„TCS SAML” változatai közötti eltérés
(Új oldal, tartalma: „Lehetőség van arra, hogy '''''személyes tanúsítványokat''''' SAML azonosítás után a rendszer automatikusan kiállítsa. Ebben az esetben nem szükséges a TCS …”) |
(→Előkészítés) |
||
| 9. sor: | 9. sor: | ||
# Az IdP-nek támogatnia kell a ''displayName'', ''mail'', ''eduPersonPrincipalName'', ''eduPersonEntitlement'' attribútumokon felül a ''schacHomeOrganization'' attribútumot is. | # Az IdP-nek támogatnia kell a ''displayName'', ''mail'', ''eduPersonPrincipalName'', ''eduPersonEntitlement'' attribútumokon felül a ''schacHomeOrganization'' attribútumot is. | ||
# TCS ''SAML Admin'' jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen ''schacHomeOrganization'' értékkel rendelkeznek (pl. egyetem.hu). | # TCS ''SAML Admin'' jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen ''schacHomeOrganization'' értékkel rendelkeznek (pl. egyetem.hu). | ||
| + | |||
| + | Megj.: A ''SAML Admin'' jogosultságú adminisztrátor számára a felületen megjelenik a ''SAML Organization Mapping'' felirat. [[Kép: SAML_Dashboard.png|thumb|100px]] | ||
== Felhasználók feljogosítása == | == Felhasználók feljogosítása == | ||
A lap jelenlegi, 2015. október 16., 12:55-kori változata
Lehetőség van arra, hogy személyes tanúsítványokat SAML azonosítás után a rendszer automatikusan kiállítsa. Ebben az esetben nem szükséges a TCS adminisztrátor jóváhagyására várni, és a tanúsítvány kb. 1 másodperc alatt elkészül.
Ebben az esetben egy speciális attribútum-érték jelenléte dönti el, hogy a felhasználó jogosult-e tanúsítványt kiállíttatnia magának, azaz a döntést az hozza meg, aki ezt az attribútumot az IdP oldalán beállítja.
Tartalomjegyzék
[elrejtés]Előkészítés
Ezt a funkciót csak azok az intézmények vehetik igénybe, akik tagjai az eduID szövetségnek.
- Az IdP-nek benne kell lennie az eduGAIN-ben.
- Az IdP-nek támogatnia kell a displayName, mail, eduPersonPrincipalName, eduPersonEntitlement attribútumokon felül a schacHomeOrganization attribútumot is.
- TCS SAML Admin jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen schacHomeOrganization értékkel rendelkeznek (pl. egyetem.hu).
Felhasználók feljogosítása
A SAML bejelentkezés használatához az eduPersonEntitlement attribútumba az alábbi értékek valamelyikét kell tenni:
 |
STOP!
Csak azoknál a felhasználóknál állítsunk be ilyet, akik ténylegesen jogosultak személyes/grid tanúsítványokat igénybe venni! Ne felejtsük el, hogy:
|
Használat
A felhasználó a https://digicert.com/sso oldal betöltése után kiválaszthatja az intézményét, majd azonosítania kell magát az IdP-nél.
Ez után egy olyan felületre jut, ahol kiválaszthatja a tanúsítvány típusát, majd azonnal generálhatja a titkos kulcsát a böngésző segítségével, ill. feltöltheti a tanúsítvány kérelmet. A tanúsítvány másodpercek alatt elkészül.
Miért jó ez?
A SAML azonosítás akkor hasznos, ha nagy tömegben akarunk tanúsítványokat osztani, és nem akarjuk minden egyes felhasználó kérését (ill. a lejárt tanúsítványaik megújítását) kézzel engedélyezni. Ezt az engedélyezést rábízhatjuk az IdP-re, ill. a mögötte álló névtárra vagy más adatbázisra.
Ez a fajta tanúsítvány osztás sokkal egyszerűbb és biztonságosabb, mint pl. a guest URL-ek használata.
Fontos, hogy SAML azonosítással csak személyes tanúsítványok igényelhetők, a szerver tanúsítványigénylések benyújtására nem alkalmas!
