Da WIKI IDEM GARR.
Il gruppo di lavoro di REFEDS sulle Baseline Expectations ha definito una serie di requisiti di alto livello per gli operatori di entità federate e gli operatori di federazione o interfederazione per rispettare le aspettative di funzionamento dell'autenticazione federata e l'interoperabilità dei servizi a livello mondiale.
Il CTS di IDEM ha iniziato l'esame dei requisiti di REFEDS per verificare quali di questi siano già presenti nei regolamenti e nelle specifiche della federazione o quali cambiamenti siano necessari per la loro implementazione.
I requisiti sono suddivisi nelle categorie Identity Provider Operators, Service Provider Operators, Federation or interfederation Operators.
Identity Provider Operators
| Requisito
|
Regolamenti e specifiche Federazione IDEM
|
Proposte
|
Note
|
| [IPO1] Your Identity Provider is operated with organizational-level authority
|
SI
- in NdP è già prevista la firma del rappresentante legale e l'esistenza di un solo IdP per i membri - rif. NdP 2.1 Partecipanti.
|
Rendere più esplicito il livello di autorità dell'IdP.
|
| [IPO2] Your Identity Provider is trusted enough to be used to access your organization’s own systems
|
NO
Non ci sono riferimenti specifici (ad esempio non ripudio dell'IdP per i sistemi interni)
|
|
|
| [IPO3] You publish contact information for your Identity Provider and respond in a timely fashion to operational issues
|
PARZIALE
- gli IdP devono pubblicare i contatti nei metadata
- in ST sono definiti i tempi di correzione di alcuni problemi operativi (IdP, pagina info ed email di contatto) - rif. ST 11 Operatività del servizio
- non sono definiti in modo puntuale i tempi da rispettare per tutte le segnalazioni
|
Definire i tempi di risposta per le segnalazioni (ad esempio estendendo quanto fatto dal Servizio IDEM per gli IdP non operativi, vedi: Sospensione Entita)
|
|
| [IPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response
|
NO
- in NdP c'è solo un riferimento generico alla sicurezza - rif NdP 3.4 Impegni dei partecipanti".
|
Obbligatorietà di SIRTFI per tutte le entità della Federazione IDEM.
|
|
| [IPO5] You ensure the metadata registered in Federation is complete, accurate and up to date
|
PARZIALE
- in ST si "richiede la trasmissione immediata delle variazioni dei dati, soprattutto in caso di variazione/revoca del certificato", ma non vi sono meccanismi di verifica e/o penalità - rif. ST 8.2 Modalità di gestione dei metadati
|
|
|
Service Provider Operators
| Requisito
|
Regolamenti e specifiche Federazione IDEM
|
Proposte
|
Note
|
| [SPO1] You ensure that controls are in place to protect user privacy in the service
|
|
|
|
| [SPO2] You do not share information received from Identity Providers with third parties without relevant notification and the information is stored only whilst necessary for operational purposes
|
|
|
|
| [SPO3] You publish contact information and respond in a timely fashion to operational issues
|
|
|
|
| [SPO4] You apply security practices to protect user information, safeguard transaction integrity, and ensure timely incident response
|
|
|
|
| [SPO5] You ensure the metadata registered in Federation is complete, accurate and up to date
|
|
|
|
| [SPO6] You publish requirements for any user information required to access your service and ensure these requirements are appropriate and respect privacy
|
|
|
|
Federation or interfederation Operators
| Requisito
|
Regolamenti e specifiche Federazione IDEM
|
Proposte
|
Note
|
| [FO1] You focus on trustworthiness of Federation as a primary objective and are transparent about such efforts
|
|
|
|
| [FO2] You publish contact information and respond in a timely fashion to operational issues
|
|
|
|
| [FO3] You apply security practices to federation operations and ensure timely incident response
|
|
|
|
| [FO4] You follow good practices to ensure authentic, accurate and interoperable metadata to enable secure and trustworthy federated transactions
|
|
|
|
| [FO5] You implement and support frameworks that improve trustworthy and scalable use of Federation and promote their adoption by members and other participants
|
|
|
|
| [FO6] You collaborate with other organisations to promote realization of baseline expectations nationally and internationally
|
|
|
|
