Risorse
Versione del 24 set 2019 alle 16:41 di Vaghetti@garr.it (discussione | contributi)
TCS
Certificati personali e Grid - Risorsa https://www.digicert.com/sso
Per gli Enti che hanno aderito al nuovo servizio TCS erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a IDEM ed avere un Identity Provider incluso in federazione.
Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire:
- Almeno un amministratore TCS (colui che possiede un account admin sul portale Digicert) deve aver assegnato il ruolo di SAML Admin
- Acquisito il ruolo di SAML Admin (facilmente assegnabile da un Administrator TCS tramite Account/Manage Users/<selezione di un utente>/View/Edit User/<spunta "SAML Admin">/Save User) l'amministratore vedrà apparire nel menù principale la voce "SAML Organization Mapping"
- Per creare un nuovo mapping usare il bottone "+ New Mapping" mentre per modificare un mapping esistente usare "Edit" su quel mapping. Il mapping è necessario per attivare il servizio di rilascio certificati personali con autenticazione federata via IDEM. Per portare a termine con successo l'operazione l'ente dovrà aver attivato un Identity Provider in IDEM.
- Creando un nuovo mapping si mette in relazione il campo O del certificato, l'Identity Provider da usare per l'autenticazione e il valore dell'attributo SchacHomeOrganisation:
- Tutti gli Identity Provider già iscritti a IDEM appariranno nel menù a tendina Identity Provider
- Nel campo Organisation potrà essere selezionata solo una Organisation già validata.
- Attribute Value richiede l'immissione di una stringa pari al valore dell'attributo SchacHomeOrganisation (alcuni esempi: "garr.it", "infn.it", "cnr.it")
- L'ultimo passo è configurare l'idp per rilasciare al SP con entityID="https://www.digicert.com/sso" i seguenti attributi:
- FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
- FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241"
- FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3"
- FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" (corrispondente al campo "Attribute Value" già configurato nel Mapping del portale TCS)
- FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7"
- <saml:AttributeValue>urn:mace:terena.org:tcs:personal-user</saml:AttributeValue>
- <saml:AttributeValue>urn:mace:terena.org:tcs:escience-user</saml:AttributeValue>
Esempio per Shib idp v3
<AttributeFilterPolicy id="https://www.digicert.com/sso">
<PolicyRequirementRule xsi:type="Requester" value="https://www.digicert.com/sso"/>
<AttributeRule attributeID="email">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonEntitlement">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="displayName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="schacHomeOrganization">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
</AttributeFilterPolicy>
Consultare anche le guide per ulteriori casi di rilascio attributi: https://github.com/ConsortiumGARR/idem-tutorials#miscellaneous
Per richiedere un certificato personale: https://www.digicert.com/sso
