TCS SAML

Lehetőség van arra, hogy személyes tanúsítványokat SAML azonosítás után a rendszer automatikusan kiállítsa. Ebben az esetben nem szükséges a TCS adminisztrátor jóváhagyására várni, és a tanúsítvány kb. 1 másodperc alatt elkészül.

Ebben az esetben egy speciális attribútum-érték jelenléte dönti el, hogy a felhasználó jogosult-e tanúsítványt kiállíttatnia magának, azaz a döntést az hozza meg, aki ezt az attribútumot az IdP oldalán beállítja.

Előkészítés
Ezt a funkciót csak azok az intézmények vehetik igénybe, akik tagjai az eduID szövetségnek.


 * 1) Az IdP-nek benne kell lennie az  eduGAIN-ben.
 * 2) Az IdP-nek támogatnia kell a displayName, mail, eduPersonPrincipalName, eduPersonEntitlement attribútumokon felül a schacHomeOrganization attribútumot is.
 * 3) TCS SAML Admin jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen schacHomeOrganization értékkel rendelkeznek (pl. egyetem.hu).

Megj.: A SAML Admin jogosultságú adminisztrátor számára a felületen megjelenik a SAML Organization Mapping felirat. thumb|100px

Felhasználók feljogosítása
A SAML bejelentkezés használatához az eduPersonEntitlement attribútumba az alábbi értékek valamelyikét kell tenni:

Használat
A felhasználó a https://digicert.com/sso oldal betöltése után kiválaszthatja az intézményét, majd azonosítania kell magát az IdP-nél.

Ez után egy olyan felületre jut, ahol kiválaszthatja a tanúsítvány típusát, majd azonnal generálhatja a titkos kulcsát a böngésző segítségével, ill. feltöltheti a tanúsítvány kérelmet. A tanúsítvány másodpercek alatt elkészül.

Miért jó ez?
A SAML azonosítás akkor hasznos, ha nagy tömegben akarunk tanúsítványokat osztani, és nem akarjuk minden egyes felhasználó kérését (ill. a lejárt tanúsítványaik megújítását) kézzel engedélyezni. Ezt az engedélyezést rábízhatjuk az IdP-re, ill. a mögötte álló névtárra vagy más adatbázisra.

Ez a fajta tanúsítvány osztás sokkal egyszerűbb és biztonságosabb, mint pl. a guest URL-ek használata.

Fontos, hogy SAML azonosítással csak személyes tanúsítványok igényelhetők, a szerver tanúsítványigénylések benyújtására nem alkalmas!