Differenze tra le versioni di "Risorse"
Jump to navigation
Jump to search
Riga 1: | Riga 1: | ||
− | == Certificati personali e Grid - Risorsa https://www.digicert.com/sso == | + | == TCS == |
+ | |||
+ | ===Certificati personali e Grid - Risorsa https://www.digicert.com/sso<nowiki/>=== | ||
Per gli Enti che hanno aderito al nuovo servizio '''TCS''' erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. | Per gli Enti che hanno aderito al nuovo servizio '''TCS''' erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. | ||
Riga 6: | Riga 8: | ||
Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire: | Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire: | ||
− | # Almeno un amministratore TCS (colui che possiede un account admin sul portale Digicert) deve aver assegnato il ruolo di '''SAML Admin''' | + | #Almeno un amministratore TCS (colui che possiede un account admin sul portale Digicert) deve aver assegnato il ruolo di '''SAML Admin''' |
− | # Acquisito il ruolo di SAML Admin (facilmente assegnabile da un Administrator TCS tramite Account/Manage Users/<selezione di un utente>/View/Edit User/<spunta "SAML Admin">/Save User) l'amministratore vedrà apparire nel menù principale la voce "'''SAML Organization Mapping'''" | + | #Acquisito il ruolo di SAML Admin (facilmente assegnabile da un Administrator TCS tramite Account/Manage Users/<selezione di un utente>/View/Edit User/<spunta "SAML Admin">/Save User) l'amministratore vedrà apparire nel menù principale la voce "'''SAML Organization Mapping'''" |
− | # Per creare un nuovo mapping usare il bottone "'''+ New Mapping'''" mentre per modificare un mapping esistente usare "'''Edit'''" su quel mapping. Il mapping è necessario per attivare il servizio di rilascio certificati personali con autenticazione federata via IDEM. Per portare a termine con successo l'operazione l'ente dovrà aver attivato un Identity Provider in IDEM. | + | #Per creare un nuovo mapping usare il bottone "'''+ New Mapping'''" mentre per modificare un mapping esistente usare "'''Edit'''" su quel mapping. Il mapping è necessario per attivare il servizio di rilascio certificati personali con autenticazione federata via IDEM. Per portare a termine con successo l'operazione l'ente dovrà aver attivato un Identity Provider in IDEM. |
− | # Creando un nuovo mapping si mette in relazione il campo O del certificato, l'Identity Provider da usare per l'autenticazione e il valore dell'attributo SchacHomeOrganisation: | + | #Creando un nuovo mapping si mette in relazione il campo O del certificato, l'Identity Provider da usare per l'autenticazione e il valore dell'attributo SchacHomeOrganisation: |
− | #* Tutti gli Identity Provider già iscritti a IDEM appariranno nel menù a tendina Identity Provider | + | #*Tutti gli Identity Provider già iscritti a IDEM appariranno nel menù a tendina Identity Provider |
− | #* Nel campo ''Organisation'' potrà essere selezionata solo una Organisation già validata. | + | #*Nel campo ''Organisation'' potrà essere selezionata solo una Organisation già validata. |
− | #* ''Attribute Value'' richiede l'immissione di una stringa pari al valore dell'attributo SchacHomeOrganisation (alcuni esempi: "garr.it", "infn.it", "cnr.it") | + | #*''Attribute Value'' richiede l'immissione di una stringa pari al valore dell'attributo SchacHomeOrganisation (alcuni esempi: "garr.it", "infn.it", "cnr.it") |
− | # L'ultimo passo è configurare l'idp per rilasciare al SP con entityID="https://www.digicert.com/sso" i seguenti attributi: | + | #L'ultimo passo è configurare l'idp per rilasciare al SP con entityID="https://www.digicert.com/sso" i seguenti attributi: |
− | #* FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" | + | #*FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" |
− | #* FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" | + | #*FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" |
− | #* FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" | + | #*FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" |
− | #* FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" (corrispondente al campo "Attribute Value" già configurato nel Mapping del portale TCS) | + | #*FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" (corrispondente al campo "Attribute Value" già configurato nel Mapping del portale TCS) |
− | #* FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" | + | #*FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" |
#**<saml:AttributeValue>urn:mace:terena.org:tcs:personal-user</saml:AttributeValue> | #**<saml:AttributeValue>urn:mace:terena.org:tcs:personal-user</saml:AttributeValue> | ||
#**<saml:AttributeValue>urn:mace:terena.org:tcs:escience-user</saml:AttributeValue> | #**<saml:AttributeValue>urn:mace:terena.org:tcs:escience-user</saml:AttributeValue> | ||
− | ===== Esempio per Shib idp v3 ===== | + | =====Esempio per Shib idp v3===== |
<pre> | <pre> |
Versione delle 16:41, 24 set 2019
TCS
Certificati personali e Grid - Risorsa https://www.digicert.com/sso
Per gli Enti che hanno aderito al nuovo servizio TCS erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a IDEM ed avere un Identity Provider incluso in federazione.
Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire:
- Almeno un amministratore TCS (colui che possiede un account admin sul portale Digicert) deve aver assegnato il ruolo di SAML Admin
- Acquisito il ruolo di SAML Admin (facilmente assegnabile da un Administrator TCS tramite Account/Manage Users/<selezione di un utente>/View/Edit User/<spunta "SAML Admin">/Save User) l'amministratore vedrà apparire nel menù principale la voce "SAML Organization Mapping"
- Per creare un nuovo mapping usare il bottone "+ New Mapping" mentre per modificare un mapping esistente usare "Edit" su quel mapping. Il mapping è necessario per attivare il servizio di rilascio certificati personali con autenticazione federata via IDEM. Per portare a termine con successo l'operazione l'ente dovrà aver attivato un Identity Provider in IDEM.
- Creando un nuovo mapping si mette in relazione il campo O del certificato, l'Identity Provider da usare per l'autenticazione e il valore dell'attributo SchacHomeOrganisation:
- Tutti gli Identity Provider già iscritti a IDEM appariranno nel menù a tendina Identity Provider
- Nel campo Organisation potrà essere selezionata solo una Organisation già validata.
- Attribute Value richiede l'immissione di una stringa pari al valore dell'attributo SchacHomeOrganisation (alcuni esempi: "garr.it", "infn.it", "cnr.it")
- L'ultimo passo è configurare l'idp per rilasciare al SP con entityID="https://www.digicert.com/sso" i seguenti attributi:
- FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
- FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241"
- FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3"
- FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" (corrispondente al campo "Attribute Value" già configurato nel Mapping del portale TCS)
- FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7"
- <saml:AttributeValue>urn:mace:terena.org:tcs:personal-user</saml:AttributeValue>
- <saml:AttributeValue>urn:mace:terena.org:tcs:escience-user</saml:AttributeValue>
Esempio per Shib idp v3
<AttributeFilterPolicy id="https://www.digicert.com/sso"> <PolicyRequirementRule xsi:type="Requester" value="https://www.digicert.com/sso"/> <AttributeRule attributeID="email"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <AttributeRule attributeID="eduPersonPrincipalName"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <AttributeRule attributeID="displayName"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> <AttributeRule attributeID="schacHomeOrganization"> <PermitValueRule xsi:type="ANY"/> </AttributeRule> </AttributeFilterPolicy>
Consultare anche le guide per ulteriori casi di rilascio attributi: https://github.com/ConsortiumGARR/idem-tutorials#miscellaneous
Per richiedere un certificato personale: https://www.digicert.com/sso