Share via Share via... Twitter LinkedIn Facebook Pinterest Telegram WhatsApp Yammer RedditPosledné úpravySend via e-MailPrintPermalink × Obsah Osobné certifikáty TCS entityID Atribúty eduPersonPrincipalName eduPersonEntitlement schacHomeOrganization Uvoľňovanie atribútov Osobné certifikáty TCS Názov služby TCS - Trusted Certificate Service Poskytovateľ GÉANT / Sectigo entityID https://cert-manager.com/shibboleth Opis Poskytovanie používateľských certifikátov pre podpisovanie mailov alebo autentifikáciu vo webových službách Požadované atribúty mail, displayName, cn, givenName, sn, eduPersonPrincipalName, schacHomeOrganization, eduPersonEntitlement Poznámky a detaily konfigurácie IdP Shibboleth týkajúce sa využívania GÉANT služby “Trusted Certificates Service” (TCS). entityID SAML služba, ktorej dodávateľom v kontexte TCS je od mája 2020 spoločnosť Sectigo, používa nasledovný globálne unikátny identitifikátor: https://cert-manager.com/shibboleth SAML služba je registrovaná v prostredí federácie inCommon, z ktorej je publikovaná ďalej prostredníctvom interfederácie eduGAIN. To znamená, že pre prístup k SAML službe musí člen lokálnej federacie identít jej prostredíctvom zároveň participovať aj v interfederácii eduGAIN. Atribúty Pri žiadaní o osobný ceritifikát potrebuje služba nasledovnú množinu atribútov: mail email adresa v rámci organizácie displayName meno cn meno, alternatívna náhrada za displayName givenName krstné meno, alternatívna náhrada za displayName sn priezvisko, alternatívna náhrada za displayName eduPersonPrincipalName (viď nižšie) schacHomeOrganization (viď nižšie) eduPersonEntitlement (viď nižšie) Samoobslužný portál služby je dostupný prostredníctvom URL https://cert-manager.com/customer/sanet/idp/clientgeant – viď TCS FAQ eduPersonPrincipalName Služba TCS špecificky pre svoje potreby sprísňuje definíciu eduPersonPrincipalName (ePPN) a v rámci používania služby v zásade nedovoľuje opätovné pridelenie existujúcej hodnoty atribútu ePPN inej osobe. Opätovné prideľovanie ePPN inej osobe býva všeobecne príkladom zlej praxe ale podľa špecifikácie eduPerson nie je vylučené. Obsah atribútu ePPN sa obvykle vytvára s pomocou lokálneho UserID, t.j. používateľského mena, ktoré slúži pri prihlasovaní a prístupe k službám. V prípade, že opätovné použitie UserID medzi osobami nie je v rámci organizácie vylúčené, nemalo by UserID služiť na generovanie obsahu atribútu eduPersonPrincipalName. Kedže TCS službe je informáciu potrebné doručiť prostredníctvom uvoľnenia hodnoty atribútu eduPersonPrincicalName, IdP musí (aspoň v prípade služby TCS) pri jeho tvorbe vychádzať z iného zdroja. Samozrejme, nie je vhodné odchýliť sa od sémantiky štandardizovaných a globálne používaných atribútov s cieľom sledovať vlastné potreby, ako k tomu došlo v prípade služby TCS a atribútu zo schémy eduPerson. Z dôvodov kompatibility so zavedenými službami sa tento atribút zatiaľ stále využíva. eduPersonEntitlement Prístup k službe TCS môže používateľ získať len v prípade že atribút eduPersonEntitlement nadobúda hodnotu: urn:mace:terena.org:tcs:personal-user Poskytovateľ identity tým o.i. deklaruje, že pri overovaní totožnosti osoby používateľa, odovzdávaní prihlasovacích údajov, atď. postupuje v súlade s pravidlami, ktoré sa pri pristúpení k službe zaviazal dodržovať. schacHomeOrganization Informácie o spôsobe tvorby atribútu schacHomeOrganization sú tu. Uvoľňovanie atribútov Konfigurácia uvoľňovania atribútov je súčaťou nastavení v súbore /opt/shibboleth-idp/conf/attribute-filter.xml: <!-- Release to TCS portal --> <AttributeFilterPolicy id="TCSportal"> <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth" /> <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> <AttributeRule attributeID="displayName" permitAny="true" /> <AttributeRule attributeID="cn" permitAny="true" /> <AttributeRule attributeID="givenName" permitAny="true" /> <AttributeRule attributeID="sn" permitAny="true" /> <AttributeRule attributeID="mail" permitAny="true" /> <AttributeRule attributeID="schacHomeOrganization" permitAny="true" /> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="Value" value="urn:mace:terena.org:tcs:personal-user" /> </AttributeRule> </AttributeFilterPolicy> Správnosť konfigurácie uvoľnovania atribútov je následne možné skontrolovať – viď TCS FAQ attributes/services/tcspersonal Posledná úprava: 16. 03. 2021 09:02 Prihlásiť sa