Versions Compared

Old Version 27

changes.mady.by.user Peter Brand

Saved on

compared with

New Version Current

changes.mady.by.user Peter Brand

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: mention givenName,sn

Hinweise und Konfigurationsdetails eines Shibboleth IDPsIDP für das GÉANT "Trusted Certificates Service".

Info

Siehe ACOnet Zertifikatsservice für allgemeine Informationen.

entityID

Der global eindeutige Name des SAML Services Providers von Sectigo (dem TCS-Anbieter ab Mitte 2020) lautet: https://cert-manager.com/shibboleth

Das Service wurde von der InCommon-Federation registriert und wird von dort über eduGAIN weiterpubliziert. D.h. nur jene ACOnet-Teilnehmerinstitutionen, die sowohl an eduID.at als auch an eduGAIN/Interfederation teilnehmen (und die TCS-Zusatzvereinbarung abgeschlossen haben), können sich über ihre eigene Institution bei diesem Service anmelden, sei es für Admin-Zugriffe oder zum Beantragen persönlicher Zertifikate für Endbenutzer*innen.

...

...

N.B.: Diese Entitlements dürfen nur unter bestimmten Bedingungen und nur an berechtigte Personen vergeben werden, siehe die jeweils gültigen TCS-Vereinbarungen (TODO).

schacHomeOrganization

Die Dokumentation zum Erzeugen/Nachschlagen von Attributen für den Shibboleth IDP enthält eine fertige Vorlage zum Erzeugen von "schacHomeOrganization".

...

Die Weitergabe oben definierter Attribute wird wie üblich in /opt/shibboleth-idp/conf/attribute-filter.xml eingerichtet:

Code Block
languagehtml/xml
<AttributeFilterPolicy id="TCS">
  <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth" />
  <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" />
  <AttributeRule attributeID="displayName" permitAny="true" />
  <AttributeRule attributeID="givenName" permitAny="true" />
  <AttributeRule attributeID="surnamesn" permitAny="true" />
  <AttributeRule attributeID="mail" permitAny="true" />
  <AttributeRule attributeID="schacHomeOrganization" permitAny="true" />
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="Value" value="urn:mace:terena.org:tcs:personal-user" />
  </AttributeRule>
</AttributeFilterPolicy>

...