通用联邦参与者操作实践

Participation in the InCommon Federation (“联邦”)允许联邦参与组织(“参与者”)使用Shibboleth身份属性共享技术来管理对可提供给InCommon社区的在线资源的访问. 联合会的一个目标是发展, over time, 用于此类合作组织的社区标准，以确保共享属性断言足够健壮和可信，从而管理对重要受保护资源的访问. 随着信任社区的发展, 联合会希望参与者最终能够信任彼此的身份管理系统和资源访问管理系统，就像他们信任自己的一样.

参与者的一个基本期望是它们向其他参与者提供权威和准确的属性断言, 并且接收属性断言的参与者保护它并尊重联邦或该信息源对其施加的隐私约束. 为了促进这一目标, InCommon要求每个参与者向其他参与者提供有关任何身份管理系统的某些基本信息, 包括受支持的标识属性, 或注册供联邦使用的资源存取管理系统.

身份提供者的可信属性断言的两个标准是:(1)身份管理系统属于组织的执行或业务管理的范围, (2)颁发终端用户证书的系统.g.、PKI证书、用户名/密码、Kerberos主体等.)有适当的风险管理措施(例如.g., 认证和授权标准, security practices, risk assessment, 变更管理控制, audit trails, etc.).

InCommon期望服务提供商, 谁从另一个参与者接收属性断言, 尊重其他参与者的政策, rules, 以及保护和使用这些数据的标准. 此外，这种资料只应用于提供它的目的. InCommon强烈反对与第三方分享这些数据, 未经提供参与者身份信息的明确许可，不得将其聚合用于营销目的.

InCommon要求参与者向所有其他参与者提供以下问题的答案. 本文档的下一节提供了帮助回答每个问题的附加信息. 在本文末尾还有一个术语表，其中定义了斜体显示的术语.

1. 联盟成员信息

1.以下InCommon Participant Operational Practices信息适用于:
InCommon参与者组织名称:  Bryn Mawr College

以下是截至8月份的准确信息, 2017

1.身份管理和/或隐私信息
有关参加者身份管理实务及/或个人资料私隐政策的其他资料，可于以下网址查阅:.

• 可接受使用政策
• 服务器帐户策略
• Web Privacy Policy

1.3推荐全球十大博彩公司排行榜
以下人员或办公室可以回答有关参与者身份管理系统或资源访问管理政策或实践的问题.
David Bertagni
Chief Technologist
dbertagni@tincyn.net
p. 610-526-7438  f. 610-526-7432

2. 身份提供者信息

身份提供者参与者对联盟最重要的责任是提供可信和准确的身份断言. 对于服务提供者来说，重要的是要知道您的电子身份凭证是如何颁发的，以及与给定凭证(或人员)关联的信息有多可靠.

Community

2.如果您是身份提供者, 你如何定义有资格获得电子身份的人? 如果允许此定义的例外，谁必须批准这种例外?

See 服务器帐户策略.

2.“社区成员”是一种声明，可以提供给参与大学或组织主要使命的个人，使他们能够获得资源. For example, 这种说法可能适用于任何属于“在校学生”的人, faculty, or staff.”

在您的身份管理系统中注册的人员中，您将在Shibboleth对其他InCommon参与者的身份断言中识别为“社区成员”的哪一部分人?

Bryn Mawr认为我们社区的现有成员是教员, staff, students,   以及那些被认定为退休人员的现有附属机构, retirees, 研究人员.

2.请概括描述用于建立电子身份的管理流程，从而在您的电子身份数据库中创建该人的记录. 请指明为此目的而登记的办事处. For example, “Registrar’s Office for students; HR for faculty and staff.”

若干办事处负责在中央系统中放置授权访问的记录.  办事处如下:

• 申请人的入学条件
• 学生登记员
• 院长为返校和休假的学生
• 教务长和一些附属机构
• 员工、教员和一些附属机构的人力资源
• Alumnae/i for alums
• 校友和捐赠者的发展

2.您的电子身份凭证使用了哪些技术.g., Kerberos,
用户id /密码、PKI、 ...)与联邦活动有关的资料? 如果发出多于一种电子证书, 如何确定谁接收哪一种类型? 如果链接了多个凭据，如何进行管理.g.(任何拥有Kerberos凭据的人也可以获得PKI凭据)并记录?

学院使用单一的主用户名和密码，由我们的身份管理系统管理，并根据标准的微软活动目录进行身份验证.

2.如果您的电子身份凭证需要使用秘密密码或个人识别码, 在某些情况下，该秘密将在没有加密保护的情况下通过网络传输(例如.e., 使用“明文密码”登入校园服务), 请确定您组织中的哪些人可以与任何其他参与者讨论这可能为他们带来的问题:

凭据不允许以明文形式传送. 如有疑问，请联系:

David Bertagni
Chief Technologist
dbertagni@tincyn.net

2.如果您支持“单点登录”(SSO)或类似的校园范围内的系统，以允许单个用户的身份验证操作服务于多个应用程序, 您将使用它来为InCommon Service Providers验证人员, 请描述您的SSO系统的关键安全方面，包括系统是否强制执行会话超时, 是否支持用户主动终止会话, 以及如何保护“公共访问站点”的使用.

