Differenze tra le versioni di "Risorse"
| Riga 1: | Riga 1: | ||
| + | Le risorse federate disponibili alle istituzioni membre della Federazione IDEM ed eduGAIN possono essere di 2 tipi: | ||
| + | |||
| + | # '''Risorse registrate nella Federazione IDEM''' | ||
| + | # '''Risorse registrate nell'interfederazione eduGAIN''' | ||
| + | |||
| + | |||
| + | Per soddisfare la richiesta di attributi da parte delle risorse registrate nella Federazione IDEM, il Servizio IDEM GARR AAI si avvale delle Entity Category ([[EntityAttribute]]) e condivide con i propri membri dei file di configurazione specifici per gli IdP (Shibboleth / SimpleSAMLphp) attraverso la pagina: | ||
| + | |||
| + | * [[RilascioAttributi]] | ||
| + | |||
| + | |||
| + | Per le risorse registrate nell'interfederazione eduGAIN non esistono file di configurazione utilizzabili per rilasciare '''tutti''' gli attributi richiesti dalle risorse. | ||
| + | |||
| + | Il Servizio IDEM GARR AAI suggerisce caldamente l'utilizzo delle Entity Category per le risorse che le supportano e l'utilizzo di filtri puntuali per quelle che non le utilizzano (es.: DigiCert) | ||
| + | |||
| + | |||
| + | Per le risorse di interesse in eduGAIN che non supportano le Entity Category, il Servizio IDEM GARR AAI raccoglie le loro configurazioni nel seguente elenco condiviso: | ||
| + | |||
| + | * GÉANT Trusted Certificate Service (TCS) | ||
| + | |||
| + | |||
===Risorse eduGAIN=== | ===Risorse eduGAIN=== | ||
Versione delle 12:20, 4 dic 2019
Le risorse federate disponibili alle istituzioni membre della Federazione IDEM ed eduGAIN possono essere di 2 tipi:
- Risorse registrate nella Federazione IDEM
- Risorse registrate nell'interfederazione eduGAIN
Per soddisfare la richiesta di attributi da parte delle risorse registrate nella Federazione IDEM, il Servizio IDEM GARR AAI si avvale delle Entity Category (EntityAttribute) e condivide con i propri membri dei file di configurazione specifici per gli IdP (Shibboleth / SimpleSAMLphp) attraverso la pagina:
Per le risorse registrate nell'interfederazione eduGAIN non esistono file di configurazione utilizzabili per rilasciare tutti gli attributi richiesti dalle risorse.
Il Servizio IDEM GARR AAI suggerisce caldamente l'utilizzo delle Entity Category per le risorse che le supportano e l'utilizzo di filtri puntuali per quelle che non le utilizzano (es.: DigiCert)
Per le risorse di interesse in eduGAIN che non supportano le Entity Category, il Servizio IDEM GARR AAI raccoglie le loro configurazioni nel seguente elenco condiviso:
- GÉANT Trusted Certificate Service (TCS)
Indice
Risorse eduGAIN
Servizio TCS
Certificati personali e Grid - Risorsa https://www.digicert.com/sso
Per gli Enti che hanno aderito al nuovo servizio TCS erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a IDEM ed avere un Identity Provider incluso in federazione.
Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire:
- Almeno un amministratore TCS (colui che possiede un account admin sul portale Digicert) deve aver assegnato il ruolo di SAML Admin
- Acquisito il ruolo di SAML Admin (facilmente assegnabile da un Administrator TCS tramite Account/Manage Users/<selezione di un utente>/View/Edit User/<spunta "SAML Admin">/Save User) l'amministratore vedrà apparire nel menù principale la voce "SAML Organization Mapping"
- Per creare un nuovo mapping usare il bottone "+ New Mapping" mentre per modificare un mapping esistente usare "Edit" su quel mapping. Il mapping è necessario per attivare il servizio di rilascio certificati personali con autenticazione federata via IDEM. Per portare a termine con successo l'operazione l'ente dovrà aver attivato un Identity Provider in IDEM.
- Creando un nuovo mapping si mette in relazione il campo O del certificato, l'Identity Provider da usare per l'autenticazione e il valore dell'attributo SchacHomeOrganisation:
- Tutti gli Identity Provider già iscritti a IDEM appariranno nel menù a tendina Identity Provider
- Nel campo Organisation potrà essere selezionata solo una Organisation già validata.
- Attribute Value richiede l'immissione di una stringa pari al valore dell'attributo SchacHomeOrganisation (alcuni esempi: "garr.it", "infn.it", "cnr.it")
- L'ultimo passo è configurare l'idp per rilasciare al SP con entityID="https://www.digicert.com/sso" i seguenti attributi:
- FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
- FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241"
- FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3"
- FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" (corrispondente al campo "Attribute Value" già configurato nel Mapping del portale TCS)
- FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7"
- <saml:AttributeValue>urn:mace:terena.org:tcs:personal-user</saml:AttributeValue>
- <saml:AttributeValue>urn:mace:terena.org:tcs:escience-user</saml:AttributeValue>
Esempio per Shib idp v3
<AttributeFilterPolicy id="https://www.digicert.com/sso">
<PolicyRequirementRule xsi:type="Requester" value="https://www.digicert.com/sso"/>
<AttributeRule attributeID="email">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonEntitlement">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="displayName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="schacHomeOrganization">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
</AttributeFilterPolicy>
Consultare anche le guide per ulteriori casi di rilascio attributi: https://github.com/ConsortiumGARR/idem-tutorials#miscellaneous
Per richiedere un certificato personale: https://www.digicert.com/sso
