====== Připojení ke službě Certifikáty TCS ======
Od července 2015 zprostředkovává CESNET, z. s. p. o., službu Certifikáty TCS [[http://www.geant.org/Services/Trust_identity_and_security/Pages/TCS.aspx|Trusted Certificate Service]] pro organizace začleněné do české sítě národního výzkumu CESNET2. Organizacím, které nejsou do sítě CESNET2 připojeny, není možné umožnit tuto službu využívat. Služba je poskytována firmou [[https://www.sectigo.com/|Sectigo]]. Následující návod popisuje připojení organizace k portálu certifikátů TCS.
===== Administrativní úkony =====
==== Jmenování administrativního kontaktu ====
Statutární zástupce organizace jmenuje své zástupce pro službu -- správce služby Certifikáty TCS. Vhodnými kandidáty pro tuto funkci jsou správci IdP eduId.cz dané organizace (pokud je organizace k federaci identit eduId.cz připojena), nebo správci DNS či e-mailových služeb.
Jmenovací formulář si vygenerujete na stránce [[https://tcs.cesnet.cz/neworganization/|https://tcs.cesnet.cz/neworganization/]]. **Název organizace nesmí přesáhnout 64 znaků** (každý znak s diakritikou se počítá za dva znaky). Následně jej vytištěný a podepsaný statutárním zástupcem organizace doručte na adresu:
TCS RA \\
CESNET \\
Generála Píky 430/26 \\
160 00 Praha 6 \\
nebo do datové schránky CESNETu **gn35eaq**. V takovém případě lze dokument podepsat i digitálně pomocí státem uznávaného, tzv. kvalifikovaného certifikátu (dle [[https://cs.wikipedia.org/wiki/EIDAS|nařízení eIDAS)]]). Akceptovat lze i mix podpisů (např. statutární zástupce elektronicky, správci ručně).
Pokud dokument posíláte poštou, odešlete jeho sken také elektronicky na [[mailto:tcs-ra@cesnet.cz|tcs-ra@cesnet.cz]].
Jakmile Registrační autorita CESNET TCS obdrží jmenovací listinu, bude administrativní kontakty informovat o dalším postupu.
Služba TCS využívá identity z české akademické federace identit //eduID.cz//. Detailněji je vazba služby na //eduID.cz// popsána na [[tcs-eduid.html|samostatné stránce]]. Níže alespoň ve zkratce:
**Serverové certifikáty** \\
Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v //eduID.cz//. Pokud připojovaná organizace není členem //eduID.cz//, je možné používat službu //[[https://www.mojeid.cz/|mojeID]]//. Účty v mojeID musí být ověřené.
**Osobní certifikáty** \\
Pro využívání služby **osobních** certifikátů TCS musí být organizace členem //eduID.cz// a musí mít funkční službu //Poskytovatele identity// (IdP). V tomto případě není použití externích identit možné.
===== Technické předpoklady =====
Služba je poskytována následujícím //Poskytovatelem služeb// (SP):
^ Služba ^ SP EntityID ^
| Serverové a osobní certifikáty TCS | https://tcs.cesnet.cz/simplesaml/ |
==== Povinné atributy pro všechny typy certifikátů TCS ====
V rámci spuštění nové služby je potřeba sjednotit používané identifikace atributů mezi jednotlivými IdP.
?? givenName
:: Obsahuje křestní jméno uživatele podle dokladu totožnosti.
Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.42''.
!!
?? sn
:: Obsahuje příjmení uživatele podle dokladu totožnosti.
Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.4''.
!!
?? authMail
:: Tento vícehodnotový atribut obsahuje ověřené adresy elektronické pošty uživatele.
Emailové adresy poskytnuté službě TCS musí být **ověřeny**! Organizace ručí za jejich správnost a za to, že patří danému uživateli.
Jestliže vaše organizace umožňuje uživatelům, aby si v systému IdP sami nastavovali emailové adresy, musíte zajistit, aby pro služby TCS byly uvolněny pouze adresy ověřené.
Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.2.840.113549.1.9.1''. Pokud pokud má být některá z adres preferovaná, a tedy uváděná jako první v osobních certifikátech a používaná jako výchozí pro notifikace, pak ji uvádějte v jednohodnotovém pro federaci rovněž povinném atributu **mail** identifikovaném jako ''urn:oid:0.9.2342.19200300.100.1.3''.
Pokud organizace nedovoluje uživatelům používat více e-mailových adres, pak tu jedinou lze uvádět v atributu **mail** a atribut **authMail** neuvolňovat.
!!
?? eduPersonUniqueID
:: Obsahuje jednoznačný identifikátor uživatele v rámci federace.
Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.13''.
!!
==== Povinné atributy pro osobní certifikáty TCS ====
Přístup k osobním certifikátům TCS vyžaduje kromě obecných SAML atributů pro TCS ještě následující atributy:
?? commonNameASCII
:: Obsahuje plné jméno uživatele podle dokladu totožnosti převedené do sedmibitového kódování ASCII (zbavené diakritiky). Jeho hodnota bude uvedena v atributu ''commonName'' (''CN'') předmětu //Osobního eScience TCS// certifikátu.
Na úrovni SAML zprávy musí být tento atribut identifikován jako ''http://eduid.cz/attributes/commonName#ASCII''.
Pokud nemáte ve vašem LDAPu k takto upraveným jménům přístup, je potřeba konverzi řešit na úrovni Shibboleth IdP.
Pro konverzi lze použít atribut typu Script, kde je možné pomocí JavaScriptu přistupovat k hodnotám atributů.
Následující návod předpokládá celé křestní jméno a příjmení včetně diakritiky v atributu ''cn''. Definice atributu commonNameASCII v šabloně ''IDP_HOME/conf/attribute-resolver.xml'' vypadá takto:
!!
?? unstructuredName
:: Každému uživateli musí IdP přidělit [[#unstructuredname|unikátní identifikátor]]. Tento identifikátor musí zůstat pro daného uživatele konstantní a nesmí být **nikdy**, ani v budoucnosti, přiřazen jinému uživateli.
Některá IdP mají v repertoáru atribut s těmito vlastnostmi, jiná jej musí pro účely TCS vytvořit. Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.2.840.113549.1.9.2''.
**Tento identifikátor se u osobních certifikátů objeví přímo v poli CN.** Je tedy rozumné, aby měl přiměřenou délku. S výhodou lze využít např. číslo zaměstnance.
!!
?? eduPersonEntitlement
:: Tímto atributem řídí organizace přístupová práva ke službě. Portál certifikátů TCS rozeznává tyto hodnoty:
^ Hodnota ^ Oprávnění ^
| urn:mace:terena.org:tcs:personal-user | Žádat o běžný osobní certifikát TCS|
| urn:mace:terena.org:tcs:escience-user | Žádat o osobní eScience certifikát TCS (momentálně nedostupný)|
Na úrovni SAML zprávy musí být tento atribut identifikovan jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.7''. Osobní certifikáty TCS mohou být poskytnuty pouze uživatelům splňujícím tyto podmínky:
- Organizace ověřila totožnost uživatele na základě předložení platného občanského průkazu, platného cestovního pasu nebo ekvivalentního dokladu.
- Od ověření totožnosti do okamžiku podání žádosti o certifikát byl účet uživatele v IdP organizace prokazatelně přiřazen danému uživateli.
- Všechny informace vyžadované službou TCS jsou ověřené a správné.
Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu [[#eduPersonEntitlement|eduPersonEntitlement]] organizace vyjadřuje, že výše uvedené podmínky jsou pro daného uživatele splněny.
!!
==== Nepovinné atributy pro certifikáty TCS ====
?? telephone
:: Obsahuje telefonní číslo uživatele. Telefonní číslo je důležité zejména pro rychlé kontaktování správců organizací v případě potíží. Tento attribut je nepovinný.
Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.20''.
!!
==== Diagnostika atributů ====
Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku:
https://tcs.cesnet.cz/attributes/