TCS SAML

Innen: KIFÜ Wiki

Lehetőség van arra, hogy személyes tanúsítványokat SAML azonosítás után a rendszer automatikusan kiállítsa. Ebben az esetben nem szükséges a TCS adminisztrátor jóváhagyására várni, és a tanúsítvány kb. 1 másodperc alatt elkészül.

Ebben az esetben egy speciális attribútum-érték jelenléte dönti el, hogy a felhasználó jogosult-e tanúsítványt kiállíttatnia magának, azaz a döntést az hozza meg, aki ezt az attribútumot az IdP oldalán beállítja.

Előkészítés

Ezt a funkciót csak azok az intézmények vehetik igénybe, akik tagjai az eduID szövetségnek.

  1. Az IdP-nek benne kell lennie az eduGAIN-ben.
  2. Az IdP-nek támogatnia kell a displayName, mail, eduPersonPrincipalName, eduPersonEntitlement attribútumokon felül a schacHomeOrganization attribútumot is.
  3. TCS SAML Admin jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen schacHomeOrganization értékkel rendelkeznek (pl. egyetem.hu).
Megj.: A SAML Admin jogosultságú adminisztrátor számára a felületen megjelenik a SAML Organization Mapping felirat.
SAML Dashboard.png

Felhasználók feljogosítása

A SAML bejelentkezés használatához az eduPersonEntitlement attribútumba az alábbi értékek valamelyikét kell tenni:


Használat

A felhasználó a https://digicert.com/sso oldal betöltése után kiválaszthatja az intézményét, majd azonosítania kell magát az IdP-nél.

Ez után egy olyan felületre jut, ahol kiválaszthatja a tanúsítvány típusát, majd azonnal generálhatja a titkos kulcsát a böngésző segítségével, ill. feltöltheti a tanúsítvány kérelmet. A tanúsítvány másodpercek alatt elkészül.

Miért jó ez?

A SAML azonosítás akkor hasznos, ha nagy tömegben akarunk tanúsítványokat osztani, és nem akarjuk minden egyes felhasználó kérését (ill. a lejárt tanúsítványaik megújítását) kézzel engedélyezni. Ezt az engedélyezést rábízhatjuk az IdP-re, ill. a mögötte álló névtárra vagy más adatbázisra.

Ez a fajta tanúsítvány osztás sokkal egyszerűbb és biztonságosabb, mint pl. a guest URL-ek használata.

Fontos, hogy SAML azonosítással csak személyes tanúsítványok igényelhetők, a szerver tanúsítványigénylések benyújtására nem alkalmas!