Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:tcs-admin.html [2020/06/30 09:58] – [Jmenování administrativního kontaktu] jan.chvojka@cesnet.cz | cs:tcs-admin.html [2025/05/22 09:09] (aktuální) – [Připojení ke službě Certifikáty TCS] Ing. Daniel Studený | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Připojení ke službě Certifikáty TCS ====== | ====== Připojení ke službě Certifikáty TCS ====== | ||
- | Od července 2015 zprostředkovává CESNET, z. s. p. o., službu Certifikáty | + | Od července 2015 zprostředkovává |
+ | Organizace, které nejsou k CESNETu | ||
- | ===== Administrativní úkony ===== | + | Následující návod popisuje připojení organizace k portálu certifikátů TCS. |
- | ==== Jmenování administrativního kontaktu | + | ===== Žádost o zpřístupnění služby ===== |
- | Statutární zástupce organizace jmenuje své zástupce pro službu | + | Organizace, která má zájem užívat |
- | Jmenovací formulář si vygenerujete | + | Žádost o zpřístupnění služby je dostupná |
- | TCS RA \\ | + | Jakmile Registrační autorita |
- | CESNET | + | |
- | Zikova 4 \\ | + | |
- | 160 00 Praha 6 \\ | + | |
- | Jakmile Registrační autorita CESNET TCS obdrží jmenovací listinu, bude administrativní kontakty informovat o dalším postupu. | + | ===== Administrativní požadavky na uživatele TCS ===== |
Služba TCS využívá identity z české akademické federace identit // | Služba TCS využívá identity z české akademické federace identit // | ||
Řádek 22: | Řádek 20: | ||
**Serverové certifikáty** \\ | **Serverové certifikáty** \\ | ||
- | Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v // | + | Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v // |
**Osobní certifikáty** \\ | **Osobní certifikáty** \\ | ||
- | Pro využívání služby **osobních** certifikátů TCS musí být organizace členem // | + | Pro využívání služby **osobních** certifikátů TCS musí být organizace členem // |
===== Technické předpoklady ===== | ===== Technické předpoklady ===== | ||
Řádek 39: | Řádek 37: | ||
V rámci spuštění nové služby je potřeba sjednotit používané identifikace atributů mezi jednotlivými IdP. | V rámci spuštění nové služby je potřeba sjednotit používané identifikace atributů mezi jednotlivými IdP. | ||
- | ?? givenName | + | < |
- | :: Obsahuje křestní jméno uživatele podle dokladu totožnosti. | + | Obsahuje křestní jméno uživatele podle dokladu totožnosti. |
Na úrovni SAML zprávy musí být tento atribut identifikován jako '' | Na úrovni SAML zprávy musí být tento atribut identifikován jako '' | ||
- | !! | + | \\ \\ \\ |
- | ?? sn | + | < |
- | :: Obsahuje příjmení uživatele podle dokladu totožnosti. | + | Obsahuje příjmení uživatele podle dokladu totožnosti. |
Na úrovni SAML zprávy musí být tento atribut identifikován jako '' | Na úrovni SAML zprávy musí být tento atribut identifikován jako '' | ||
- | !! | + | \\ \\ \\ |
+ | |||
+ | < | ||
+ | Tento vícehodnotový atribut obsahuje ověřené adresy elektronické pošty uživatele. | ||
- | |||
- | :: Tento vícehodnotový atribut obsahuje ověřené adresy elektronické pošty uživatele. | ||
<WRAP important> | <WRAP important> | ||
Emailové adresy poskytnuté službě TCS musí být **ověřeny**! Organizace ručí za jejich správnost a za to, že patří danému uživateli. | Emailové adresy poskytnuté službě TCS musí být **ověřeny**! Organizace ručí za jejich správnost a za to, že patří danému uživateli. | ||
Řádek 58: | Řádek 57: | ||
Jestliže vaše organizace umožňuje uživatelům, | Jestliže vaše organizace umožňuje uživatelům, | ||
</ | </ | ||
- | Na úrovni SAML zprávy musí být tento atribut identifikován jako '' | + | Na úrovni SAML zprávy musí být tento atribut identifikován jako '' |
- | !! | + | Pokud organizace nedovoluje uživatelům používat více e-mailových adres, pak tu jedinou lze uvádět v atributu **mail** a atribut **authMail** neuvolňovat. |
+ | \\ \\ \\ | ||
- | ?? eduPersonPrincipalName | + | < |
- | :: Obsahuje jednoznačný identifikátor uživatele. | + | Obsahuje jednoznačný identifikátor uživatele |
- | Na úrovni SAML zprávy musí být tento atribut identifikován jako '' | + | Na úrovni SAML zprávy musí být tento atribut identifikován jako '' |
- | !! | + | \\ \\ \\ |
