么 注销用户.

2.你的主要电子标识符，如“net ID”，eduPersonPrincipalName， 或eduPersonTargetedID被认为是始终唯一的个体 他们被分配? 如果没有，你们的重新分配政策是什么?是否有间断 在这种重用之间?

A: 我们不会重复使用电子识别码. 它们对每个人来说都是独一无二的 保存在我们的电子身份资料库里，以确保身分代号不会重复.

电子身份数据库

2.你的电子身份资料是如何取得及更新的? 您的行政部门是否指定了特定的办公室来履行这一职能? 是 个人可以在网上更新自己的信息?

A: 我们的电子身份数据库由“权威系统”自动提供。 (SOA)取决于人的类别. 人力资源部维护人力资源记录 教职员工. 招生办公室生成初始学生记录 在学生系统中，然后注册主任保存这些记录，一旦学生 是否被录取并缴纳入学保证金. 其他任何人都没有能力 由资讯科技部门直接修改或更改电子身份资料库. 任何人都不能更新自己的记录.

2.这个数据库中的哪些信息被认为是“公开信息” 提供给任何利益相关方?

A: 电子身份资料库里的资料不会被视为公开资料. 学院有 它的LDAP服务器的面向公众的部分，如果有的话，由这个系统提供 需要信息. 这个面向公众的目录允许个人控制 使用FERPA控制发布的信息. 目录信息包括名称、 电话号码和电子邮件地址.

使用你的电子身份及证书系统

2.请列出需要使用电子身份的典型应用类别 凭据在您自己的组织中使用.

A: 集中维护管理应用程序，如人力资源，工资，考勤卡输入， 电子邮件，班级招生，打印，校园一卡通，学习管理系统，图书馆 资源，无线网络注册和许多其他. 任何受保护的资源 使用这些凭证访问.                                                                                                                                                     

属性断言

属性是您可能做出的属性断言中的信息数据元素 给另一个联邦参与者火博体育你身份中的一个人的身份 管理系统.

2.你认为你的属性断言足够可靠，可以:

[X]控制对授权给贵组织的在线信息数据库的访问?

[X]被用来为你的组织购买商品或服务?

[X]允许访问个人信息，如学生贷款状况?

隐私政策

联盟参与者必须尊重法律和组织的隐私限制 基于其他参与者提供的属性信息，并仅将其用于其预期用途 目的.

2.你对属性信息的使用有什么限制 提供给其他联盟参与者?

A: 资料只可用于所提供资料的目的. It 不得聚合或提供给任何第三方，或在范围之外使用 该协议得到了学院的同意.

2.什么策略控制你可能发布的属性信息的使用 致联会其他参加者? 例如，是否有一些信息受FERPA的约束 或HIPAA限制?

A: FERPA政策: http://www.火博体育.edu/registrar/transcripts/transcript-ferpa.php

3.   服务提供商信息

服务提供商 是否受信任仅要求进行适当访问所需的信息 控制决策，不滥用身份提供者提供给他们的信息. 服务提供者必须描述对资源访问进行管理的基础 以及他们从别人那里得到的属性信息的实践 参与者.

3.为了进行管理，你需要一个人的哪些属性信息 访问您提供给其他参与者的资源? 分别描述 为您已注册的每个服务ProviderID.

A: 名字，姓氏，电子邮件，个人联系. 目前我们不采取行动 作为我们内部测试系统以外的服务提供商.

3.你如何使用你收到的属性信息 基本访问控制决策? 例如，是否聚合会话访问记录 或记录基于属性信息访问的特定信息，或制作 伙伴组织可用的属性信息等.?

A: 没有一个. 在这个时候，我们不是作为一个服务提供商，除了 我们的内部测试系统.  

3.对属性的访问和使用有哪些人力和技术控制 可能只涉及一个特定的人的信息(例如.e.个人身份 信息)? 例如，此信息是否加密?

A: 不适用. 目前，我们没有作为任何服务提供商 除了我们的内部测试系统.

3.描述管理层的人力和技术控制 超级用户和其他可能具有授予权限的特权帐户 获取个人身份信息?

A: 不适用. 目前，我们没有作为任何服务提供商 除了我们的内部测试系统.

3.如果个人身份信息被泄露，你会采取什么措施 通知可能受影响的个人?

A: 不适用. 目前，我们没有作为任何服务提供商 除了我们的内部测试系统.

4.   其他信息

4.1技术标准、版本和互操作性

确定您正在使用的Internet2 Shibboleth代码发布版本，如果 不使用标准Shibboleth代码，SAML和SOAP的哪个版本等等 为此目的实施的其他相关标准.

A: 口令2.1.X，当前版本.

4.2其他考虑

你还有什么其他的考虑或信息想让别人知道吗 可能与您进行互操作的联合参与者? 例如，是否存在担忧 火博体育使用明文密码或在安全漏洞的情况下的责任 涉及您可能已提供的身份信息?

A: 没有一个.

