38
szerkesztés
Módosítások
TCS
,→Nincs User-szintű felhasználó
== A KIFÜ tanúsítványszolgáltatás ==
* <span style="color: red;">''2020.08.19-től nem lehet 2 éves TLS tanúsítványokat igényelni a Sectigo rendszerében!''</span>
<span style="color: red;">[https://sectigo.status.io/pages/maintenance/5938a0dbef3e6af26b001921/5f0e30f3aab0e604b91214a0 --->LINK]</span>
A DigiCert CertCentral-ban két alapvető felhasználófajta létezett: ''"Rendszergazdák"'', akik tanúsítványokat igényelhetnek/jóváhagyhatnak, validációs folyamatokat indíthatnak, megváltoztathatják a beállításokat és más adminisztrátori szintű dolgokat végezhetnek; valamint a ''"Felhasználók"'', akik csak tanúsítványokat kérhetnek (de mégis hitelesített felhasználói voltak a CertCentalnak, csakúgy, mint az adminisztrátorok).
Az SCM-ben alapvetően csak adminisztrátori felhasználók vannak. Ez azt jelenti, hogy elvileg nem lehetnek olyan felhasználók, akik bejelentkezhetnek az SCM-be, és csak tanúsítványokat kérhetnek. De az [[SSL tanúsítványokTCS#SSL_.28szerver.29_tan.C3.BAs.C3.ADtv.C3.A1nyok|SSL tanúsítványok]] részben kínálunk erre is megoldást.
=== Department (szervezeti egység) ===
felületén. Ehhez válassza a '''''Settings → Organizations''''' menüpontot, válassza ki a szervezetet, majd kattintson az '''''Edit''''' gombra. (Vagy ha csak egy szervezeti egységhez szeretné rendelni, akkor a szervezet kiválasztása után kattintson a '''''Department''''' gombra, válassza ki az egységet, és itt használja az '''''Edit''''' lehetőséget).
* Az '''''SSL certificate''''' lapon engedélyezze a ''"Self enrollment"'' opciót, és írjon egy titkos értéket az ''"Access Code"'' mezőbe, majd másolja ki a mező alatt található URL-t. Most elküldheti ezt az URL-t azoknak, akiket szeretné, hogy beléphessenek a nem adminisztrátorok számára fenntartott tanúsítvány igénylő felületre. Mint teszteléskor láthatja, hozzávetőlegesen ugyanazokat a mezőket tartalmazza ez az oldal, mint maga az SCM '''''"Add certificate"''''' része. Ne felejtse ellenőrizni az emailcímet amire elküldi a hozzáférést, illetve alakítson ki egy saját metódust a kérelmezők autentikálására!
* Amennyiben működik a SAML attribútum átadása a Sectigo felé (lásd a [[SAML konfigurációTCS#SAML_konfigur.C3.A1ci.C3.B3|SAML konfiguráció]] szekciót), akkor engedélyezheti a '''''"Self enrollment via SAML"''''' funkciót is, titkosítva tarthatja a hozzáférési kódot, és elküldheti a felhasználók számára a Token mező alatti URL-t. Ezután a SAML használatával hitelesíteniük kell magukat mielőtt a fentiekkel megegyező igénylő űrlapra belépnének. Mivel az e-mail cím most az IdP-től érkezik a SAML-en keresztül, biztos lehet abban, hogy helyes, de eldöntheti, hogy szükség lesz-e további autentikációra az igénylést megelőzően.
* ''Nem javasoljuk'' az ''"Automatically Approve Self Enrollment Requests"'' opció bejelölését! Legalább manuálisan jóvá kell hagyatni az ezen a módon érkező tanúsítványkéréseket!
* Érdemes lehet testreszabnia a választható SSL típusokat az igénylő űrlaphoz ('''''SSL types → Customize''''', jobb oldali rész), hogy megakadályozza a felhasználót abban, hogy olyan tanúsítványtípusokat is igényeljen, melyeket nem kíván engedélyezni a számára. Az SCM felületén továbbra is megőrizheti a választási lehetőséget (a fenti felület bal oldali részén).
Az önkiszolgáló portál a következő címen található: https://cert-manager.com/customer/KIFU/idp/clientgeant
Ahhoz, hogy működjön a felhasználók számára, a következőket kell tenni:
* Helyesen be kell konfigurálni az IdP-t a Sectigo-hoz. Lásd a [[TCS#SAML_konfigur.C3.A1ci.C3.B3|SAML konfiguráció]] pontnál.
* Szerkessze a szervezeti objektumot, és állítsa az ''"Academic code (SCHAC Home Organization)"'' értéket ugyanarra az értékre, mint amit az IdP küld mint ''"schacHomeOrganization"''. Ez általában a fő domain, de ezt egyeztesse le az IdP rendszergazdáival.
Miután ellenőrizte, hogy az IdP helyesen van-e beállítva, folytathatja a SAML-hitelesítés használatának konfigurálását:
* Ahhoz, hogy használni lehessen a föderációs bejelentkezést az SCM portálon, be kell lépni az összes meglévő RAO és DRAO admin felhasználói fiókját tartalmazó oldalra ('''''Admins''''') és módosítani az '''''Identity provider''''' mezőt a saját intézményre, valamint az '''''IdP person ID''''' mezőt az ''admin ePPN'' (''eduPersonPrincipalName'') értékére.
* Az SSL-tanúsítványokról a "Self Enrollment via SAML" leírásnál olvashat fentebb a [[TCS#Nem_adminisztr.C3.A1tor_jogosults.C3.A1g.C3.BA_ig.C3.A9nyl.C3.A9sek_enged.C3.A9lyez.C3.A9se|Nem adminisztrátor jogosultságú igénylések engedélyezése]] részben.
== A REST API használata ==
