Differenze tra le versioni di "TCS"

Versione attuale delle 10:13, 1 giu 2020

Indice

1 Certificati personali e Grid (aggiornato a Maggio 2020)
- 1.1 Configurazioni
2 Configurazione SAML
3 Collegamenti Utili

Certificati personali e Grid (aggiornato a Maggio 2020)

Per gli Enti che hanno aderito al nuovo servizio TCS erogato da GEANT/Sectigo e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a IDEM ed avere un Identity Provider incluso in federazione.

Il portale per la richiesta self-service dei certificati personali (client certificate), personali IGTF (email e robot) è https://cert-manager.com/customer/garr/idp/clientgeant

L'accesso è possibile solo tramite autenticazione federata con IDEM e previa configurazione dell'Identity Provider istituzionale.

Configurazioni

Configurare la richiesta di certificati personali

L'Identity Provider deve rilasciare un determinato insieme di attributi al Service Provider Sectigo. Dettagli nella sezione Configurazione SAML
In SCM, selzionare Settings, Organizations, selezionare la propria organizzazione e premere il bottone [Edit]. Nella finestra di modifica editare il campo "Academic code (SCHAC Home Organization)" inserendoi il valore stabilito per l'attributo schacHomeOrganization rilasciato dall'Identity Provider. Generalmente coincide con il valore del dominio principale, o scope, ma conviene coordinarsi con l'idp manager.

Configurare anche la richiesta di certificati IGTF (grid)

In SCM modificare all'interno di Settings, Organizations, Edit il campo "Secondary Organization Name" prestando attenzione che contenga solo caratteri ASCII e che sia identico al campo O eventualmente usato in precedenza per i certificati grid con Digicert (in caso di dubbio consultare il portale Digicert per controllo). Dato che il subject dei certificati grid è usato come "username" è fondamentale che questo rimanga inalterato per non causare problemi di accesso alla grid per gli utenti.
Aprire un ticket a <garr-ca@garr.it> per chiedere agli amministratori MRAO di far partire la validazione del "Secondary Organization Name"

Configurazione SAML

Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite il portale self-service via SAML devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = https://cert-manager.com/shibboleth):

eduPersonPrincipalName (urn:oid:1.3.6.1.4.1.5923.1.1.1.6)
email (urn:oid:0.9.2342.19200300.100.1.3)
displayName (urn:oid:2.16.840.1.113730.3.1.241)
givenName (urn:oid:2.5.4.42)
sn (urn:oid:2.5.4.4)
cn (urn:oid:2.5.4.3)
schacHomeOrganization (urn:oid:1.3.6.1.4.1.25178.1.2.9) con valore pari al "Academic code (SCHAC Home Organization)" impostato in SCM
eduPersonEntitlement (urn:oid:1.3.6.1.4.1.5923.1.1.1.7) con valore urn:mace:terena.org:tcs:personal-user

Di seguito un esempio di configurazione per Shibboleth Identity Provider >= 3.2.0:

<AttributeFilterPolicy id="GARR-TCS-4">
  <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/>
  <AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="commonName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="schacHomeOrganization">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="ValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
  </AttributeRule>
</AttributeFilterPolicy>

e un esempio di configurazione per Shibboleth Identity Provider < 3.2.0:

<AttributeFilterPolicy id="GARR-TCS-4">
  <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/>
  <AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="commonName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="schacHomeOrganization">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
  </AttributeRule>
</AttributeFilterPolicy>

Per verificare il rilascio attributi al portale self-service SAML accedere, dopo l'autenticazione, a https://cert-manager.com/Shibboleth.sso/Session

Collegamenti Utili

Richiesta di un Certificato Personale: https://cert-manager.com/customer/garr/idp/clientgeant