火博体育操作实践问题的补充说明和详细信息

作为一个愿意合作管理在线资源访问的组织社区， 在非商业资源的情况下，通常没有正式的合同 每个参与者都必须对身份和资源有很好的理解 其他参与者实施的管理实践. 问题的目的 以上是通过制作这些信息来建立共同理解的基础水平 可供其他参与者评估.

在回答这些问题时，请考虑一下你想知道火博体育你的 如果你是另一个参与者，你可以自己决定信任的级别 在与在线系统的交互中. 例如:

• 您需要了解身份提供者的哪些信息才能做出明智的决定 决定是否接受其断言来管理对在线资源的访问 或应用程序?
• 为了有信心提供服务，您需要了解服务提供者的哪些信息 这是它可能无法获得的信息?

它还可能有助于考虑单个机构内的身份管理系统如何 可以使用.

• 作为服务提供商，您的中心校园IT组织可能会向同行提出什么要求 校园身份提供者(e.g.计算机科学系、中央图书馆或医学院 中心)，以决定是否接受其身份断言以进行访问 IT组织控制的资源?
• 校园部门可能会对校园中央身份管理系统提出什么要求 如果部门想利用它在自己的应用程序中使用?

下面的编号段落为编号问题提供了额外的背景信息 在本文件的主要部分.

[1.2]强烈鼓励管理身份提供者的InCommon参与者 在其网站上公布所适用的私隐及资讯安全政策 他们的身份管理系统. 管理服务提供商的参与者是强烈的 鼓励张贴他们火博体育使用个人识别信息的政策.

[1.其他InCommon参与者可能希望进一步与该人员或办公室联系 火博体育您提供的信息的问题，或者他们是否希望建立一个更 与您的组织在资源共享方面的正式关系.

[2]许多组织有非常非正式的程序来颁发电子证书. 例如，一个校园通过学生书店做到了这一点. 服务提供者 也许更愿意接受你的断言在某种程度上，这个过程可以 被视为权威.

[2.[1]对于服务提供者来说，了解其服务对象所在的社区是很重要的 您可能代表的身份. 的断言尤其如此 eduPerson“社区成员”.一个典型的定义可能是“教员、职员和。 活跃学生”，但也可能包括校友、准学生、临时学生 员工、访问学者等. 此外，可能有正式或非正式的机制 对于这个定义的例外，e.g.，以容纳以前的学生 完成论文或做无偿志愿者.

这个问题询问作为身份提供者的您将向谁提供电子凭证. 这通常是广泛定义的，以便组织可以适应广泛的需求 本地应用的多样性. 这个问题很重要的原因是为了区分 在可能拥有您颁发的凭据的一组人员和子集之间 那些符合你定义的“社区成员”的人 InCommon属性断言.

[2.[2]“社区成员”的断言通常足以决定是否 允许访问基本的在线资源，如图书馆类材料或网站. InCommon鼓励参与者仅对“教员、职员和员工”使用此断言 活跃的学生”，但有些组织可能需要对此进行不同的定义. InCommon服务提供者需要知道这个定义是否不同.

[2.[3]例如，如果有一个校园认可的办公室颁发这样的证书 电子证书和办公室使用强大，可靠的技术和 良好的数据库管理实践，这些因素可能表明高度可靠的凭据 因此是可信的同一性断言.

[2.不同的技术具有不同的内在风险. 例如，userID 而且密码很容易被共享或“窃取”. PKI凭证或securid 信用卡很难分享或窃取. 出于实际原因，一些校园采用了这种方式 学生证书的技术和教职员工的技术. 在某些情况下， 敏感的应用程序将需要更强的和/或辅助凭证.

[2.以“明文”形式发送密码是一项重大风险，所有InCommon参与者 强烈鼓励消除任何此类做法. 不幸的是，这可能 很难，特别是对于遗留应用程序. 例如，获得对a的访问权限 集中的日历应用程序，通过无线数据连接，而您正在参加 会议可能会将您的密码泄露给该会议的许多其他人. 如果这 也是你的校园凭据密码，会不会被别人冒充 您到InCommon参与者.

[2.[6]“单点登录”(SSO)是一种允许用户解锁其电子设备的方法 身份凭证一次，然后使用它来访问各种资源和 申请一段时间. 这就避免了人们不得不记住许多不同的单词 标识符和密码或不断登录和退出系统. 然而, 它还可能削弱电子身份与实际用户之间的联系 它指的是谁，如果其他人可以使用同一台电脑，并假设 前用户身份. 如果对单点登录会话的持续时间没有限制，则联合 服务提供商可能会关注您的任何身份断言的有效性 可能会使. 因此，询问您对SSO技术的使用情况非常重要.

[2.[7]在一些身份管理系统中，人们的主要标识符可能是 重用，特别是如果它们包含通用名称，例如.g. 吉姆Smith@MYU.edu. 这可以 如果服务提供者需要此主标识符进行管理，则会产生歧义 为那个人访问资源.

[2.[8]保存个人信息的数据库的安全性至少为 至关重要的是提供到记录的链接的电子身份凭证 在数据库中. 适当的数据库安全性，以及管理和 审计对该数据库所做更改的跟踪，以及对该数据库的访问管理 信息很重要.