我们目前不使用校内服务的SSO.

2.是你对人们的主要电子标识, such as “net ID,“eduPersonPrincipalName, 或eduPersonTargetedID被认为对分配给它们的个人始终是唯一的? 如果没有，您的重新分配策略是什么，这种重用之间是否存在间隙?

用户名被认为是主要的电子标识符，并且保证是唯一的.  发给社区成员的用户名不能重复使用，并保留给分配给该用户名的个人.

电子身份数据库

2.你的电子身份资料是如何取得及更新的? 您的行政部门是否指定了特定的办公室来履行这一职能? 个人是否可以在网上更新自己的资料?

大多数资料由负责的办事处保存，见第2节.3.  个人可以在线更新非常有限的信息(如移动电话号码).

2.本数据库中哪些信息被视为“公开信息”并将提供给任何有关方面?

电子身份系统内的资料不被视为公开资料.  We comply with FERPA 以及其他隐私标准. 我们将根据需要向合作伙伴发布所需属性，以提供或获取服务.

使用你的电子身份及证书系统

2.请说明在贵公司内部使用电子身份凭证的典型应用类别.

• Email/Calendar
• 注册/ ERP系统
• Financials
• Blogs
• Web pages
• 计算机登录/印刷
• Network file storage
• LMS (Moodle)
• 网络接入(有线和无线/eduroam)

Attribute Assertions

属性是属性断言中的信息数据元素，您可以针对身份管理系统中某个人的身份向另一个Federation参与者进行断言.

2.你认为你的属性断言足够可靠，可以:
[X]控制对授权给贵组织的在线信息数据库的访问?
[X]被用来为你的组织购买商品或服务?
[X]允许访问个人信息，如学生贷款状况?

Privacy Policy

联邦参与者必须尊重法律和组织对其他参与者提供的属性信息的隐私限制，并仅将其用于预期目的.

2.12 .对于可能提供给其他联邦参与者的属性信息的使用，你们有什么限制?

该等资料只可用于所提供资料的目的.  除非布林茅尔学院与服务提供商/合作伙伴达成一致，否则不得汇总或提供给任何第三方.

2.你可能向他人发布的属性信息的使用有哪些策略
联盟的参与者? 例如，是否有某些信息受FERPA或HIPAA的限制?

S部分数据受FERPA, HIPAA和其他法规的约束.  政策如下:

• http://ksu.tincyn.net/registrar/ferpa
• http://ksu.tincyn.net/humanresources/documents/HIPAAPolicy.pdf

3. 服务提供商信息

受信任的服务提供者只要求提供做出适当访问控制决策所需的信息, 以及不滥用身份提供者提供给他们的信息. 服务提供者必须描述管理资源访问的基础，以及他们从其他参与者那里接收到的属性信息方面的实践.

3.为了管理对您提供给其他参与者的资源的访问，您需要个人的哪些属性信息? 分别描述您已注册的每个服务ProviderID.

None. 在这个时候，推荐全球十大博彩公司排行榜并没有作为一个服务提供者.

3.除了基本的访问控制决策外，你如何使用收到的属性信息? For example, 您是否聚合会话访问记录或基于属性信息访问的特定信息的记录, 或者将属性信息提供给合作伙伴组织, etc.?

None. 在这个时候，推荐全球十大博彩公司排行榜并没有作为一个服务提供者.

3.在访问和使用可能只涉及一个特定人员的属性信息时，有哪些人力和技术控制措施.e.，个人身份信息)? 例如，此信息是否加密?

Not applicable. 在这个时候，推荐全球十大博彩公司排行榜并没有作为一个服务提供者.

3.描述对超级用户和其他可能有权访问个人身份信息的特权帐户进行管理的人力和技术控制?

Not applicable. 在这个时候，推荐全球十大博彩公司排行榜并没有作为一个服务提供者.

3.5 .个人身份信息泄露, 你会采取什么措施通知可能受影响的个人?

Not applicable. 在这个时候，推荐全球十大博彩公司排行榜并没有作为一个服务提供者.

4. Other Information

4.1技术标准、版本和互操作性
确定您正在使用的Internet2 Shibboleth代码版本, 如果不使用标准Shibboleth代码, 您为此目的实现了哪些版本的SAML和SOAP以及任何其他相关标准.

Shibboleth身份提供者.2.1

4.2其他考虑
您是否希望向可能与您进行交互操作的其他联邦参与者告知其他考虑事项或信息? For example, 是否担心使用明文密码或在涉及您可能提供的身份信息的安全漏洞情况下的责任?

None at this time.