通用联邦参与者操作实践

Participation in the InCommon Federation (“联邦”)允许联邦参与组织(“参与者”)使用Shibboleth身份属性共享技术来管理对InCommon社区可用的在线资源的访问. 联合会的一个目标是发展, over time, 此类合作组织的社区标准，以确保共享属性断言足够健壮和可信，从而管理对重要受保护资源的访问. 随着信任社区的发展, 联合会期望参与者最终能够像信任自己的身份管理系统和资源访问管理系统一样信任彼此的身份管理系统和资源访问管理系统.

参与者的一个基本期望是它们为其他参与者提供权威和准确的属性断言, 接收属性断言的参与者应保护该属性断言并尊重联邦或该信息来源对其施加的隐私约束. 为了实现这一目标, InCommon要求每个参与者向其他参与者提供有关任何身份管理系统的某些基本信息, 包括所支持的标识属性, 或在联邦内注册使用的资源访问管理系统.

身份提供者断言可信任属性的两个标准是:(1)身份管理系统属于组织的执行或业务管理的范围, 以及(2)颁发最终用户凭证的系统(e.g.、PKI证书、用户id /密码、Kerberos主体等.)具体地说，有适当的风险管理措施(例如.g., 认证和授权标准, security practices, risk assessment, 变更管理控制, audit trails, etc.).

InCommon希望服务提供商, 谁从另一个参与者接收属性断言, 尊重其他参与者的政策, rules, 以及保护和使用这些数据的标准. 此外，这些资料应仅用于提供资料的目的. InCommon强烈反对与第三方共享这些数据, 或未经提供参与者身份信息的明确许可，将其聚合用于营销目的.

InCommon要求参与者向所有其他参与者提供以下问题的答案. 帮助回答每个问题的其他信息可在本文档的下一节中获得. 在本文档的末尾还有一个术语表，用于定义斜体显示的术语.

1. 联合会参与者信息

1.以下非通用参与者操作规范信息适用于:
InCommon参与者组织名称:  Bryn Mawr College

以下信息是截至8月的准确信息, 2017

1.身份管理和/或隐私信息
有关参与者身份管理惯例和/或个人信息隐私政策的其他信息，可在以下位置在线查询.

• Acceptable Use Policy
• 服务器帐户策略
• Web Privacy Policy

1.3ope电子竞技
以下人员或办公室可以回答有关参与者身份管理系统或资源访问管理政策或实践的问题.
David Bertagni
Chief Technologist
dbertagni@lyonburlesque.com
p. 610-526-7438  f. 610-526-7432

2. 身份提供者信息

身份提供者参与者对联合会负有的最重要的责任是提供可靠和准确的身份断言. 对于服务提供商来说，了解您的电子身份凭证是如何颁发的以及与给定凭证(或人员)相关的信息的可靠性是非常重要的.

Community

2.如果您是身份提供者, 你如何界定合资格领取电子身份的人士? 如果允许对这个定义有例外，谁必须批准这种例外?

See 服务器帐户策略.

2.2“社区成员”是一种主张，可能是为了使参与大学或组织的主要任务的个人能够获得资源. For example, 这一论断可能适用于任何属于“在读学生”的人, faculty, or staff.”

在您的身份管理系统中注册的哪些人将在Shibboleth身份断言中向其他InCommon参与者标识为“社区成员”?

布林莫尔认为ope电子竞技社区的现有成员是教员, staff, students,   以及那些被认定为退休人员的现有成员, retirees, 研究人员.

2.请概括描述用于建立电子身份并在电子身份数据库中为该人创建记录的行政程序. 请指明为此目的登记的办事处. For example, “Registrar’s Office for students; HR for faculty and staff.”

一些办公室负责在中央系统中放置授权访问的记录.  办事处如下:

• 申请人的录取情况
• 学生注册主任
• 院长为返校和休假的学生
• 学院和一些附属机构的教务长
• 员工、教员和一些附属机构的人力资源
• Alumnae/i for alums
• 校友和捐赠者的发展

2.你的电子身份凭证采用了什么技术.g., Kerberos,
用户id /密码、PKI、 ...)有关联会活动的资料? 如发出多于一种电子证书, 如何确定谁接收哪种类型? 如果多个凭据被链接，这是如何管理的.g.，任何拥有Kerberos凭据的人也可以获得PKI凭据)?

学院使用单一的主用户名和密码，由ope电子竞技的身份管理系统管理，并根据标准的微软活动目录进行身份验证.

