Versions Compared

Old Version 6

changes.mady.by.user Peter Brand

Saved on

compared with

New Version 7

changes.mady.by.user Peter Brand

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: minor updates for DigiCert TCS supplier

Hinweise und Konfigurationsdetails eines Shibboleth 2.x IDPs für das TERENA/GÉANT /ACOnet TCS Personal Certificates Portal(formals TERENA) Trusted Certificates Service bzw. genauer für persönliche und "e-science/grid"-Zertifikate – nur solche sind zur Zeit nach SAML-Login bestellbar.

entityID

Der global eindeutige Name des Services lautet: https://www.digicert.com/sso

Attribute

Siehe Diese entsprechen exakt den im alten Service genutzten (mit Comodo als anbieter und dem TCS Personal Portal), siehe http://confusa.assembla.com/wiki/show/confusa/Required_attribute_description
Erwähnt werden im Folgenden nur Abweichungen zur Shibboleth IDP-Standardkonfiguration, die bereits Attributdefinitionen zu maileppn, usw. enthält.

...

eduPersonPrincipalName

Note
iconfalse

Das TCS Personal Portal-Service verengt für seine eigenen Zwecke die Definition von eduPersonPrincicalName (ePPN) und verbietet prinzipiell das Neuvergeben einer bestehenden ePPN an eine andere Person bei Nutzung des TCS Personal Certificate Services. Ein solches Wiederverwenden ist zwar ohnehin fast immer bad practice, wird aber in der für dieses Attribut autoritativen eduPerson-Spezifikation nicht  nicht ausgeschlossen. Darüber hinaus wird der ePPN oft aus der lokalen UserID (die zum Login zu Services wie IMAP oder SSH benutzt wird) gebildet, und die Nicht-Wiederverwendung von lokalen UserIDs steht in der Regel nicht zur Debatte, weil jeweils unterschiedlichen institutionellen Entscheidungen/Prozessen unterliegend.

Info
iconfalse

Wenn also die Weitergabe bzw. Übernahme einer UserID von einer Person zu einer anderen (auch nach Jahren der "Stilllegung") an einer Institution nicht ausgeschlossen ist, sollte dort die UserID nicht zur Erzeugung des eduPersonPrincicalName-Attributs genutzt werden. Übermittelt muß dennoch des Attribut eduPersonPrincicalName werden, aber dieser dieses muß dann (zumindest für dieses Service) vom IDP aus anderen Daten gespeist werden.

Offensichlich ist es keine gute Idee, die Semantik von standardisierten und weltweit eingesetzten Attributen (wie denen des eduPerson-Standards) für eigene Zwecke neu festzulegen, wie das hier beim TCS geschieht.

eduPersonEntitlement

Nur noch die beiden Werte

  • urn:mace:terena.org:tcs:personal-user
  • urn:mace:terena.org:tcs:escience-user

sind relevant und werden als völlig equivalent behandelt (eines davon reichr also). Etwaige "-admin" Entitlement-Werte sind nunmehr obsolet.Siehe Ende von http://confusa.assembla.com/wiki/show/confusa/Portal_overview_for_admins/Requirements

Diese Entitlements dürfen nur unter bestimmten Bedingungen und nur an berechtigte Personen vergeben werden, wie im TERENA Personal CA Certificate Practice Statement, Abschnitt 3.2.3, beschrieben. ((warning) TODO: Neues Neue Version des CPS!)

schacHomeOrganization

...