Versions Compared

Old Version 20

changes.mady.by.user Peter Brand

Saved on

compared with

New Version 21

changes.mady.by.user Peter Brand

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Der global eindeutige Name des SAML Services Providers von Sectigo (dem TCS-Anbieter ab Mitte 2020) lautet: https://cert-manager.com/shibboleth

Das Service wurde von der InCommon-Federation registriert und wird von dort über eduGAIN weiterpubliziert. D.h. nur jene ACOnet-Teilnehmerinstitutionen, die sowohl an (TCS und) eduID.at als auch an eduGAIN/Interfederation teilnehmen, können sich über ihre eigene Institution bei diesem Service anmelden, sei es für Admin-Zugriffe oder zum Beantragen persönlicher Zertifikate für Endbenutzer*innen.

Attribute

Admin-Zugriff SCM Portal

...

vom IDP übermittelt werden (und zuvor vom ACOnet-Team im SCM provisioniert worden sein).

...

Persönliche Zertifikate

Note
iconfalse
titleWork in progress

Diese Funktionalität steht bei Sectigo aktuell noch nicht zur Verfügung, daher können sich auch die Details bezüglich SAML hier noch ändern.

Für das Beantragen persönlicher Zertifikate (etwa zum Signieren von E-Mails) braucht das Service zwingend die folgenden Attribute:

...

Offensichlich ist es keine gute Idee, die Semantik von standardisierten und weltweit eingesetzten Attributen (wie jenen aus eduPerson) für eigene Zwecke abweichend festzulegen, wie das hier bei TCS geschehen ist. Aus Gründen der Kompatibiltät mit eingeführten Services wird dieses Attribut aber (bis auf Weiteres) beibehalten.


eduPersonEntitlement

Zum Zugriff Zur Beantragung persönlicher Zertifikate muß das eduPersonEntitlement-Attribut den folgenden Werte haben:

...

Etwaige früher verwendete "-admin" Entitlement-Werte sind obsolet und können ggfs. lokal entfernt werden: Die Berechtigung für AdministratorInnen Administrator*innen erfolgt direkt (und nur) in SCM.

N.B.: Diese Entitlements dürfen ggfs.  nur unter bestimmten Bedingungen und nur an berechtigte Personen vergeben werden, siehe die jeweils gültigen TCS-Vereinbarungen (TODO).


schacHomeOrganization

Die Dokumentation zum Erzeugen/Nachschlagen von Attributen für den Shibboleth IDPv3 enthält eine fertige Vorlage zum Erzeugen von "schacHomeOrganization".

...