Palvelun terveystarkastus
Alla on lista asioista, joita palvelusta kannattaa tarkastaa.
SAML-ohjelmiston ajantasaisuus
- Onko SAML-ohjelma ajan tasalla?
- Päivittyykö se automaattisesti?
- Saanko tietoturvatiedotteet ohjelmasta?
Shibboleth SP:n kohdalla huomioi seuraavaa:
- Varmista, että saat announce-listan viestit: https://shibboleth.net/mailman/listinfo/announce (listalle tulee yleensä alle yksi viesti kuukaudessa)
- Määritä ohjelmisto päivittymään automaattisesti paketinhallinnan kautta, jos mahdollista:
- CentOS/RHEL/OpenSUSE/SLE päivitykset saa helpoiten Shibbolehin omasta repositoriosta: https://shibboleth.net/downloads/service-provider/latest/RPMS/
- Huom. HY:llä omat RHEL-mirrorit tähän, katso sivu: Shibboleth SP asennus RHEL.
- Debian ylläpitää hyvin oman jakelun tietoturvaa
- Ubuntussa on jaossa usein vanha, ei turvallinen versio, jolloin ohjelmistoa on ylläpidettävä käsin
- CentOS/RHEL/OpenSUSE/SLE päivitykset saa helpoiten Shibbolehin omasta repositoriosta: https://shibboleth.net/downloads/service-provider/latest/RPMS/
IdP:n metadatan päivitys
IdP:n metadataan tulee välillä muutoksia, joten metadata tulisi päivittää automaattisesti, vähintään kerran vuorokaudessa. Käytännössä 2h on hyvä väli päivitystarkastuksille.
Metadatan sijainnin ja varmenteen löydät sivulta Ohjeet Shibbolointiin. Vastaavasti Hakan metadatan löytää osoitteesta https://wiki.eduuni.fi/display/CSCHAKA/Haka+metadata
Palvelun varmenteet
Tarkasta, että palvelu käyttää eri varmenteita SAML-yhteytee kuin julkiseen HTTPS-liittymään. Lisätietoja osoitteeta Ohjeet Shibbolointiin
Tuen yhteysosoitteet
Välillä SAML-kirjautumisessa tapahtuu virheitä. Lähtökohtaisesti palvelun päässä tapahtuvissa virheissä tulee käyttäjä ohjata ottamaan yhteyttä kyseisen palvelun ylläpitoon, koska virheen selvittäminen alkaa paikallisen palvelun lokeista.
SP-rekisterin tiedot
Tarkasta, että palvelun tiedot ovat oikein SP-rekisteri (SAMLOIDC)ssä. Kirjautumisen yhteydessä näytetään käyttäjälle palvelin nimi. Lisäksi ensimmäisellä kirjautumiskerralla myös palvelun kuvaus sekä tietosuojaselosteen osoite. Nämä tulisi olla saatavilla kaikilla palvelun käyttökielillä.
- HY:n palveluissa voit myös valita organisaatioksi Helsingin yliopiston ja merkitä tietosuojaselosteet tulemaan organisaation yleisistä tiedoista.
Samoin rekisteriin määritetyt yhteysosoitteet helpottavat vikojen selvittämistä, jos palvelun kanssa tulee ongelmia.
Uloskirjautuminen
Tukeeko palvelu SLO:ta (Single Log Out, kertauloskirjautuminen). Tarkista palvelun toiminta uloskirjautumisen yhteydessä Ohjeet Shibbolointiin ohjeiden mukaisesti.