Rozdiely

Tu môžete vidieť rozdiely medzi vybranou verziou a aktuálnou verziou danej stránky.

--- attributes:services:tcspersonal [11. 03. 2021 14:34] – [TCS osobné certifikáty] jsilaci@umb.sk
+++ attributes:services:tcspersonal [26. 06. 2025 14:21] (aktuálne) – mstanislav@umb.sk
@@ Riadok 1: / Riadok 1: @@
-====== TCS osobné certifikáty ======
+====== Osobné certifikáty TCS ======
 ^ Názov služby | TCS - Trusted Certificate Service |
-^ Poskytovateľ | GÉANT / Sectigo |
+^ Poskytovateľ | GÉANT / HARICA |
+^ entityID | <nowiki>https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp</nowiki> |
 ^ Opis | Poskytovanie používateľských certifikátov pre podpisovanie mailov alebo autentifikáciu vo webových službách |
-^ Požadované atribúty |
+^ Požadované atribúty | [[attributes:mail|mail]], [[attributes:displayName|displayName]], [[attributes:cn|cn]], [[attributes:givenName|givenName]], [[attributes:sn|sn]], [[attributes:eduPersonPrincipalName|eduPersonPrincipalName]], [[attributes:schacHomeOrganization|schacHomeOrganization]], eduPersonEntitlement |
-<wrap>
- * [[attributes:mail|mail]]
- * [[attributes:displayName|displayName]]
- * [[attributes:cn|cn]]
- * [[attributes:givenName|givenName]]
- * [[attributes:sn|sn]]
- * [[attributes:eduPersonPrincipalName|eduPersonPrincipalName]]
- * [[attributes:schacHomeOrganization|schacHomeOrganization]]
- * eduPersonEntitlement</wrap> |
 Poznámky a detaily konfigurácie IdP Shibboleth týkajúce sa využívania GÉANT služby "Trusted Certificates Service" (TCS).
@@ Riadok 18: / Riadok 10: @@
 ===== entityID =====
-SAML služba, ktorej dodávateľom v kontexte TCS je od mája 2020 spoločnosť Sectigo, používa nasledovný globálne unikátny identitifikátor: https://cert-manager.com/shibboleth
+SAML služba, ktorej dodávateľom v kontexte TCS je od mája 2025 spoločnosť Harica, používa nasledovné globálne unikátne identitifikátory pre produkčnú, prípravnú a vývojársku inštanciu (v uvedenom poradí):
+\\
+''%%https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp%%''
+\\
+''%%https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp%%''
+\\
+''%%https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp%%''
+\\
-SAML služba je registrovaná v prostredí federácie inCommon, z ktorej je publikovaná ďalej prostredníctvom interfederácie eduGAIN. To znamená, že pre prístup k SAML službe musí člen lokálnej federacie identít jej prostredíctvom zároveň participovať aj v interfederácii eduGAIN.
+SAML služba je registrovaná v prostredí federácie GRNET, z ktorej je publikovaná ďalej prostredníctvom interfederácie eduGAIN. To znamená, že pre prístup k SAML službe musí člen lokálnej federacie identít jej prostredíctvom zároveň participovať aj v interfederácii eduGAIN.
 ===== Atribúty =====
@@ Riadok 28: / Riadok 27: @@
 ^ [[attributes:mail|mail]] | email adresa v rámci organizácie |
 ^ [[attributes:displayName|displayName]] | meno |
-^ [[attributes:cn|cn]] | meno, alternatívna náhrada za displayName |
 ^ [[attributes:givenName|givenName]] | krstné meno, alternatívna náhrada za displayName |
 ^ [[attributes:sn|sn]] | priezvisko, alternatívna náhrada za displayName |
@@ Riadok 35: / Riadok 33: @@
 ^ eduPersonEntitlement | (viď nižšie) |
+Samoobslužný portál služby je dostupný prostredníctvom URL https://cm.harica.gr/
 ==== eduPersonPrincipalName ====
@@ Riadok 45: / Riadok 44: @@
 ==== eduPersonEntitlement ====
-Prístup k službe TCS môže používateľ získať len v prípade že atribút eduPersonEntitlement nadobúda hodnotu:
+Prístup k službe TCS pre potreby vydávania klientskych IGTF certifikátov môže používateľ získať len v prípade že atribút eduPersonEntitlement nadobúda hodnotu:
 ''urn:mace:terena.org:tcs:personal-user''
@@ Riadok 62: / Riadok 61: @@
 <!-- Release to TCS portal -->
     <AttributeFilterPolicy id="TCSportal">
-        <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth" />
+        <PolicyRequirementRule xsi:type="OR">
+          <Rule xsi:type="Requester" value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp" />
+          <Rule xsi:type="Requester" value="https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp" />
+          <Rule xsi:type="Requester" value="https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp" />
+        </PolicyRequirementRule>
         <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" />
         <AttributeRule attributeID="displayName" permitAny="true" />
-        <AttributeRule attributeID="cn" permitAny="true" />
         <AttributeRule attributeID="givenName" permitAny="true" />
         <AttributeRule attributeID="sn" permitAny="true" />
@@ Riadok 75: / Riadok 77: @@
     </AttributeFilterPolicy>
 </code>
+Správnosť konfigurácie uvoľnovania atribútov je následne možné skontrolovať na testovacej stránke určenej pre jednotlivé inštancie služby, t.j. produkčnú, prípravnú a vývojársku inštanciu (v uvedenom poradí):\\
+https://cm.harica.gr/loginsaml/test.php
+\\
+https://cm-stg.harica.gr/loginsaml/test.php
+\\
+https://cm-dev.harica.gr/loginsaml/test.php