TCS SAML
Lehetőség van arra, hogy személyes tanúsítványokat SAML azonosítás után a rendszer automatikusan kiállítsa. Ebben az esetben nem szükséges a TCS adminisztrátor jóváhagyására várni, és a tanúsítvány kb. 1 másodperc alatt elkészül.
Ebben az esetben egy speciális attribútum-érték jelenléte dönti el, hogy a felhasználó jogosult-e tanúsítványt kiállíttatnia magának, azaz a döntést az hozza meg, aki ezt az attribútumot az IdP oldalán beállítja.
Tartalomjegyzék
Előkészítés
Ezt a funkciót csak azok az intézmények vehetik igénybe, akik tagjai az eduID szövetségnek.
- Az IdP-nek benne kell lennie az eduGAIN-ben.
- Az IdP-nek támogatnia kell a displayName, mail, eduPersonPrincipalName, eduPersonEntitlement attribútumokon felül a schacHomeOrganization attribútumot is.
- TCS SAML Admin jogosultságú felhasználónak be kell állítania azt, hogy az intézményből jövő felhasználók milyen schacHomeOrganization értékkel rendelkeznek (pl. egyetem.hu).
Felhasználók feljogosítása
A SAML bejelentkezés használatához az eduPersonEntitlement attribútumba az alábbi értékek valamelyikét kell tenni:
STOP!
Csak azoknál a felhasználóknál állítsunk be ilyet, akik ténylegesen jogosultak személyes/grid tanúsítványokat igénybe venni! Ne felejtsük el, hogy:
|
Használat
A felhasználó a https://digicert.com/sso oldal betöltése után kiválaszthatja az intézményét, majd azonosítania kell magát az IdP-nél.
Ez után egy olyan felületre jut, ahol kiválaszthatja a tanúsítvány típusát, majd azonnal generálhatja a titkos kulcsát a böngésző segítségével, ill. feltöltheti a tanúsítvány kérelmet. A tanúsítvány másodpercek alatt elkészül.
Miért jó ez?
A SAML azonosítás akkor hasznos, ha nagy tömegben akarunk tanúsítványokat osztani, és nem akarjuk minden egyes felhasználó kérését (ill. a lejárt tanúsítványaik megújítását) kézzel engedélyezni. Ezt az engedélyezést rábízhatjuk az IdP-re, ill. a mögötte álló névtárra vagy más adatbázisra.
Ez a fajta tanúsítvány osztás sokkal egyszerűbb és biztonságosabb, mint pl. a guest URL-ek használata.
Fontos, hogy SAML azonosítással csak személyes tanúsítványok igényelhetők, a szerver tanúsítványigénylések benyújtására nem alkalmas!