@@ Riga 1: / Riga 1: @@
 __TOC__
-== Certificati personali e Grid ==
+==Certificati personali e Grid (aggiornato a Maggio 2020)==
-Per gli Enti che hanno aderito al nuovo servizio '''TCS''' erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a '''IDEM''' ed avere un '''Identity Provider''' incluso in federazione.
+Per gli Enti che hanno aderito al nuovo servizio '''TCS''' erogato da GEANT/Sectigo e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a '''IDEM''' ed avere un '''Identity Provider''' incluso in federazione.
-Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire:
+Il portale per la richiesta self-service dei certificati personali (client certificate), personali IGTF (email e robot) è https://cert-manager.com/customer/garr/idp/clientgeant
-#Almeno un amministratore TCS (colui che possiede un account admin sul portale Digicert) deve aver assegnato il ruolo di '''SAML Admin'''
+L'accesso è possibile solo tramite autenticazione federata con [https://www.idem.garr.it IDEM] e previa configurazione dell'Identity Provider istituzionale.
-#Acquisito il ruolo di SAML Admin (facilmente assegnabile da un Administrator TCS tramite Account/Manage Users/<selezione di un utente>/View/Edit User/<spunta "SAML Admin">/Save User) l'amministratore vedrà apparire nel menù principale la voce "'''SAML Organization Mapping'''"
-#Per creare un nuovo mapping usare il bottone "'''+ New Mapping'''" mentre per modificare un mapping esistente usare "'''Edit'''" su quel mapping. Il mapping è necessario per attivare il servizio di rilascio certificati personali con autenticazione federata via IDEM. Per portare a termine con successo l'operazione l'ente dovrà aver attivato un Identity Provider in IDEM.
-#Creando un nuovo mapping si mette in relazione il campo O del certificato, l'Identity Provider da usare per l'autenticazione e il valore dell'attributo SchacHomeOrganisation:
-#*Tutti gli Identity Provider già iscritti a IDEM appariranno nel menù a tendina Identity Provider
-#*Nel campo ''Organisation'' potrà essere selezionata solo una Organisation già validata.
-#*''Attribute Value'' richiede l'immissione di una stringa pari al valore dell'attributo SchacHomeOrganisation (alcuni esempi: "garr.it", "infn.it", "cnr.it")
-#L'ultimo passo è configurare l'idp per rilasciare al SP con entityID="https://www.digicert.com/sso" i seguenti attributi:
-#*FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
-#*FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241"
-#*FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3"
-#*FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" (corrispondente al campo "Attribute Value" già configurato nel Mapping del portale TCS)
-#*FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7"
-#**<saml:AttributeValue>urn:mace:terena.org:tcs:personal-user</saml:AttributeValue>
-#**<saml:AttributeValue>urn:mace:terena.org:tcs:escience-user</saml:AttributeValue>
-===Codice di Esempio per Attribute Filter Shibboleth IdP v3.x===
+===Configurazioni===
-<pre>
+<u>Configurare la richiesta di ''certificati personali''</u>
-<AttributeFilterPolicy id="https://www.digicert.com/sso">
-   <PolicyRequirementRule xsi:type="Requester" value="https://www.digicert.com/sso"/>
+*L'Identity Provider deve rilasciare un determinato insieme di attributi al Service Provider Sectigo. Dettagli nella sezione '''Configurazione SAML'''
-   <AttributeRule attributeID="email">
+*In SCM, selzionare ''Settings,'' ''Organizations,''  selezionare la propria organizzazione e premere il bottone [Edit]. Nella finestra di modifica editare il campo "Academic code (SCHAC Home Organization)" inserendoi il valore stabilito per l'attributo schacHomeOrganization rilasciato dall'Identity Provider. Generalmente coincide con il valore del dominio principale, o ''scope'', ma conviene coordinarsi con l'idp manager.
-      <PermitValueRule xsi:type="ANY"/>
-   </AttributeRule>
+<u>Configurare anche la richiesta di ''certificati IGTF (grid)''</u>
-   <AttributeRule attributeID="eduPersonEntitlement">
-      <PermitValueRule xsi:type="ANY"/>
