Připojení ke službě Certifikáty TCS
Od července 2015 zprostředkovává sdružení CESNET pro své členy a další připojené organizace službu Certifikáty TCS (Trusted Certificate Service). Vydávání TCS certifikátů zastřešuje GEANT (link) a jejich aktuálním vydavatelem je společnost Sectigo.
Od července 2015 zprostředkovává CESNET, z. s. p. o., službu Certifikáty TCS Trusted Certificate Service pro organizace začleněné do české sítě národního výzkumu CESNET2. Organizacím, které nejsou do sítě CESNET2 připojeny, není možné umožnit tuto službu využívat. Služba je poskytována firmou Sectigo.
Následující návod popisuje připojení organizace k portálu certifikátů TCS.
Žádost o zpřístupnění služby
Organizace, která má zájem užívat službu Certifikáty TCS, musí o zpřístupnění služby požádat prostřednictvím elektronického formuláře. Žádosti o vydání certifikátů následně schvaluje skupina určených zástupců organizace. Vhodnými kandidáty pro tuto funkci jsou správci IdP eduId.cz dané organizace (pokud je organizace k federaci identit eduId.cz připojena), nebo správci DNS či e-mailových služeb. Prvního zástupce organizace pro službu Certifikáty TCS určí organizace. Ten v žádosti o zprovoznění služby nahlásí sdružení CESNET další zástupce. Velikost skupiny zástupců pro službu TCS záleží na potřebách organizace. Kterýkoliv ze zástupců je následně oprávněn oznamovat sdružení CESNET změny ve složení skupiny zástupců prostřednictvím téhož formuláře. Zástupci organizace potvrzují svoji identitu a příslušnost k organizaci přihlášením do rozhraní správy certifikátů organizace prostřednictvím jejího IdP, nebo autentizační služby MojeID, pokud není organizace připojena k eduId.cz.
Žádost o zpřístupnění služby je dostupná na stránce https://tcs.cesnet.cz/neworganization/. Při vyplňování dbejte na správnost údajů. Ty, které se týkají organizace samotné, jsou vyplněny z rejstříku ekonomických subjektů a nelze je měnit. Pokud název organizace přesáhne 64 znaků (každý znak s diakritikou se počítá za dva znaky), je nutné jej z technických důvodů zkrátit. Vyplněný a nepozměněný vygenerovaný formulář je následně nutné doručit sdružení CESNET do jeho datové schránky gn35eaq
. K odeslání použijte výhradně datovou schránku žádající organizace, nikoliv např. soukromou datovou schránku správce.
Jakmile Registrační autorita CESNET TCS obdrží žádost o zprovoznění služby, bude určené zástupce organizace informovat o dalším postupu.
Administrativní požadavky na uživatele TCS
Služba TCS využívá identity z české akademické federace identit eduID.cz. Detailněji je vazba služby na eduID.cz popsána na samostatné stránce. Níže alespoň ve zkratce:
Serverové certifikáty
Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v eduID.cz. Pokud připojovaná organizace není členem eduID.cz, je možné používat službu mojeID.
Osobní certifikáty
Pro využívání služby osobních certifikátů TCS musí být organizace členem eduID.cz a musí mít funkční službu Poskytovatele identity (IdP). V tomto případě není použití externích identit možné.
Technické předpoklady
Služba je poskytována následujícím Poskytovatelem služeb (SP):
Služba | SP EntityID |
---|---|
Serverové a osobní certifikáty TCS | https://tcs.cesnet.cz/simplesaml/ |
Povinné atributy pro všechny typy certifikátů TCS
V rámci spuštění nové služby je potřeba sjednotit používané identifikace atributů mezi jednotlivými IdP.
?? givenName
:: Obsahuje křestní jméno uživatele podle dokladu totožnosti.
Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:2.5.4.42
.
!!
?? sn
:: Obsahuje příjmení uživatele podle dokladu totožnosti.
Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:2.5.4.4
.
!!
?? authMail
:: Tento vícehodnotový atribut obsahuje ověřené adresy elektronické pošty uživatele.
Emailové adresy poskytnuté službě TCS musí být ověřeny! Organizace ručí za jejich správnost a za to, že patří danému uživateli.
Jestliže vaše organizace umožňuje uživatelům, aby si v systému IdP sami nastavovali emailové adresy, musíte zajistit, aby pro služby TCS byly uvolněny pouze adresy ověřené.
Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:1.2.840.113549.1.9.1
. Pokud pokud má být některá z adres preferovaná, a tedy uváděná jako první v osobních certifikátech a používaná jako výchozí pro notifikace, pak ji uvádějte v jednohodnotovém pro federaci rovněž povinném atributu mail identifikovaném jako urn:oid:0.9.2342.19200300.100.1.3
.
