Osobné certifikáty TCS

Poznámky a detaily konfigurácie IdP Shibboleth týkajúce sa využívania GÉANT služby “Trusted Certificates Service” (TCS).

SAML služba, ktorej dodávateľom v kontexte TCS je od mája 2020 spoločnosť Sectigo, používa nasledovný globálne unikátny identitifikátor:
https://cert-manager.com/shibboleth

SAML služba je registrovaná v prostredí federácie inCommon, z ktorej je publikovaná ďalej prostredníctvom interfederácie eduGAIN. To znamená, že pre prístup k SAML službe musí člen lokálnej federacie identít jej prostredíctvom zároveň participovať aj v interfederácii eduGAIN.

Pri žiadaní o osobný ceritifikát potrebuje služba nasledovnú množinu atribútov:

Samoobslužný portál služby je dostupný prostredníctvom URL https://cert-manager.com/customer/sanet/idp/clientgeant – viď TCS FAQ

Služba TCS špecificky pre svoje potreby sprísňuje definíciu eduPersonPrincipalName (ePPN) a v rámci používania služby v zásade nedovoľuje opätovné pridelenie existujúcej hodnoty atribútu ePPN inej osobe. Opätovné prideľovanie ePPN inej osobe býva všeobecne príkladom zlej praxe ale podľa špecifikácie eduPerson nie je vylučené.

Obsah atribútu ePPN sa obvykle vytvára s pomocou lokálneho UserID, t.j. používateľského mena, ktoré slúži pri prihlasovaní a prístupe k službám. V prípade, že opätovné použitie UserID medzi osobami nie je v rámci organizácie vylúčené, nemalo by UserID služiť na generovanie obsahu atribútu eduPersonPrincipalName. Kedže TCS službe je informáciu potrebné doručiť prostredníctvom uvoľnenia hodnoty atribútu eduPersonPrincicalName, IdP musí (aspoň v prípade služby TCS) pri jeho tvorbe vychádzať z iného zdroja.

Samozrejme, nie je vhodné odchýliť sa od sémantiky štandardizovaných a globálne používaných atribútov s cieľom sledovať vlastné potreby, ako k tomu došlo v prípade služby TCS a atribútu zo schémy eduPerson. Z dôvodov kompatibility so zavedenými službami sa tento atribút zatiaľ stále využíva.

Prístup k službe TCS môže používateľ získať len v prípade že atribút eduPersonEntitlement nadobúda hodnotu:

urn:mace:terena.org:tcs:personal-user

Poskytovateľ identity tým o.i. deklaruje, že pri overovaní totožnosti osoby používateľa, odovzdávaní prihlasovacích údajov, atď. postupuje v súlade s pravidlami, ktoré sa pri pristúpení k službe zaviazal dodržovať.

Informácie o spôsobe tvorby atribútu schacHomeOrganization sú tu.

Konfigurácia uvoľňovania atribútov je súčaťou nastavení v súbore /opt/shibboleth-idp/conf/attribute-filter.xml:

<!-- Release to TCS portal -->
    <AttributeFilterPolicy id="TCSportal">
        <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth" />
        <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" />
        <AttributeRule attributeID="displayName" permitAny="true" />
        <AttributeRule attributeID="cn" permitAny="true" />
        <AttributeRule attributeID="givenName" permitAny="true" />
        <AttributeRule attributeID="sn" permitAny="true" />
        <AttributeRule attributeID="mail" permitAny="true" />
        <AttributeRule attributeID="schacHomeOrganization" permitAny="true" />
        <AttributeRule attributeID="eduPersonEntitlement">
            <PermitValueRule xsi:type="Value" value="urn:mace:terena.org:tcs:personal-user" />
        </AttributeRule>
    </AttributeFilterPolicy>

Správnosť konfigurácie uvoľnovania atribútov je následne možné skontrolovať – viď TCS FAQ