Differenze tra le versioni di "TCS"

Versione delle 10:01, 1 giu 2020

Indice

1 Certificati personali e Grid
2 Codice Esempio per Attribute Filter Shibboleth IdP v3.x
3 Collegamenti Utili

Certificati personali e Grid

Per gli Enti che hanno aderito al nuovo servizio TCS erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a IDEM ed avere un Identity Provider incluso in federazione.

Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire:

- FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
- FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241"
- FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3"
- FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" (corrispondente al campo "Attribute Value" già configurato nel Mapping del portale TCS)
- FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7"
  - <saml:AttributeValue>urn:mace:terena.org:tcs:personal-user</saml:AttributeValue>
  - <saml:AttributeValue>urn:mace:terena.org:tcs:escience-user</saml:AttributeValue>

Codice Esempio per Attribute Filter Shibboleth IdP v3.x

Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite il portale self-service via SAML devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = https://cert-manager.com/shibboleth):

eduPersonPrincipalName (urn:oid:1.3.6.1.4.1.5923.1.1.1.6)
email (urn:oid:0.9.2342.19200300.100.1.3)
displayName (urn:oid:2.16.840.1.113730.3.1.241)
givenName (urn:oid:2.5.4.42)
sn (urn:oid:2.5.4.4)
cn (urn:oid:2.5.4.3)
schacHomeOrganization (urn:oid:1.3.6.1.4.1.25178.1.2.9) con valore pari al "Academic code (SCHAC Home Organization)" impostato in SCM
eduPersonEntitlement (urn:oid:1.3.6.1.4.1.5923.1.1.1.7) con valore urn:mace:terena.org:tcs:personal-user

Di seguito un esempio di configurazione per Shibboleth Identity Provider >= 3.2.0:

<AttributeFilterPolicy id="GARR-TCS-4">
  <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/>
  <AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="commonName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="schacHomeOrganization">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="ValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
  </AttributeRule>
</AttributeFilterPolicy>

e un esempio di configurazione per Shibboleth Identity Provider < 3.2.0:

<AttributeFilterPolicy id="GARR-TCS-4">
  <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/>
  <AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="commonName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="schacHomeOrganization">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
  </AttributeRule>
</AttributeFilterPolicy>

Per verificare il rilascio attributi al portale self-service SAML accedere, dopo l'autenticazione, a https://cert-manager.com/Shibboleth.sso/Session

Collegamenti Utili

Richiesta di un Certificato Personale: https://cert-manager.com/customer/garr/idp/clientgeant

