You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 20 Next »

Hinweise und Konfigurationsdetails eines Shibboleth IDPs für das GÉANT "Trusted Certificates Service".

entityID

Der global eindeutige Name des SAML Services Providers lautet: https://cert-manager.com/shibboleth

Das Service wurde von InCommon registriert und wird von dort über eduGAIN weiterpubliziert. D.h. nur jene ACOnet-Teilnehmerinstitutionen, die sowohl an (TCS und) eduID.at als auch an eduGAIN/Interfederation teilnehmen, können sich über ihre eigene Institution bei diesem Service anmelden.

Attribute

Admin-Zugriff SCM Portal

Für die TCS-Administrator*innen einer Institution ist die Anmeldung am Sectigo Certificate Manager (SCM)-Portal über SAML möglich. Dazu muß nur das Attribut:

vom IDP übermittelt werden (und zuvor vom ACOnet Team im SCM provisioniert worden sein).

Personal Certificates

Work in progress

Diese Funktionalität steht bei Sectigo aktuell noch nicht zur Verfügung, daher können sich auch die Details bezüglich SAML hier noch ändern.

Für das Beantragen persönlicher Zertifikate (etwa zum Signieren von E-Mails) braucht das Service zwingend die folgenden Attribute:

eduPersonPrincipalName

TCS verengt für seine eigenen Zwecke die Definition von eduPersonPrincipalName (ePPN) und verbietet prinzipiell das Neuvergeben eines bestehenden ePPN an eine andere Person bei Nutzung des TCS Personal Certificate Services. Ein solches Wiederverwenden ist zwar ohnehin fast immer bad practice, wird aber in der für dieses Attribut autoritativen eduPerson-Spezifikation nicht ausgeschlossen. Darüber hinaus wird der ePPN oft aus der lokalen UserID (die zum Login zu Services wie IMAP oder SSH benutzt wird) gebildet, und die Nicht-Wiederverwendung von lokalen UserIDs steht in der Regel nicht zur Debatte, weil lokalen, jeweils unterschiedlichen, institutionellen Entscheidungen und Prozessen unterliegend.

Wenn also die Weitergabe bzw. Übernahme einer UserID von einer Person zu einer anderen (auch nach Jahren der "Stilllegung") an einer Institution nicht ausgeschlossen ist, sollte dort die UserID nicht zur Erzeugung des eduPersonPrincicalName-Attributs genutzt werden. On-the-wire übermittelt muß dennoch des Attribut "eduPersonPrincicalName" werden, aber dieses muß dann (zumindest für dieses Service) vom IDP aus anderen Daten gespeist werden.

Offensichlich ist es keine gute Idee, die Semantik von standardisierten und weltweit eingesetzten Attributen (wie jenen aus eduPerson) für eigene Zwecke abweichend festzulegen, wie das hier bei TCS geschehen ist. Aus Gründen der Kompatibiltät mit eingeführten Services wird dieses Attribut aber (bis auf Weiteres) beibehalten.


eduPersonEntitlement

Zum Zugriff muß das eduPersonEntitlement-Attribut den folgenden Werte haben:

Etwaige früher verwendete "-admin" Entitlement-Werte sind obsolet und können ggfs. lokal entfernt werden: Die Berechtigung für AdministratorInnen erfolgt direkt (und nur) in SCM.

N.B.: Diese Entitlements dürfen ggfs. nur unter bestimmten Bedingungen und nur an berechtigte Personen vergeben werden, siehe die jeweils gültigen TCS-Vereinbarungen.


schacHomeOrganization

Die Dokumentation zum Erzeugen/Nachschlagen von Attributen für den Shibboleth IDPv3 enthält eine fertige Vorlage zum Erzeugen von "schacHomeOrganization".

Attribute weitergeben

Die Weitergabe oben definierter Attribute wird wie üblich in /opt/shibboleth-idp/conf/attribute-filter.xml eingerichtet:

Übergang von DigiCert to Sectigo

Untenstehende Regel enthält sowohl die Freigabe an den TCS-Anbieter bis Mitte 2020 , als auch jene für den Anbieter ab Mitte 2020. Nach Juni 2020 sollten die Freigaben an DigiCert entfernt und diese Regel hier aktualisiert werden.


<AttributeFilterPolicy id="TCSportal">
  <PolicyRequirementRule xsi:type="OR">
    <Rule xsi:type="Requester" value="https://www.digicert.com/sso" />
    <Rule xsi:type="Requester" value="https://cert-manager.com/shibboleth" />
  </PolicyRequirementRule>
  <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" />
  <AttributeRule attributeID="displayName" permitAny="true" />
  <AttributeRule attributeID="givenName" permitAny="true" />
  <AttributeRule attributeID="sn" permitAny="true" />
  <AttributeRule attributeID="mail" permitAny="true" />
  <AttributeRule attributeID="schacHomeOrganization" permitAny="true" />
  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="Value" value="urn:mace:terena.org:tcs:personal-user" />
  </AttributeRule>
</AttributeFilterPolicy>
  • No labels