A Federação recomenda que seus participantes adotem as seguintes práticas:
Gestão de Identidade
  • Possuir procedimentos definidos para gerenciar usuários e seus atributos.
  • Informar os usuários sobre as boas práticas no que se refere a utilização e confidencialidade de senhas bem como a necessidade de trocá-las periodicamente.
  • Possibilitar a cada usuário a determinação de quais atributos serão enviados para cada serviço. Quando isso não for possível, informar aos usuários quais atributos são enviados sem o seu consentimento.
Gerenciamento
  • Zelar pela alta disponibilidade do IdP
  • Possuir equipe tecnicamente preparada para operar o IdP
Operação
  • Monitorar o IdP através do acompanhamento de logs (Sistema Operacional, Software SSO, Contêiner de Aplicação, etc.)
  • Manter arquivos de logs pelo período mínimo de seis meses
  • Fornecer informações necessárias para investigação de incidentes de segurança.
  • Manter o relógio do servidor sincronizado com um servidor NTP
  • Monitorar a validade dos certificados utilizados
  • Documentar alterações realizadas no servidor
  • Manter o sistema operacional e demais softwares atualizados, aplicando todas as alterações críticas
  • Atualizar o arquivo de metadados a cara hora
  • Utilizar apenas os servidores oficiais da CAFe como fonte de metadados
  • Possuir um usuário com permissão apenas de leitura para consulta na fonte de dados do IdP
  • Possuir servidores (físicos ou virtuais) separados para cada aplicação (e.g.: Shibboleth, EID, OpenLDAP, etc.)
  • Manter cópia de segurança (backup) das configurações do IdP
  • Seguir os roteiros elaborados pela equipe de suporte da Federação utilizando as aplicações sugeridas e suportadas