+*In SCM modificare all'interno di ''Settings,'' ''Organizations, Edit'' il campo "Secondary Organization Name" prestando attenzione che contenga solo caratteri ASCII e che sia identico al campo O eventualmente usato in precedenza per i certificati grid con Digicert (in caso di dubbio consultare il portale Digicert per controllo). ''Dato che il subject dei certificati grid è usato come "username" è fondamentale che questo rimanga inalterato per non causare problemi di accesso alla grid per gli utenti.''
-   </AttributeRule>
+*Aprire un ticket a <[mailto:garr-ca@garr.it garr-ca@garr.it]> per chiedere agli amministratori MRAO di far partire la validazione del "Secondary Organization Name"
-   <AttributeRule attributeID="eduPersonPrincipalName">
-      <PermitValueRule xsi:type="ANY"/>
+== Configurazione SAML ==
-   </AttributeRule>
+Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite <u>il portale self-service via SAML</u> devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = <code><nowiki>https://cert-manager.com/shibboleth</nowiki></code>):
-   <AttributeRule attributeID="displayName">
-      <PermitValueRule xsi:type="ANY"/>
+*eduPersonPrincipalName (<nowiki>urn:oid:1.3.6.1.4.1.5923.1.1.1.6</nowiki>)
-   </AttributeRule>
+*email (<nowiki>urn:oid:0.9.2342.19200300.100.1.3</nowiki>)
-   <AttributeRule attributeID="schacHomeOrganization">
+*displayName (<nowiki>urn:oid:2.16.840.1.113730.3.1.241</nowiki>)
-      <PermitValueRule xsi:type="ANY"/>
+*givenName (<nowiki>urn:oid:2.5.4.42</nowiki>)
-   </AttributeRule>
+*sn (<nowiki>urn:oid:2.5.4.4</nowiki>)
+*cn (<nowiki>urn:oid:2.5.4.3</nowiki>)
+*schacHomeOrganization (<nowiki>urn:oid:1.3.6.1.4.1.25178.1.2.9</nowiki>) con valore pari al "Academic code (SCHAC Home Organization)" impostato in SCM
+*eduPersonEntitlement (<nowiki>urn:oid:1.3.6.1.4.1.5923.1.1.1.7</nowiki>) con valore <code><nowiki>urn:mace:terena.org:tcs:personal-user</nowiki></code>
+Di seguito un esempio di configurazione per '''Shibboleth Identity Provider >= 3.2.0''':<syntaxhighlight lang="xml">
+<AttributeFilterPolicy id="GARR-TCS-4">
+  <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/>
+  <AttributeRule attributeID="eduPersonPrincipalName">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="email">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="displayName">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="givenName">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="surname">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="commonName">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="schacHomeOrganization">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="eduPersonEntitlement">
+    <PermitValueRule xsi:type="ValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
+  </AttributeRule>
 </AttributeFilterPolicy>
-</pre>
+</syntaxhighlight>
+e un esempio di configurazione per '''Shibboleth Identity Provider < 3.2.0''':<syntaxhighlight lang="xml+kid">
+<AttributeFilterPolicy id="GARR-TCS-4">
+  <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/>
+  <AttributeRule attributeID="eduPersonPrincipalName">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="email">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="displayName">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="givenName">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="surname">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="commonName">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="schacHomeOrganization">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="eduPersonEntitlement">
+    <PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
+  </AttributeRule>
+</AttributeFilterPolicy>
+</syntaxhighlight>Per verificare il rilascio attributi al portale self-service SAML accedere, dopo l'autenticazione, a https://cert-manager.com/Shibboleth.sso/Session
+==Collegamenti Utili==
-=== Collegamenti Utili ===
+*Richiesta di un Certificato Personale: https://cert-manager.com/customer/garr/idp/clientgeant
-* Richiesta di un Certificato Personale: https://www.digicert.com/sso

Differenze tra le versioni di "TCS"

Versione attuale delle 10:13, 1 giu 2020

Indice

Certificati personali e Grid (aggiornato a Maggio 2020)

Configurazioni

Configurazione SAML

Collegamenti Utili

Menu di navigazione

Strumenti personali

Namespace

Varianti

Visite

Altro

Ricerca

Navigazione

IDEM Wiki

IDEM Organi

GARR CS

Min Salute

Strumenti