1 260
szerkesztés
Módosítások
Új oldal, tartalma: „Lehetőség van arra, hogy '''''személyes tanúsítványokat''''' SAML azonosítás után a rendszer automatikusan kiállítsa. Ebben az esetben nem szükséges a TCS …”
Lehetőség van arra, hogy '''''személyes tanúsítványokat''''' SAML azonosítás után a rendszer automatikusan kiállítsa. Ebben az esetben nem szükséges a TCS adminisztrátor jóváhagyására várni, és a tanúsítvány kb. 1 másodperc alatt elkészül.
Ebben az esetben egy speciális attribútum-érték jelenléte dönti el, hogy a felhasználó jogosult-e tanúsítványt kiállíttatnia magának, azaz a döntést az hozza meg, aki ezt az attribútumot az IdP oldalán beállítja.
== Előkészítés ==
Ezt a funkciót csak azok az intézmények vehetik igénybe, akik tagjai az [http://eduid.hu eduID szövetségnek].
# Az IdP-nek benne kell lennie az [[JoiningEduGAIN | eduGAIN]]-ben.
# Az IdP-nek támogatnia kell a ''displayName'', ''mail'', ''eduPersonPrincipalName'', ''eduPersonEntitlement'' attribútumokon felül a ''schacHomeOrganization'' attribútumot is.
# TCS ''SAML Admin'' jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen ''schacHomeOrganization'' értékkel rendelkeznek (pl. egyetem.hu).
== Felhasználók feljogosítása ==
A SAML bejelentkezés használatához az ''eduPersonEntitlement'' attribútumba az alábbi értékek valamelyikét kell tenni:
* <code>urn:mace:terena.org:tcs:personal-user</code>
* <code>urn:mace:terena.org:tcs:escience-user</code>
{{STOP|Csak azoknál a felhasználóknál állítsunk be ilyet, akik ténylegesen jogosultak személyes/grid tanúsítványokat igénybe venni! Ne felejtsük el, hogy:
* a felhasználó által kiállított tanúsítványokat az intézménynek az NIIF [[TCSCertTypes|kiszámlázza]];
* a felhasználó státuszának változása miatt szükséges lehet az ''eduPersonEntitlement'' aktualizálása;
* a TCS előfizető intézmény felelős azért, hogy a tanúsítványok kiállítása és használata a szabályoknak megfelelően történjen.
}}
== Használat ==
A felhasználó a '''https://digicert.com/sso''' oldal betöltése után kiválaszthatja az intézményét, majd azonosítania kell magát az IdP-nél.
Ez után egy olyan felületre jut, ahol kiválaszthatja a tanúsítvány típusát, majd azonnal generálhatja a titkos kulcsát a böngésző segítségével, ill. feltöltheti a tanúsítvány kérelmet. A tanúsítvány másodpercek alatt elkészül.
== Miért jó ez? ==
A SAML azonosítás akkor hasznos, ha nagy tömegben akarunk tanúsítványokat osztani, és nem akarjuk minden egyes felhasználó kérését (ill. a lejárt tanúsítványaik megújítását) kézzel engedélyezni. Ezt az engedélyezést rábízhatjuk az IdP-re, ill. a mögötte álló névtárra vagy más adatbázisra.
Ez a fajta tanúsítvány osztás sokkal egyszerűbb és biztonságosabb, mint pl. a ''guest URL''-ek használata.
Fontos, hogy SAML azonosítással csak személyes tanúsítványok igényelhetők, a szerver tanúsítványigénylések benyújtására nem alkalmas!
[[Category: TCS]]
Ebben az esetben egy speciális attribútum-érték jelenléte dönti el, hogy a felhasználó jogosult-e tanúsítványt kiállíttatnia magának, azaz a döntést az hozza meg, aki ezt az attribútumot az IdP oldalán beállítja.
== Előkészítés ==
Ezt a funkciót csak azok az intézmények vehetik igénybe, akik tagjai az [http://eduid.hu eduID szövetségnek].
# Az IdP-nek benne kell lennie az [[JoiningEduGAIN | eduGAIN]]-ben.
# Az IdP-nek támogatnia kell a ''displayName'', ''mail'', ''eduPersonPrincipalName'', ''eduPersonEntitlement'' attribútumokon felül a ''schacHomeOrganization'' attribútumot is.
# TCS ''SAML Admin'' jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen ''schacHomeOrganization'' értékkel rendelkeznek (pl. egyetem.hu).
== Felhasználók feljogosítása ==
A SAML bejelentkezés használatához az ''eduPersonEntitlement'' attribútumba az alábbi értékek valamelyikét kell tenni:
* <code>urn:mace:terena.org:tcs:personal-user</code>
* <code>urn:mace:terena.org:tcs:escience-user</code>
{{STOP|Csak azoknál a felhasználóknál állítsunk be ilyet, akik ténylegesen jogosultak személyes/grid tanúsítványokat igénybe venni! Ne felejtsük el, hogy:
* a felhasználó által kiállított tanúsítványokat az intézménynek az NIIF [[TCSCertTypes|kiszámlázza]];
* a felhasználó státuszának változása miatt szükséges lehet az ''eduPersonEntitlement'' aktualizálása;
* a TCS előfizető intézmény felelős azért, hogy a tanúsítványok kiállítása és használata a szabályoknak megfelelően történjen.
}}
== Használat ==
A felhasználó a '''https://digicert.com/sso''' oldal betöltése után kiválaszthatja az intézményét, majd azonosítania kell magát az IdP-nél.
Ez után egy olyan felületre jut, ahol kiválaszthatja a tanúsítvány típusát, majd azonnal generálhatja a titkos kulcsát a böngésző segítségével, ill. feltöltheti a tanúsítvány kérelmet. A tanúsítvány másodpercek alatt elkészül.
== Miért jó ez? ==
A SAML azonosítás akkor hasznos, ha nagy tömegben akarunk tanúsítványokat osztani, és nem akarjuk minden egyes felhasználó kérését (ill. a lejárt tanúsítványaik megújítását) kézzel engedélyezni. Ezt az engedélyezést rábízhatjuk az IdP-re, ill. a mögötte álló névtárra vagy más adatbázisra.
Ez a fajta tanúsítvány osztás sokkal egyszerűbb és biztonságosabb, mint pl. a ''guest URL''-ek használata.
Fontos, hogy SAML azonosítással csak személyes tanúsítványok igényelhetők, a szerver tanúsítványigénylések benyújtására nem alkalmas!
[[Category: TCS]]
