| Obojstranná predošlá revízia Predchádzajúca revízia Nasledujúca revízia | Predchádzajúca revízia |
| attributes:services:tcspersonal [11. 03. 2021 15:46] – [entityID] mstanislav@umb.sk | attributes:services:tcspersonal [26. 06. 2025 14:21] (aktuálne) – mstanislav@umb.sk |
|---|
| ====== Osobné certifikáty TCS ====== | ====== Osobné certifikáty TCS ====== |
| ^ Názov služby | TCS - Trusted Certificate Service | | ^ Názov služby | TCS - Trusted Certificate Service | |
| ^ Poskytovateľ | GÉANT / Sectigo | | ^ Poskytovateľ | GÉANT / HARICA | |
| ^ entityID | <nowiki>https://cert-manager.com/shibboleth</nowiki> | | ^ entityID | <nowiki>https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp</nowiki> | |
| ^ Opis | Poskytovanie používateľských certifikátov pre podpisovanie mailov alebo autentifikáciu vo webových službách | | ^ Opis | Poskytovanie používateľských certifikátov pre podpisovanie mailov alebo autentifikáciu vo webových službách | |
| ^ Požadované atribúty | [[attributes:mail|mail]], [[attributes:displayName|displayName]], [[attributes:cn|cn]], [[attributes:givenName|givenName]], [[attributes:sn|sn]], [[attributes:eduPersonPrincipalName|eduPersonPrincipalName]], [[attributes:schacHomeOrganization|schacHomeOrganization]], eduPersonEntitlement | | ^ Požadované atribúty | [[attributes:mail|mail]], [[attributes:displayName|displayName]], [[attributes:cn|cn]], [[attributes:givenName|givenName]], [[attributes:sn|sn]], [[attributes:eduPersonPrincipalName|eduPersonPrincipalName]], [[attributes:schacHomeOrganization|schacHomeOrganization]], eduPersonEntitlement | |
| ===== entityID ===== | ===== entityID ===== |
| |
| SAML služba, ktorej dodávateľom v kontexte TCS je od mája 2020 spoločnosť Sectigo, používa nasledovný globálne unikátny identitifikátor: <nowiki>https://cert-manager.com/shibboleth</nowiki> | SAML služba, ktorej dodávateľom v kontexte TCS je od mája 2025 spoločnosť Harica, používa nasledovné globálne unikátne identitifikátory pre produkčnú, prípravnú a vývojársku inštanciu (v uvedenom poradí): |
| | \\ |
| | ''%%https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp%%'' |
| | \\ |
| | ''%%https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp%%'' |
| | \\ |
| | ''%%https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp%%'' |
| | \\ |
| |
| SAML služba je registrovaná v prostredí federácie inCommon, z ktorej je publikovaná ďalej prostredníctvom interfederácie eduGAIN. To znamená, že pre prístup k SAML službe musí člen lokálnej federacie identít jej prostredíctvom zároveň participovať aj v interfederácii eduGAIN. | SAML služba je registrovaná v prostredí federácie GRNET, z ktorej je publikovaná ďalej prostredníctvom interfederácie eduGAIN. To znamená, že pre prístup k SAML službe musí člen lokálnej federacie identít jej prostredíctvom zároveň participovať aj v interfederácii eduGAIN. |
| |
| ===== Atribúty ===== | ===== Atribúty ===== |
| ^ [[attributes:mail|mail]] | email adresa v rámci organizácie | | ^ [[attributes:mail|mail]] | email adresa v rámci organizácie | |
| ^ [[attributes:displayName|displayName]] | meno | | ^ [[attributes:displayName|displayName]] | meno | |
| ^ [[attributes:cn|cn]] | meno, alternatívna náhrada za displayName | | |
| ^ [[attributes:givenName|givenName]] | krstné meno, alternatívna náhrada za displayName | | ^ [[attributes:givenName|givenName]] | krstné meno, alternatívna náhrada za displayName | |
| ^ [[attributes:sn|sn]] | priezvisko, alternatívna náhrada za displayName | | ^ [[attributes:sn|sn]] | priezvisko, alternatívna náhrada za displayName | |
| ^ eduPersonEntitlement | (viď nižšie) | | ^ eduPersonEntitlement | (viď nižšie) | |
| |
| | Samoobslužný portál služby je dostupný prostredníctvom URL https://cm.harica.gr/ |
| ==== eduPersonPrincipalName ==== | ==== eduPersonPrincipalName ==== |
| |
| ==== eduPersonEntitlement ==== | ==== eduPersonEntitlement ==== |
| |
| Prístup k službe TCS môže používateľ získať len v prípade že atribút eduPersonEntitlement nadobúda hodnotu: | Prístup k službe TCS pre potreby vydávania klientskych IGTF certifikátov môže používateľ získať len v prípade že atribút eduPersonEntitlement nadobúda hodnotu: |
| |
| ''urn:mace:terena.org:tcs:personal-user'' | ''urn:mace:terena.org:tcs:personal-user'' |
| <!-- Release to TCS portal --> | <!-- Release to TCS portal --> |
| <AttributeFilterPolicy id="TCSportal"> | <AttributeFilterPolicy id="TCSportal"> |
| <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth" /> | <PolicyRequirementRule xsi:type="OR"> |
| | <Rule xsi:type="Requester" value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp" /> |
| | <Rule xsi:type="Requester" value="https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp" /> |
| | <Rule xsi:type="Requester" value="https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp" /> |
| | </PolicyRequirementRule> |
| <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> | <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> |
| <AttributeRule attributeID="displayName" permitAny="true" /> | <AttributeRule attributeID="displayName" permitAny="true" /> |
| <AttributeRule attributeID="cn" permitAny="true" /> | |
| <AttributeRule attributeID="givenName" permitAny="true" /> | <AttributeRule attributeID="givenName" permitAny="true" /> |
| <AttributeRule attributeID="sn" permitAny="true" /> | <AttributeRule attributeID="sn" permitAny="true" /> |
| </AttributeFilterPolicy> | </AttributeFilterPolicy> |
| </code> | </code> |
| | |
| | Správnosť konfigurácie uvoľnovania atribútov je následne možné skontrolovať na testovacej stránke určenej pre jednotlivé inštancie služby, t.j. produkčnú, prípravnú a vývojársku inštanciu (v uvedenom poradí):\\ |
| | https://cm.harica.gr/loginsaml/test.php |
| | \\ |
| | https://cm-stg.harica.gr/loginsaml/test.php |
| | \\ |
| | https://cm-dev.harica.gr/loginsaml/test.php |