@@ Riga 1: / Riga 1: @@
 __TOC__
-==Certificati personali e Grid (valida fino al 30 Aprile 2020)==
+==Certificati personali e Grid==
 Per gli Enti che hanno aderito al nuovo servizio '''TCS''' erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a '''IDEM''' ed avere un '''Identity Provider''' incluso in federazione.
@@ Riga 6: / Riga 6: @@
 Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire:
-#Almeno un amministratore TCS (colui che possiede un account admin sul portale Digicert) deve aver assegnato il ruolo di '''SAML Admin'''
-#Acquisito il ruolo di SAML Admin (facilmente assegnabile da un Administrator TCS tramite Account/Manage Users/<selezione di un utente>/View/Edit User/<spunta "SAML Admin">/Save User) l'amministratore vedrà apparire nel menù principale la voce "'''SAML Organization Mapping'''"
-#Per creare un nuovo mapping usare il bottone "'''+ New Mapping'''" mentre per modificare un mapping esistente usare "'''Edit'''" su quel mapping. Il mapping è necessario per attivare il servizio di rilascio certificati personali con autenticazione federata via IDEM. Per portare a termine con successo l'operazione l'ente dovrà aver attivato un Identity Provider in IDEM.
-#Creando un nuovo mapping si mette in relazione il campo O del certificato, l'Identity Provider da usare per l'autenticazione e il valore dell'attributo SchacHomeOrganisation:
-#*Tutti gli Identity Provider già iscritti a IDEM appariranno nel menù a tendina Identity Provider
-#*Nel campo ''Organisation'' potrà essere selezionata solo una Organisation già validata.
-#*''Attribute Value'' richiede l'immissione di una stringa pari al valore dell'attributo SchacHomeOrganisation (alcuni esempi: "garr.it", "infn.it", "cnr.it")
-#L'ultimo passo è configurare l'idp per rilasciare al SP con entityID="https://www.digicert.com/sso" i seguenti attributi:
 #*FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
 #*FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241"
@@ Riga 23: / Riga 15: @@
 ==Codice Esempio per Attribute Filter Shibboleth IdP v3.x==
-<pre>
+Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite <u>il portale self-service via SAML</u> devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = <code><nowiki>https://cert-manager.com/shibboleth</nowiki></code>):
-<AttributeFilterPolicy id="https://www.digicert.com/sso">
-   <PolicyRequirementRule xsi:type="Requester" value="https://www.digicert.com/sso"/>
+*eduPersonPrincipalName (<nowiki>urn:oid:1.3.6.1.4.1.5923.1.1.1.6</nowiki>)
-   <AttributeRule attributeID="email">
+*email (<nowiki>urn:oid:0.9.2342.19200300.100.1.3</nowiki>)
-      <PermitValueRule xsi:type="ANY"/>
+*displayName (<nowiki>urn:oid:2.16.840.1.113730.3.1.241</nowiki>)
-   </AttributeRule>
+*givenName (<nowiki>urn:oid:2.5.4.42</nowiki>)
-   <AttributeRule attributeID="eduPersonEntitlement">
+*sn (<nowiki>urn:oid:2.5.4.4</nowiki>)
-      <PermitValueRule xsi:type="ANY"/>
+*cn (<nowiki>urn:oid:2.5.4.3</nowiki>)
-   </AttributeRule>
+*schacHomeOrganization (<nowiki>urn:oid:1.3.6.1.4.1.25178.1.2.9</nowiki>) con valore pari al "Academic code (SCHAC Home Organization)" impostato in SCM
-   <AttributeRule attributeID="eduPersonPrincipalName">
+*eduPersonEntitlement (<nowiki>urn:oid:1.3.6.1.4.1.5923.1.1.1.7</nowiki>) con valore <code><nowiki>urn:mace:terena.org:tcs:personal-user</nowiki></code>
-      <PermitValueRule xsi:type="ANY"/>
-   </AttributeRule>
+Di seguito un esempio di configurazione per Shibboleth Identity Provider >= 3.2.0:<syntaxhighlight lang="xml">
-   <AttributeRule attributeID="displayName">
+<AttributeFilterPolicy id="GARR-TCS-4">
-      <PermitValueRule xsi:type="ANY"/>
+  <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/>
-   </AttributeRule>
+  <AttributeRule attributeID="eduPersonPrincipalName">
-   <AttributeRule attributeID="schacHomeOrganization">
+    <PermitValueRule xsi:type="ANY"/>
-      <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
-   </AttributeRule>
+  <AttributeRule attributeID="email">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="displayName">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="givenName">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="surname">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="commonName">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="schacHomeOrganization">
+    <PermitValueRule xsi:type="ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="eduPersonEntitlement">
+    <PermitValueRule xsi:type="ValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
+  </AttributeRule>
+</AttributeFilterPolicy>
+</syntaxhighlight>e un esempio di configurazione per Shibboleth Identity Provider < 3.2.0:<syntaxhighlight lang="xml+kid">
+<AttributeFilterPolicy id="GARR-TCS-4">
+  <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/>
+  <AttributeRule attributeID="eduPersonPrincipalName">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="email">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="displayName">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="givenName">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="surname">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="commonName">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="schacHomeOrganization">
+    <PermitValueRule xsi:type="basic:ANY"/>
+  </AttributeRule>
+  <AttributeRule attributeID="eduPersonEntitlement">
+    <PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
+  </AttributeRule>
 </AttributeFilterPolicy>
-</pre>
+</syntaxhighlight>Per verificare il rilascio attributi al portale self-service SAML accedere, dopo l'autenticazione, a https://cert-manager.com/Shibboleth.sso/Session
 ==Collegamenti Utili==
-*<s>Richiesta di un Certificato Personale: https://www.digicert.com/sso</s>
+*Richiesta di un Certificato Personale: https://cert-manager.com/customer/garr/idp/clientgeant

Differenze tra le versioni di "TCS"

Versione delle 10:01, 1 giu 2020

Indice

Certificati personali e Grid

Codice Esempio per Attribute Filter Shibboleth IdP v3.x

Collegamenti Utili

Menu di navigazione

Strumenti personali

Namespace

Varianti

Visite

Altro

Ricerca

Navigazione

IDEM Wiki

IDEM Organi

GARR CS

Min Salute

Strumenti