====== Připojení ke službě Certifikáty TCS ======

Od července 2015 zprostředkovává CESNET, z. s. p. o., službu Certifikáty TCS [[http://www.geant.org/Services/Trust_identity_and_security/Pages/TCS.aspx|Trusted Certificate Service]] pro organizace začleněné do české sítě národního výzkumu CESNET2. Organizacím, které nejsou do sítě CESNET2 připojeny, není možné umožnit tuto službu využívat. Služba je poskytována firmou [[https://www.sectigo.com/|Sectigo]]. Následující návod popisuje připojení organizace k portálu certifikátů TCS.

===== Administrativní úkony =====

==== Jmenování administrativního kontaktu ====

Statutární zástupce organizace jmenuje své zástupce pro službu -- správce služby Certifikáty TCS. Vhodnými kandidáty pro tuto funkci jsou správci IdP eduId.cz dané organizace (pokud je organizace k federaci identit eduId.cz připojena), nebo správci DNS či e-mailových služeb.

Jmenovací formulář si vygenerujete na stránce [[https://tcs.cesnet.cz/neworganization/|https://tcs.cesnet.cz/neworganization/]]. **Název organizace nesmí přesáhnout 64 znaků** (každý znak s diakritikou se počítá za dva znaky). Následně jej vytištěný a podepsaný statutárním zástupcem organizace doručte na adresu:

TCS RA \\
CESNET \\
Generála Píky 430/26 \\
160 00 Praha 6 \\

nebo do datové schránky CESNETu **gn35eaq**. V takovém případě lze dokument podepsat i digitálně pomocí státem uznávaného, tzv. kvalifikovaného certifikátu (dle [[https://cs.wikipedia.org/wiki/EIDAS|nařízení eIDAS)]]). Akceptovat lze i mix podpisů (např. statutární zástupce elektronicky, správci ručně).

Pokud dokument posíláte poštou, odešlete jeho sken také elektronicky na [[mailto:tcs-ra@cesnet.cz|tcs-ra@cesnet.cz]].
Jakmile Registrační autorita CESNET TCS obdrží jmenovací listinu, bude administrativní kontakty informovat o dalším postupu.

Služba TCS využívá identity z české akademické federace identit //eduID.cz//. Detailněji je vazba služby na //eduID.cz// popsána na [[tcs-eduid.html|samostatné stránce]]. Níže alespoň ve zkratce:

**Serverové certifikáty** \\

Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v //eduID.cz//. Pokud připojovaná organizace není členem //eduID.cz//, je možné používat službu //[[https://www.mojeid.cz/|mojeID]]//. Účty v mojeID musí být ověřené.

**Osobní certifikáty** \\

Pro využívání služby **osobních** certifikátů TCS musí být organizace členem //eduID.cz// a musí mít funkční službu //Poskytovatele identity// (IdP). V tomto případě není použití externích identit možné.

===== Technické předpoklady =====

Služba je poskytována následujícím //Poskytovatelem služeb// (SP):

^ Služba                 ^ SP EntityID                         ^
| Serverové a osobní certifikáty TCS | <html>https://tcs.cesnet.cz/simplesaml/</html> |

==== Povinné atributy pro všechny typy certifikátů TCS ====

V rámci spuštění nové služby je potřeba sjednotit používané identifikace atributů mezi jednotlivými IdP.

  ?? givenName
:: Obsahuje křestní jméno uživatele podle dokladu totožnosti.

Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.42''.
!!

  ?? sn
:: Obsahuje příjmení uživatele podle dokladu totožnosti.

Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.4''.
!!

  ?? authMail
:: Tento vícehodnotový atribut obsahuje ověřené adresy elektronické pošty uživatele.
<WRAP important>
Emailové adresy poskytnuté službě TCS musí být **ověřeny**! Organizace ručí za jejich správnost a za to, že patří danému uživateli.

Jestliže vaše organizace umožňuje uživatelům, aby si v systému IdP sami nastavovali emailové adresy, musíte zajistit, aby pro služby TCS byly uvolněny pouze adresy ověřené.
</WRAP>
Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.2.840.113549.1.9.1''. Pokud pokud má být některá z adres preferovaná, a tedy uváděná jako první v osobních certifikátech a používaná jako výchozí pro notifikace, pak ji uvádějte v jednohodnotovém pro federaci rovněž povinném atributu **mail** identifikovaném jako ''urn:oid:0.9.2342.19200300.100.1.3''.
Pokud organizace nedovoluje uživatelům používat více e-mailových adres, pak tu jedinou lze uvádět v atributu **mail** a atribut **authMail** neuvolňovat.
!!

