TCS

Da WIKI IDEM GARR.
Jump to navigation Jump to search

Certificati personali e Grid

Per gli Enti che hanno aderito al nuovo servizio TCS erogato da GEANT/Digicert e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a IDEM ed avere un Identity Provider incluso in federazione.

Se tutte le suddette condizioni sono rispettate ecco in breve i passi da seguire:

Codice Esempio per Attribute Filter Shibboleth IdP v3.x

Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite il portale self-service via SAML devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = https://cert-manager.com/shibboleth):

  • eduPersonPrincipalName (urn:oid:1.3.6.1.4.1.5923.1.1.1.6)
  • email (urn:oid:0.9.2342.19200300.100.1.3)
  • displayName (urn:oid:2.16.840.1.113730.3.1.241)
  • givenName (urn:oid:2.5.4.42)
  • sn (urn:oid:2.5.4.4)
  • cn (urn:oid:2.5.4.3)
  • schacHomeOrganization (urn:oid:1.3.6.1.4.1.25178.1.2.9) con valore pari al "Academic code (SCHAC Home Organization)" impostato in SCM
  • eduPersonEntitlement (urn:oid:1.3.6.1.4.1.5923.1.1.1.7) con valore urn:mace:terena.org:tcs:personal-user

Di seguito un esempio di configurazione per Shibboleth Identity Provider >= 3.2.0:

<AttributeFilterPolicy id="GARR-TCS-4">
  <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/>
  <AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="commonName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="schacHomeOrganization">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="ValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
  </AttributeRule>
</AttributeFilterPolicy>

e un esempio di configurazione per Shibboleth Identity Provider < 3.2.0:

<AttributeFilterPolicy id="GARR-TCS-4">
  <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/>
  <AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="commonName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="schacHomeOrganization">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
  </AttributeRule>
</AttributeFilterPolicy>

Per verificare il rilascio attributi al portale self-service SAML accedere, dopo l'autenticazione, a https://cert-manager.com/Shibboleth.sso/Session

Collegamenti Utili

Estratto da "https://wiki.idem.garr.it/w/index.php?title=TCS&oldid=8751"