2.如果您的电子身份凭证需要使用秘密密码或个人识别码, 在某些情况下，该秘密将在没有加密保护的情况下通过网络传输.e., 使用“明文密码”访问校园服务), 请确定在您的组织中谁可以与任何其他参与者讨论这可能给他们带来的问题:

凭证不允许以明文传输. 如有疑问，请联络:

David Bertagni
Chief Technologist
dbertagni@lyonburlesque.com

2.6如果您支持“单点登录”(SSO)或类似的校园范围系统，以允许单个用户身份验证操作为多个应用程序服务, 你将使用它来验证InCommon服务提供者的身份, 请描述您的单点登录系统的关键安全方面，包括系统是否强制会话超时, 是否支持用户主动终止会话, 以及如何保护“公共访问网站”的使用.

ope电子竞技目前没有使用SSO校园服务.

2.是你的主要电子标识符吗, such as “net ID,“eduPersonPrincipalName, 或eduPersonTargetedID被认为是唯一的，对于分配给他们的个人? 如果不是，你们对重新分配的策略是什么，在这种重用之间是否有间隔?

用户名被认为是主要的电子标识符，并且保证是唯一的.  发放给社区成员的用户名不会重复使用，并保留给分配给他们的个人.

电子身份资料库

2.你的电子身份数据库中的信息是如何获取和更新的? 您的行政部门是否指定了特定的办公室来履行这一职能? 个人是否可以在网上更新自己的资料?

大多数资料由负责的办事处保存，见第2节.3.  个人可能会在网上更新非常有限的信息(如手机号码).

2.本数据库中的哪些信息被认为是“公共信息”，并将提供给任何感兴趣的方?

电子身份系统中的任何数据都不是公开的.  We comply with FERPA 以及其他隐私标准. ope电子竞技将根据需要向合作伙伴发布所需的属性，以提供或获取服务.

使用电子身份证书系统

2.请说明在贵机构内使用电子身份凭证的典型应用类别.

• Email/Calendar
• 注册/ ERP系统
• Financials
• Blogs
• Web pages
• 计算机登录/印刷
• Network file storage
• LMS (Moodle)
• 网络接入(有线和无线/eduroam)

Attribute Assertions

属性是属性断言中的信息数据元素，您可以向另一个Federation参与者发出关于您的身份管理系统中某人的身份的断言.

2.你是否认为你的属性断言足够可靠:
[X]控制对授权给贵组织的在线信息数据库的访问?
用于为您的组织购买商品或服务?
[X]允许访问学生贷款状况等个人信息?

Privacy Policy

联邦参与者必须尊重对其他参与者提供的属性信息的法律和组织隐私约束，并仅将其用于预定目的.

2.你们对提供给其他联盟参与者的属性信息的使用有什么限制?

有关资料只可用于所提供资料的目的.  除非ope电竞官网和服务提供商/合作伙伴双方同意，否则不得汇总或提供给任何第三方.

2.哪些政策管理您可能向他人发布的属性信息的使用
联盟的参与者? 例如，某些信息是否受FERPA或HIPAA限制?

Some数据受FERPA, HIPAA和其他法规的约束.  政策如下:

• http://www.lyonburlesque.com/registrar/ferpa
• http://www.lyonburlesque.com/humanresources/documents/HIPAAPolicy.pdf

3. 服务提供商信息

信任服务提供者只请求做出适当的访问控制决策所需的信息, 以及不滥用身份提供者提供给他们的信息. 服务提供者必须描述管理资源访问的基础，以及他们从其他参与者那里接收属性信息的做法.

3.为了管理对其他参与者可用资源的访问，您需要关于个人的哪些属性信息? 分别描述您所注册的每个服务ProviderID.

None. 目前，ope电竞官网不作为服务提供者.

3.除了基本的访问控制决策外，你如何利用你收到的属性信息? For example, 您是根据属性信息聚合会话访问记录还是特定访问信息的记录, 或者向伙伴组织提供属性信息, etc.?

None. 目前，ope电竞官网不作为服务提供者.

3.在访问和使用可能只涉及一个特定人员的属性信息时，采取了哪些人力和技术控制措施.e.，个人身份资料)? 例如，该信息是否加密?

Not applicable. 目前，ope电竞官网不作为服务提供者.

3.描述对超级用户和其他可能有权授予访问个人身份信息权限的特权帐户的管理所采取的人力和技术控制?

Not applicable. 目前，ope电竞官网不作为服务提供者.

3.如果个人身份信息泄露, 你会采取什么行动通知可能受影响的个人?

Not applicable. 目前，ope电竞官网不作为服务提供者.

4. Other Information

4.1技术标准、版本和互操作性
确定您正在使用的Internet2 Shibboleth代码发布版本或, 如果不使用标准Shibboleth代码, SAML和SOAP的哪个版本以及您为此目的实现的任何其他相关标准.

Shibboleth身份提供者.2.1

4.2其他考虑
您是否希望向可能与您进行互操作的其他Federation参与者提供其他注意事项或信息? For example, 您是否担心使用明文密码或在您可能提供的身份信息出现安全漏洞时承担责任?

None at this time.