TCS
Indice
Certificati personali e Grid
Per gli Enti che hanno aderito al nuovo servizio TCS erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a IDEM ed avere un Identity Provider incluso in federazione.
Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire:
- FriendlyName="eduPersonPrincipalName" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"
- FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241"
- FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3"
- FriendlyName="schacHomeOrganization" Name="urn:oid:1.3.6.1.4.1.25178.1.2.9" (corrispondente al campo "Attribute Value" già configurato nel Mapping del portale TCS)
- FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7"
- <saml:AttributeValue>urn:mace:terena.org:tcs:personal-user</saml:AttributeValue>
- <saml:AttributeValue>urn:mace:terena.org:tcs:escience-user</saml:AttributeValue>
Codice Esempio per Attribute Filter Shibboleth IdP v3.x
Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite il portale self-service via SAML devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = https://cert-manager.com/shibboleth
):
- eduPersonPrincipalName (urn:oid:1.3.6.1.4.1.5923.1.1.1.6)
- email (urn:oid:0.9.2342.19200300.100.1.3)
- displayName (urn:oid:2.16.840.1.113730.3.1.241)
- givenName (urn:oid:2.5.4.42)
- sn (urn:oid:2.5.4.4)
- cn (urn:oid:2.5.4.3)
- schacHomeOrganization (urn:oid:1.3.6.1.4.1.25178.1.2.9) con valore pari al "Academic code (SCHAC Home Organization)" impostato in SCM
- eduPersonEntitlement (urn:oid:1.3.6.1.4.1.5923.1.1.1.7) con valore
urn:mace:terena.org:tcs:personal-user
Di seguito un esempio di configurazione per Shibboleth Identity Provider >= 3.2.0:
<AttributeFilterPolicy id="GARR-TCS-4">
<PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="email">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="displayName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="givenName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="surname">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="commonName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="schacHomeOrganization">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonEntitlement">
<PermitValueRule xsi:type="ValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
</AttributeRule>
</AttributeFilterPolicy>
e un esempio di configurazione per Shibboleth Identity Provider < 3.2.0:
<AttributeFilterPolicy id="GARR-TCS-4">
<PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="email">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="displayName">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="givenName">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="surname">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="commonName">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="schacHomeOrganization">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonEntitlement">
<PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
</AttributeRule>
</AttributeFilterPolicy>
Per verificare il rilascio attributi al portale self-service SAML accedere, dopo l'autenticazione, a https://cert-manager.com/Shibboleth.sso/Session
Collegamenti Utili
- Richiesta di un Certificato Personale: https://cert-manager.com/customer/garr/idp/clientgeant