Differenze tra le versioni di "Risorse"

Da WIKI IDEM GARR.
Jump to navigation Jump to search
 
(8 versioni intermedie di 2 utenti non mostrate)
Riga 1: Riga 1:
== TCS ==
+
__TOC__
  
===Certificati personali e Grid -  Risorsa https://www.digicert.com/sso<nowiki/>===
+
===Introduzione===
 +
Le risorse federate disponibili ai membri della Federazione IDEM possono essere di 2 tipi:
  
Per gli Enti che hanno aderito al nuovo servizio '''TCS''' erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID.
+
#'''Risorse registrate nella Federazione IDEM,  https://idem.garr.it/partecipare/risorse-idem'''
Condizione necessaria per fruire dei due servizi è di aver aderito a '''IDEM''' ed avere un '''Identity Provider''' incluso in federazione.
+
#'''Risorse registrate nell'interfederazione eduGAIN;'''
  
Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire:
+
Per soddisfare la richiesta di attributi da parte delle risorse registrate nella Federazione IDEM, il Servizio IDEM GARR AAI si avvale delle [[EntityAttribute|Entity Category]] e condivide con i propri membri dei file di configurazione specifici per gli IdP, vedi [[RilascioAttributi]].
  
#Almeno un amministratore TCS (colui che possiede un account admin sul portale Digicert) deve aver assegnato il ruolo di '''SAML Admin'''
+
Per le risorse registrate nell'interfederazione eduGAIN non esistono file di configurazione utilizzabili per rilasciare '''tutti''' gli attributi richiesti dalle stesse in modo puntuale.  
#Acquisito il ruolo di SAML Admin (facilmente assegnabile da un Administrator TCS tramite Account/Manage Users/<selezione di un utente>/View/Edit User/<spunta "SAML Admin">/Save User) l'amministratore vedrà apparire nel menù principale la voce "'''SAML Organization Mapping'''"
 
#Per creare un nuovo mapping usare il bottone "'''+ New Mapping'''" mentre per modificare un mapping esistente usare "'''Edit'''" su quel mapping. Il mapping è necessario per attivare il servizio di rilascio certificati personali con autenticazione federata via IDEM. Per portare a termine con successo l'operazione l'ente dovrà aver attivato un Identity Provider in IDEM.
 
#Creando un nuovo mapping si mette in relazione il campo O del certificato, l'Identity Provider da usare per l'autenticazione e il valore dell'attributo SchacHomeOrganisation:
 
#*Tutti gli Identity Provider già iscritti a IDEM appariranno nel menù a tendina Identity Provider
 
#*Nel campo ''Organisation'' potrà essere selezionata solo una Organisation già validata.
 
#*''Attribute Value'' richiede l'immissione di una stringa pari al valore dell'attributo SchacHomeOrganisation (alcuni esempi: "garr.it", "infn.it", "cnr.it")
 
#L'ultimo passo è configurare l'idp per rilasciare al SP con entityID="https://www.digicert.com/sso" i seguenti attributi:
 
#*FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
 
#*FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241"
 
#*FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3"
 
#*FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" (corrispondente al campo "Attribute Value" già configurato nel Mapping del portale TCS)
 
#*FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7"
 
#**<saml:AttributeValue>urn:mace:terena.org:tcs:personal-user</saml:AttributeValue>
 
#**<saml:AttributeValue>urn:mace:terena.org:tcs:escience-user</saml:AttributeValue>
 
  
=====Esempio per Shib idp v3=====
+
Il Servizio IDEM GARR AAI suggerisce caldamente l'utilizzo delle [[EntityAttribute|Entity Category]] per le risorse eduGAIN che le supportano e l'utilizzo di filtri adeguati per quelle che non le supportano ancora (es.: DigiCert).
  
<pre>
+
===Configurazione e attivazione risorse===
<AttributeFilterPolicy id="https://www.digicert.com/sso">
 
  <PolicyRequirementRule xsi:type="Requester" value="https://www.digicert.com/sso"/>
 
  <AttributeRule attributeID="email">
 
      <PermitValueRule xsi:type="ANY"/>
 
  </AttributeRule>
 
  <AttributeRule attributeID="eduPersonEntitlement">
 
      <PermitValueRule xsi:type="ANY"/>
 
  </AttributeRule>
 
  <AttributeRule attributeID="eduPersonPrincipalName">
 
      <PermitValueRule xsi:type="ANY"/>
 
  </AttributeRule>
 
  <AttributeRule attributeID="displayName">
 
      <PermitValueRule xsi:type="ANY"/>
 
  </AttributeRule>
 
  <AttributeRule attributeID="schacHomeOrganization">
 
      <PermitValueRule xsi:type="ANY"/>
 
  </AttributeRule>
 
</AttributeFilterPolicy>
 
</pre>
 
  
'''Consultare anche le guide per ulteriori casi di rilascio attributi:''' https://github.com/ConsortiumGARR/idem-tutorials#miscellaneous
+
*Risorse editoriali: [[Configurazioni Risorse Editoriali]]
  
'''Per richiedere un certificato personale:''' https://www.digicert.com/sso
+
*[[TCS|GÉANT Trusted Certificate Service (TCS)]]

Versione attuale delle 10:36, 31 ago 2021

Introduzione

Le risorse federate disponibili ai membri della Federazione IDEM possono essere di 2 tipi:

  1. Risorse registrate nella Federazione IDEM, https://idem.garr.it/partecipare/risorse-idem
  2. Risorse registrate nell'interfederazione eduGAIN;

Per soddisfare la richiesta di attributi da parte delle risorse registrate nella Federazione IDEM, il Servizio IDEM GARR AAI si avvale delle Entity Category e condivide con i propri membri dei file di configurazione specifici per gli IdP, vedi RilascioAttributi.

Per le risorse registrate nell'interfederazione eduGAIN non esistono file di configurazione utilizzabili per rilasciare tutti gli attributi richiesti dalle stesse in modo puntuale.

Il Servizio IDEM GARR AAI suggerisce caldamente l'utilizzo delle Entity Category per le risorse eduGAIN che le supportano e l'utilizzo di filtri adeguati per quelle che non le supportano ancora (es.: DigiCert).

Configurazione e attivazione risorse

Estratto da "https://wiki.idem.garr.it/w/index.php?title=Risorse&oldid=10331"