  ?? eduPersonUniqueID
:: Obsahuje jednoznačný identifikátor uživatele v rámci federace.
Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.13''. 
!!

==== Povinné atributy pro osobní certifikáty TCS ====

Přístup k osobním certifikátům TCS vyžaduje kromě obecných SAML atributů pro TCS ještě následující atributy:

  ?? commonNameASCII
:: Obsahuje plné jméno uživatele podle dokladu totožnosti převedené do sedmibitového kódování ASCII (zbavené diakritiky). Jeho hodnota bude uvedena v atributu ''commonName'' (''CN'') předmětu //Osobního eScience TCS// certifikátu.

Na úrovni SAML zprávy musí být tento atribut identifikován jako ''<nowiki>http://eduid.cz/attributes/commonName#ASCII</nowiki>''.

Pokud nemáte ve vašem LDAPu k takto upraveným jménům přístup, je potřeba konverzi řešit na úrovni Shibboleth IdP.

Pro konverzi lze použít atribut typu Script, kde je možné pomocí JavaScriptu přistupovat k hodnotám atributů.

Následující návod předpokládá celé křestní jméno a příjmení včetně diakritiky v atributu ''cn''. Definice atributu commonNameASCII v šabloně ''IDP_HOME/conf/attribute-resolver.xml'' vypadá takto:

<code xml>
<!-- commonNameASCII -->
<AttributeDefinition xsi:type="ScriptedAttribute" id="commonNameASCII">
    <InputAttributeDefinition ref="cn"/>
    <AttributeEncoder xsi:type="SAML2String" name="http://eduid.cz/attributes/commonName#ASCII" friendlyName="commonNameASCII"/>
    <Script>
    <![CDATA[
        load("nashorn:mozilla_compat.js");                                                                      
     
        importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider);
        importPackage(Packages.java.lang);
        importPackage(Packages.java.text);
     
        if(cn.getValues().size() > 0) {
            originalValue = cn.getValues().get(0);
            asciiValue = Normalizer.normalize(originalValue, Normalizer.Form.NFD).replaceAll("\\p{InCombiningDiacriticalMarks}+", "");
            commonNameASCII.getValues().add(asciiValue);
       }
    ]]>
    </Script>
</AttributeDefinition>
</code>

!!

  ?? unstructuredName
:: Každému uživateli musí IdP přidělit [[#unstructuredname|unikátní identifikátor]]. Tento identifikátor musí zůstat pro daného uživatele konstantní a nesmí být **nikdy**, ani v budoucnosti, přiřazen jinému uživateli.

Některá IdP mají v repertoáru atribut s těmito vlastnostmi, jiná jej musí pro účely TCS vytvořit. Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.2.840.113549.1.9.2''.

**Tento identifikátor se u osobních certifikátů objeví přímo v poli CN.** Je tedy rozumné, aby měl přiměřenou délku. S výhodou lze využít např. číslo zaměstnance.
!!

  ?? eduPersonEntitlement
:: Tímto atributem řídí organizace přístupová práva ke službě. Portál certifikátů TCS  rozeznává tyto hodnoty:
^ Hodnota  ^ Oprávnění              ^
| urn:mace:terena.org:tcs:personal-user | Žádat o běžný osobní certifikát TCS|
| urn:mace:terena.org:tcs:escience-user | Žádat o osobní eScience certifikát TCS (momentálně nedostupný)|

Na úrovni SAML zprávy musí být tento atribut identifikovan jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.7''. Osobní certifikáty TCS mohou být poskytnuty pouze uživatelům splňujícím tyto podmínky:
  - Organizace ověřila totožnost uživatele na základě předložení platného občanského průkazu, platného cestovního pasu nebo ekvivalentního dokladu.
  - Od ověření totožnosti do okamžiku podání žádosti o certifikát byl účet uživatele v IdP organizace prokazatelně přiřazen danému uživateli.
  - Všechny informace vyžadované službou TCS jsou ověřené a správné.

Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu [[#eduPersonEntitlement|eduPersonEntitlement]] organizace vyjadřuje, že výše uvedené podmínky jsou pro daného uživatele splněny.
!!


==== Nepovinné atributy pro certifikáty TCS ====

  ?? telephone
:: Obsahuje telefonní číslo uživatele. Telefonní číslo je důležité zejména pro rychlé kontaktování správců organizací v případě potíží. Tento attribut je nepovinný.

Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.20''.
!!

==== Diagnostika atributů ====

Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku: 
https://tcs.cesnet.cz/attributes/