==== Povinné atributy pro osobní certifikáty TCS ==== | ==== Povinné atributy pro osobní certifikáty TCS ==== | ||
Řádek 70: | Řádek 70: | ||
Přístup k osobním certifikátům TCS vyžaduje kromě obecných SAML atributů pro TCS ještě následující atributy: | Přístup k osobním certifikátům TCS vyžaduje kromě obecných SAML atributů pro TCS ještě následující atributy: | ||
- | ?? commonNameASCII | + | < |
- | :: Obsahuje plné jméno uživatele podle dokladu totožnosti převedené do sedmibitového kódování ASCII (zbavené diakritiky). Jeho hodnota bude uvedena v atributu '' | + | Obsahuje plné jméno uživatele podle dokladu totožnosti převedené do sedmibitového kódování ASCII (zbavené diakritiky). Jeho hodnota bude uvedena v atributu '' |
Na úrovni SAML zprávy musí být tento atribut identifikován jako ''< | Na úrovni SAML zprávy musí být tento atribut identifikován jako ''< | ||
Řádek 83: | Řádek 83: | ||
<code xml> | <code xml> | ||
<!-- commonNameASCII --> | <!-- commonNameASCII --> | ||
- | <resolver:AttributeDefinition | + | < |
- | <resolver: | + | <InputAttributeDefinition |
- | <resolver:AttributeEncoder xsi: | + | < |
- | <ad:Script> | + | < |
< | < | ||
- | | + | |
- | + | | |
- | importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider); | + | importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider); |
- | importPackage(Packages.java.lang); | + | importPackage(Packages.java.lang); |
- | importPackage(Packages.java.text); | + | importPackage(Packages.java.text); |
- | + | | |
- | if (cn.getValues().size() > 0) { | + | if(cn.getValues().size() > 0) { |
- | originalValue = cn.getValues().get(0); | + | originalValue = cn.getValues().get(0); |
- | asciiValue = Normalizer.normalize(originalValue, | + | asciiValue = Normalizer.normalize(originalValue, |
- | commonNameASCII.getValues().add(asciiValue); | + | commonNameASCII.getValues().add(asciiValue); |
- | } | + | |
]]> | ]]> | ||
- | </ad:Script> | + | </ |
- | </resolver:AttributeDefinition> | + | </ |
</ | </ | ||
!! | !! | ||
- | ?? unstructuredName | + | < |
- | :: Každému uživateli musí IdP přidělit [[# | + | Každému uživateli musí IdP přidělit [[# |
Některá IdP mají v repertoáru atribut s těmito vlastnostmi, | Některá IdP mají v repertoáru atribut s těmito vlastnostmi, | ||
**Tento identifikátor se u osobních certifikátů objeví přímo v poli CN.** Je tedy rozumné, aby měl přiměřenou délku. S výhodou lze využít např. číslo zaměstnance. | **Tento identifikátor se u osobních certifikátů objeví přímo v poli CN.** Je tedy rozumné, aby měl přiměřenou délku. S výhodou lze využít např. číslo zaměstnance. | ||
- | !! | + | \\ \\ \\ |
- | ?? eduPersonEntitlement | + | |
+ | < | ||
:: Tímto atributem řídí organizace přístupová práva ke službě. Portál certifikátů TCS rozeznává tyto hodnoty: | :: Tímto atributem řídí organizace přístupová práva ke službě. Portál certifikátů TCS rozeznává tyto hodnoty: | ||
^ Hodnota | ^ Hodnota | ||
- | | urn: | + | | urn: |
+ | | urn: | ||
Na úrovni SAML zprávy musí být tento atribut identifikovan jako '' | Na úrovni SAML zprávy musí být tento atribut identifikovan jako '' | ||
Řádek 125: | Řádek 127: | ||
Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu [[# | Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu [[# | ||
- | !! | + | \\ \\ \\ |
==== Nepovinné atributy pro certifikáty TCS ==== | ==== Nepovinné atributy pro certifikáty TCS ==== | ||
- | ?? telephone | + | < |
:: Obsahuje telefonní číslo uživatele. Telefonní číslo je důležité zejména pro rychlé kontaktování správců organizací v případě potíží. Tento attribut je nepovinný. | :: Obsahuje telefonní číslo uživatele. Telefonní číslo je důležité zejména pro rychlé kontaktování správců organizací v případě potíží. Tento attribut je nepovinný. | ||
Na úrovni SAML zprávy musí být tento atribut identifikován jako '' | Na úrovni SAML zprávy musí být tento atribut identifikován jako '' | ||
- | !! | + | \\ \\ \\ |
==== Diagnostika atributů ==== | ==== Diagnostika atributů ==== | ||
Řádek 140: | Řádek 142: | ||
Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku: | Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku: | ||
https:// | https:// | ||
- | |||
- | ==== Časté otázky ==== | ||
- | |||
- | **Otázka**: | ||
- | |||
- | **Odpověď**: | ||
- | |||