| La Federación recomienda que sus participantes adopten las siguientes prácticas:
Gestión de Identidad
- Poseer procedimientos definidos para administrar usuarios y sus atributos;
- Informar a los usuarios sobre las buenas prácticas en lo que respecta a la utilización y la confidencialidad de contraseñas así como también la necesidad de cambiarlas periódicamente;
- Posibilitar a cada usuario la determinación de cuáles atributos serán enviados para cada servicio. Cuando eso no sea posible, informar a los usuarios cuáles atributos son enviados sin su consentimiento.
Administración
- Celar por la alta disponibilidad del IdP;
- Poseer un equipo técnicamente preparado para operar el IdP.
Operación
- Monitorizar el IdP a través del acompañamiento de logs (Sistema Operacional, Software SSO, Container de Aplicación, etc.);
- Mantener archivos de logs por el período mínimo de seis meses;
- Suministrar informaciones necesarias para la investigación de incidentes de seguridad;
- Mantener el reloj del servidor sincronizado con un servidor NTP;
- Monitorizar la validez de los certificados utilizados;
- Documentar las alteraciones realizadas en el servidor;
- Mantener el sistema operacional y los demás softwares actualizados, aplicando todas las alteraciones críticas;
- Actualizar el archivo de metadatos cada hora;
- Utilizar apenas los servidores oficiales de la CAFe como fuente de metadatos;
- Poseer un usuario con permiso apenas de lectura para consulta en la fuente de datos del IdP;
- Poseer servidores (físicos o virtuales) separados para cada aplicación (es decir: Shibboleth, EID, OpenLDAP, etc.);
- Mantener una copia de seguridad (backup) de las configuraciones del IdP;
- Seguir los itinerarios elaborados por el equipo de soporte de la Federación utilizando las aplicaciones sugeridas y soportadas.
| |
