Hinweise und Konfigurationsdetails eines Shibboleth IDPs für das GÉANT "Trusted Certificates Service".
entityID
Der global eindeutige Name des SAML Services Providers lautet: https://cert-manager.com/shibboleth
Das Service wurde von InCommon registriert und wird von dort über eduGAIN weiterpubliziert. D.h. nur jene ACOnet-Teilnehmerinstitutionen, die sowohl an (TCS und) eduID.at als auch an eduGAIN/Interfederation teilnehmen, können sich über ihre eigene Institution bei diesem Service anmelden.
Attribute
Admin-Zugriff SCM Portal
Für die TCS-Administrator*innen einer Institution ist die Anmeldung am Sectigo Certificate Manager (SCM)-Portal über SAML möglich. Dazu muß nur das Attribut:
vom IDP übermittelt werden (und zuvor vom ACOnet Team im SCM provisioniert worden sein).
Personal Certificates
Für das Beantragen persönlicher Zertifikate (etwa zum Signieren von E-Mails) braucht das Service zwingend die folgenden Attribute:
- mail (institutionelle E-Mail-Adresse)
- displayName (voller Name)
- eduPersonPrincipalName (siehe unten)
- schacHomeOrganization (siehe unten)
- eduPersonEntitlement (siehe unten)
eduPersonPrincipalName
Offensichlich ist es keine gute Idee, die Semantik von standardisierten und weltweit eingesetzten Attributen (wie jenen aus eduPerson) für eigene Zwecke abweichend festzulegen, wie das hier bei TCS geschehen ist. Aus Gründen der Kompatibiltät mit eingeführten Services wird dieses Attribut aber (bis auf Weiteres) beibehalten.
eduPersonEntitlement
Zum Zugriff muß das eduPersonEntitlement-Attribut den folgenden Werte haben:
Etwaige früher verwendete "-admin
" Entitlement-Werte sind obsolet und können ggfs. lokal entfernt werden: Die Berechtigung für AdministratorInnen erfolgt direkt (und nur) in SCM.
N.B.: Diese Entitlements dürfen ggfs. nur unter bestimmten Bedingungen und nur an berechtigte Personen vergeben werden, siehe die jeweils gültigen TCS-Vereinbarungen.
schacHomeOrganization
Die Dokumentation zum Erzeugen/Nachschlagen von Attributen für den Shibboleth IDPv3 enthält eine fertige Vorlage zum Erzeugen von "schacHomeOrganization".
Attribute weitergeben
Die Weitergabe oben definierter Attribute wird wie üblich in /opt/shibboleth-idp/conf/attribute-filter.xml
eingerichtet:
<AttributeFilterPolicy id="TCSportal"> <PolicyRequirementRule xsi:type="OR"> <Rule xsi:type="Requester" value="https://www.digicert.com/sso" /> <Rule xsi:type="Requester" value="https://cert-manager.com/shibboleth" /> </PolicyRequirementRule> <AttributeRule attributeID="eduPersonPrincipalName" permitAny="true" /> <AttributeRule attributeID="displayName" permitAny="true" /> <AttributeRule attributeID="givenName" permitAny="true" /> <AttributeRule attributeID="sn" permitAny="true" /> <AttributeRule attributeID="mail" permitAny="true" /> <AttributeRule attributeID="schacHomeOrganization" permitAny="true" /> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="Value" value="urn:mace:terena.org:tcs:personal-user" /> </AttributeRule> </AttributeFilterPolicy>