„TCS SAML” változatai közötti eltérés

Innen: KIFÜ Wiki
(Új oldal, tartalma: „Lehetőség van arra, hogy '''''személyes tanúsítványokat''''' SAML azonosítás után a rendszer automatikusan kiállítsa. Ebben az esetben nem szükséges a TCS …”)
 
(Előkészítés)
 
9. sor: 9. sor:
 
# Az IdP-nek támogatnia kell a ''displayName'', ''mail'', ''eduPersonPrincipalName'', ''eduPersonEntitlement'' attribútumokon felül a ''schacHomeOrganization'' attribútumot is.
 
# Az IdP-nek támogatnia kell a ''displayName'', ''mail'', ''eduPersonPrincipalName'', ''eduPersonEntitlement'' attribútumokon felül a ''schacHomeOrganization'' attribútumot is.
 
# TCS ''SAML Admin'' jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen ''schacHomeOrganization'' értékkel rendelkeznek (pl. egyetem.hu).
 
# TCS ''SAML Admin'' jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen ''schacHomeOrganization'' értékkel rendelkeznek (pl. egyetem.hu).
 +
 +
Megj.: A ''SAML Admin'' jogosultságú adminisztrátor számára a felületen megjelenik a ''SAML Organization Mapping'' felirat. [[Kép: SAML_Dashboard.png|thumb|100px]]
  
 
== Felhasználók feljogosítása ==
 
== Felhasználók feljogosítása ==

A lap jelenlegi, 2015. október 16., 11:55-kori változata

Lehetőség van arra, hogy személyes tanúsítványokat SAML azonosítás után a rendszer automatikusan kiállítsa. Ebben az esetben nem szükséges a TCS adminisztrátor jóváhagyására várni, és a tanúsítvány kb. 1 másodperc alatt elkészül.

Ebben az esetben egy speciális attribútum-érték jelenléte dönti el, hogy a felhasználó jogosult-e tanúsítványt kiállíttatnia magának, azaz a döntést az hozza meg, aki ezt az attribútumot az IdP oldalán beállítja.

Előkészítés

Ezt a funkciót csak azok az intézmények vehetik igénybe, akik tagjai az eduID szövetségnek.

  1. Az IdP-nek benne kell lennie az eduGAIN-ben.
  2. Az IdP-nek támogatnia kell a displayName, mail, eduPersonPrincipalName, eduPersonEntitlement attribútumokon felül a schacHomeOrganization attribútumot is.
  3. TCS SAML Admin jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen schacHomeOrganization értékkel rendelkeznek (pl. egyetem.hu).
Megj.: A SAML Admin jogosultságú adminisztrátor számára a felületen megjelenik a SAML Organization Mapping felirat.
SAML Dashboard.png

Felhasználók feljogosítása

A SAML bejelentkezés használatához az eduPersonEntitlement attribútumba az alábbi értékek valamelyikét kell tenni:


Használat

A felhasználó a https://digicert.com/sso oldal betöltése után kiválaszthatja az intézményét, majd azonosítania kell magát az IdP-nél.

Ez után egy olyan felületre jut, ahol kiválaszthatja a tanúsítvány típusát, majd azonnal generálhatja a titkos kulcsát a böngésző segítségével, ill. feltöltheti a tanúsítvány kérelmet. A tanúsítvány másodpercek alatt elkészül.

Miért jó ez?

A SAML azonosítás akkor hasznos, ha nagy tömegben akarunk tanúsítványokat osztani, és nem akarjuk minden egyes felhasználó kérését (ill. a lejárt tanúsítványaik megújítását) kézzel engedélyezni. Ezt az engedélyezést rábízhatjuk az IdP-re, ill. a mögötte álló névtárra vagy más adatbázisra.

Ez a fajta tanúsítvány osztás sokkal egyszerűbb és biztonságosabb, mint pl. a guest URL-ek használata.

Fontos, hogy SAML azonosítással csak személyes tanúsítványok igényelhetők, a szerver tanúsítványigénylések benyújtására nem alkalmas!