Pokud organizace nedovoluje uživatelům používat více e-mailových adres, pak tu jedinou lze uvádět v atributu mail a atribut authMail neuvolňovat.
!!
?? eduPersonUniqueID
:: Obsahuje jednoznačný identifikátor uživatele v rámci federace.
Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:1.3.6.1.4.1.5923.1.1.1.13
.
!!
Povinné atributy pro osobní certifikáty TCS
Přístup k osobním certifikátům TCS vyžaduje kromě obecných SAML atributů pro TCS ještě následující atributy:
?? commonNameASCII
:: Obsahuje plné jméno uživatele podle dokladu totožnosti převedené do sedmibitového kódování ASCII (zbavené diakritiky). Jeho hodnota bude uvedena v atributu commonName
(CN
) předmětu Osobního eScience TCS certifikátu.
Na úrovni SAML zprávy musí být tento atribut identifikován jako http://eduid.cz/attributes/commonName#ASCII
.
Pokud nemáte ve vašem LDAPu k takto upraveným jménům přístup, je potřeba konverzi řešit na úrovni Shibboleth IdP.
Pro konverzi lze použít atribut typu Script, kde je možné pomocí JavaScriptu přistupovat k hodnotám atributů.
Následující návod předpokládá celé křestní jméno a příjmení včetně diakritiky v atributu cn
. Definice atributu commonNameASCII v šabloně IDP_HOME/conf/attribute-resolver.xml
vypadá takto:
<!-- commonNameASCII --> <AttributeDefinition xsi:type="ScriptedAttribute" id="commonNameASCII"> <InputAttributeDefinition ref="cn"/> <AttributeEncoder xsi:type="SAML2String" name="http://eduid.cz/attributes/commonName#ASCII" friendlyName="commonNameASCII"/> <Script> <![CDATA[ load("nashorn:mozilla_compat.js"); importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider); importPackage(Packages.java.lang); importPackage(Packages.java.text); if(cn.getValues().size() > 0) { originalValue = cn.getValues().get(0); asciiValue = Normalizer.normalize(originalValue, Normalizer.Form.NFD).replaceAll("\\p{InCombiningDiacriticalMarks}+", ""); commonNameASCII.getValues().add(asciiValue); } ]]> </Script> </AttributeDefinition>
!!
?? unstructuredName
:: Každému uživateli musí IdP přidělit unikátní identifikátor. Tento identifikátor musí zůstat pro daného uživatele konstantní a nesmí být nikdy, ani v budoucnosti, přiřazen jinému uživateli.
Některá IdP mají v repertoáru atribut s těmito vlastnostmi, jiná jej musí pro účely TCS vytvořit. Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:1.2.840.113549.1.9.2
.
Tento identifikátor se u osobních certifikátů objeví přímo v poli CN. Je tedy rozumné, aby měl přiměřenou délku. S výhodou lze využít např. číslo zaměstnance. !!
?? eduPersonEntitlement
:: Tímto atributem řídí organizace přístupová práva ke službě. Portál certifikátů TCS rozeznává tyto hodnoty:
Hodnota | Oprávnění |
---|---|
urn:mace:terena.org:tcs:personal-user | Žádat o běžný osobní certifikát TCS |
urn:mace:terena.org:tcs:escience-user | Žádat o osobní eScience certifikát TCS (momentálně nedostupný) |
Na úrovni SAML zprávy musí být tento atribut identifikovan jako urn:oid:1.3.6.1.4.1.5923.1.1.1.7
. Osobní certifikáty TCS mohou být poskytnuty pouze uživatelům splňujícím tyto podmínky:
- Organizace ověřila totožnost uživatele na základě předložení platného občanského průkazu, platného cestovního pasu nebo ekvivalentního dokladu.
- Od ověření totožnosti do okamžiku podání žádosti o certifikát byl účet uživatele v IdP organizace prokazatelně přiřazen danému uživateli.
- Všechny informace vyžadované službou TCS jsou ověřené a správné.
Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu eduPersonEntitlement organizace vyjadřuje, že výše uvedené podmínky jsou pro daného uživatele splněny. !!
Nepovinné atributy pro certifikáty TCS
?? telephone
:: Obsahuje telefonní číslo uživatele. Telefonní číslo je důležité zejména pro rychlé kontaktování správců organizací v případě potíží. Tento attribut je nepovinný.
Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:2.5.4.20
.
!!
Diagnostika atributů
Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku: https://tcs.cesnet.cz/attributes/