TCS

Da WIKI IDEM GARR.
Jump to navigation Jump to search

Certificati personali e Grid (aggiornato a Maggio 2020)

Per gli Enti che hanno aderito al nuovo servizio TCS erogato da GEANT/Sectigo e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a IDEM ed avere un Identity Provider incluso in federazione.

Il portale per la richiesta self-service dei certificati personali (client certificate), personali IGTF (email e robot) è https://cert-manager.com/customer/garr/idp/clientgeant

L'accesso è possibile solo tramite autenticazione federata con IDEM e previa configurazione dell'Identity Provider istituzionale.

Configurazioni

Configurare la richiesta di certificati personali

  • L'Identity Provider deve rilasciare un determinato insieme di attributi al Service Provider Sectigo. Dettagli nella sezione Configurazione SAML
  • In SCM, selzionare Settings, Organizations, selezionare la propria organizzazione e premere il bottone [Edit]. Nella finestra di modifica editare il campo "Academic code (SCHAC Home Organization)" inserendoi il valore stabilito per l'attributo schacHomeOrganization rilasciato dall'Identity Provider. Generalmente coincide con il valore del dominio principale, o scope, ma conviene coordinarsi con l'idp manager.

Configurare anche la richiesta di certificati IGTF (grid)

  • In SCM modificare all'interno di Settings, Organizations, Edit il campo "Secondary Organization Name" prestando attenzione che contenga solo caratteri ASCII e che sia identico al campo O eventualmente usato in precedenza per i certificati grid con Digicert (in caso di dubbio consultare il portale Digicert per controllo). Dato che il subject dei certificati grid è usato come "username" è fondamentale che questo rimanga inalterato per non causare problemi di accesso alla grid per gli utenti.
  • Aprire un ticket a <garr-ca@garr.it> per chiedere agli amministratori MRAO di far partire la validazione del "Secondary Organization Name"

Configurazione SAML

Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite il portale self-service via SAML devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = https://cert-manager.com/shibboleth):

  • eduPersonPrincipalName (urn:oid:1.3.6.1.4.1.5923.1.1.1.6)
  • email (urn:oid:0.9.2342.19200300.100.1.3)
  • displayName (urn:oid:2.16.840.1.113730.3.1.241)
  • givenName (urn:oid:2.5.4.42)
  • sn (urn:oid:2.5.4.4)
  • cn (urn:oid:2.5.4.3)
  • schacHomeOrganization (urn:oid:1.3.6.1.4.1.25178.1.2.9) con valore pari al "Academic code (SCHAC Home Organization)" impostato in SCM
  • eduPersonEntitlement (urn:oid:1.3.6.1.4.1.5923.1.1.1.7) con valore urn:mace:terena.org:tcs:personal-user

Di seguito un esempio di configurazione per Shibboleth Identity Provider >= 3.2.0:

<AttributeFilterPolicy id="GARR-TCS-4">
  <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/>
  <AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="commonName">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="schacHomeOrganization">
    <PermitValueRule xsi:type="ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="ValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
  </AttributeRule>
</AttributeFilterPolicy>


e un esempio di configurazione per Shibboleth Identity Provider < 3.2.0:

<AttributeFilterPolicy id="GARR-TCS-4">
  <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/>
  <AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="commonName">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="schacHomeOrganization">
    <PermitValueRule xsi:type="basic:ANY"/>
  </AttributeRule>
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
  </AttributeRule>
</AttributeFilterPolicy>

Per verificare il rilascio attributi al portale self-service SAML accedere, dopo l'autenticazione, a https://cert-manager.com/Shibboleth.sso/Session

Collegamenti Utili