[2.[9]许多组织将向任何人提供某些有限的“公开信息”.” 其他信息只能提供给组织内部用户或应用程序; 或者可能需要根据FERPA或HIPAA规则获得主体的许可. 服务提供者 可能需要知道您愿意将哪些信息作为“公共信息”提供。 哪些规则适用于你可能发布的其他信息.

[2.为了帮助服务提供者评估你的身份断言的可靠性 也许，了解您的组织如何使用这些断言会有所帮助. 的 假设您正在使用或将要使用相同的身份管理系统 用于联邦目的的您自己的应用程序.

[2.[11]你对这个问题的回答表明了你对……的信心程度 身份断言的准确性.

[2.[12]甚至“公共信息”的使用方式也可能受到限制. 例如, 通过从校园目录中“收集”电子邮件地址来创建营销电子邮件列表 网站可能被视为非法使用该信息. 请说明有哪些限制 你把你提供给别人的信息放在上面.

[2.[13]请说明信息可能受到哪些法律或其他外部限制 你让别人可以使用.

[3.1]请确定您的访问管理需求，以帮助其他参与者 了解并计划使用您的资源. 您也可以提供 可以回答询问的办公室或人员的联系信息.

[3.[2]作为服务提供者，请声明你将如何使用属性 您收到的信息.

[3.[3]个人身份信息可以是多种多样的，而不仅仅是 姓名或信用卡号码. 除大群体身份以外的所有信息.g., “社区成员”，当驻留在您的系统中时应该受到保护.

[3.[4]某些职能职位可以享有非同寻常的特权 你的系统信息. 什么监管手段是到位，以确保在职者 不要滥用这些特权?

[3.[5]有时保护措施失效，信息泄露. 一些州 是否有法律要求通知受影响的个人. 什么法律和/或制度 如果您所持有的信息遭到泄露，相关政策会向个人发出通知.

[4.[1]大多数InCommon参与者将使用Internet2 Shibboleth技术，但这 不是必需的. 对于其他参与者来说，了解是否 您正在使用技术标准的其他实现.

[4.[2]作为身份提供者，您可能希望对应用程序的种类进行限制 这可能会用到你的断言. 作为服务提供者，您不妨做出 火博体育必须如何管理用户凭据的声明. 这个问题完全是 开放式的，供您使用.

术语表

• 访问管理系统:系统和/或服务相关联的集合 具体的在线资源和/或服务，共同得出的决定 是否允许特定的个人获得或使用这些资源 在这些服务中.
• 断言:标识提供者向服务提供的标识信息 提供者.
• 属性:与电子身份数据库相关联的单个信息 记录. Some attributes are general; others are personal. 所有属性的子集 定义一个独特的个体.
• 身份验证:一个人验证或确认其关联的过程 带有电子识别码. 例如，输入关联的密码 使用UserID或帐户名进行验证，以验证用户是否为所要访问的人 发出UserID的人.
• 授权:决定是否允许某个人进入的过程 获得访问应用程序或功能的权限，或使用资源. 资源 然后Manager做出访问控制决策，这也可能考虑到其他 诸如一天中的时间、用户的位置和/或资源系统上的负载等因素
• 电子标识符:可以使用的一串字符或结构化数据 引用电子身份. 示例包括电子邮件地址、用户帐户 名称，Kerberos主体名称，UC或校园NetID，员工或学生ID， 或PKI证书.
• 电子身份:有关个人的一组信息。 通常在校园电子身份数据库中. 可能包括角色和特权 以及个人信息. 这些信息必须对申请人具有权威性 它将被使用.
• 电子身份凭证:电子标识符和相应的个人 与电子身份相关联的秘密. 通常是电子身份凭证 是发给作为资料的主体的人，以使该人成为可能 获得对需要控制这种访问的应用程序或其他资源的访问.
• 电子身份数据库:有关的信息的结构化集合 一个给定的个体. 有时被称为“企业目录”.“通常 包括姓名、地址、电子邮件地址、隶属关系和电子标识符. 许多 可以使用各种技术来创建身份数据库，例如LDAP或set 链接关系数据库.
• 身份:身份是与特定的自然人相关联的一组信息 或其他实体. 通常，标识提供程序仅对一个子集具有权威性 一个人的身份信息. 哪些标识属性可能与 任何情况都取决于它被质疑的背景.
• 身份管理系统:提供的一套标准、程序和技术 电子凭证给个人和维护有关的权威信息 这些证书的持有者.
• 身份提供者:管理和操作身份的校园或其他组织 管理系统，并向其他InCommon提供其社区成员的信息 参与者.
• NetID:专门为在线应用程序创建的电子标识符. 它通常是一个整数，通常没有其他含义.
• 个人秘密(也是验证令牌):在此文档的上下文中使用 与密码、密码短语或PIN同义. 它使电子产品的持有者 证明他/她是获发证明的人.
• 服务提供者:提供在线资源的校园或其他组织 部分基于从其他InCommon接收到的有关用户的信息 参与者.