Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
cs:tcs-admin.html [2020/06/30 09:58] – [Jmenování administrativního kontaktu] jan.chvojka@cesnet.czcs:tcs-admin.html [2025/05/22 09:09] (aktuální) – [Připojení ke službě Certifikáty TCS] Ing. Daniel Studený
Řádek 1: Řádek 1:
 ====== Připojení ke službě Certifikáty TCS ====== ====== Připojení ke službě Certifikáty TCS ======
  
-Od července 2015 zprostředkovává CESNET, z. s. p. o., službu Certifikáty TCS [[http://www.geant.org/Services/Trust_identity_and_security/Pages/TCS.aspx|Trusted Certificate Service]] pro organizace začleněné do české sítě národního výzkumu CESNET2Organizacím, které nejsou do sítě CESNET2 připojeny, není možné umožnit tuto službu využívat. Služba je poskytována firmou [[https://www.sectigo.com/|Sectigo]]. Následující návod popisuje ipojení organizace k portálu certifikátů TCS.+Od července 2015 zprostředkovává sdružení CESNET pro své členy a další připojené organizace službu Certifikáty TCS ([[http://www.geant.org/Services/Trust_identity_and_security/Pages/TCS.aspx|Trusted Certificate Service]])Vydávání TCS certifikátů zastřešuje GEANT (link) a jejich aktuálním vydavatelem je společnost [[https://harica.gr/|HARICA]]. 
 +Organizace, které nejsou k CESNETu ipojeny, nemohou tuto službu využívat.
  
-===== Administrativní úkony =====+Následující návod popisuje připojení organizace k portálu certifikátů TCS.
  
-==== Jmenování administrativního kontaktu ====+===== Žádost o zpřístupnění služby =====
  
-Statutární zástupce organizace jmenuje své zástupce pro službu -- správce služby Certifikáty TCS. Vhodnými kandidáty pro tuto funkci jsou správci služby Identity Provider dané organizace.+Organizace, která má zájem užívat službu Certifikáty TCS, musí o zpřístupnění služby požádat prostřednictvím [[https://tcs.cesnet.cz/neworganization/|elektronického formuláře]]. Žádosti o vydání certifikátů následně schvaluje skupina určených zástupců organizace. Vhodnými kandidáty pro tuto funkci jsou správci IdP //eduId.cz// dané organizace (pokud je organizace k federaci identit //eduId.cz// připojena), nebo správci DNS či e-mailových služeb. Prvního zástupce organizace pro službu Certifikáty TCS určí organizace. Ten v žádosti o zprovoznění služby nahlásí sdružení CESNET další zástupce. Velikost skupiny zástupců pro službu TCS záleží na potřebách organizace. Kterýkoliv ze zástupců je následně oprávněn oznamovat sdružení CESNET změny ve složení skupiny zástupců prostřednictvím téhož formuláře. Zástupci organizace potvrzují svoji identitu a příslušnost k organizaci přihlášením do rozhraní správy certifikátů organizace prostřednictvím jejího IdP, nebo autentizační služby //[[https://www.mojeid.cz/|MojeID]]//, pokud není organizace připojena k //eduId.cz//.
  
-Jmenovací formulář si vygenerujete na stránce [[https://tcs.cesnet.cz/neworganization/form|https://tcs.cesnet.cz/neworganization/form]]. **Název organizace nesmí v žádné podobě esáhnout 64 znaků** (v české verzi to znamená, že každý znak s diakritikou se počíta za dva znaky). Následně ho vytištěný a podepsaný statutárním zástupcem organizace doručte na adresu:+Žádost o zpřístupnění služby je dostupná na stránce [[https://tcs.cesnet.cz/neworganization/|https://tcs.cesnet.cz/neworganization/]]. Při vyplňování dbejte na správnost údajů. Ty, které se týkají organizace samotné, jsou vyplněny z rejstříku ekonomických subjektů a nelze je měnit. Pokud **název organizace přesáhne 64 znaků** (každý znak s diakritikou se počítá za dva znaky), je nutné jej z technických důvodů zkrátitVyplněný a nepozměněný vygenerovaný formulář je následně nutné doručit sdružení CESNET do jeho datové schránky ''gn35eaq''. K odeslání použijte výhradně **datovou schránku žádající organizace**, nikoliv např. soukromou datovou schránku správce.
  
-TCS RA \\ +Jakmile Registrační autorita CESNET TCS obdrží žádost o zprovoznění služby, bude určené zástupce organizace informovat o dalším postupu.
-CESNET \\ +
-Zikova 4 \\ +
-160 00 Praha 6 \\+
  
-Jakmile Registrační autorita CESNET TCS obdrží jmenovací listinu, bude administrativní kontakty informovat o dalším postupu.+===== Administrativní požadavky na uživatele TCS =====
  
 Služba TCS využívá identity z české akademické federace identit //eduID.cz//. Detailněji je vazba služby na //eduID.cz// popsána na [[tcs-eduid.html|samostatné stránce]]. Níže alespoň ve zkratce: Služba TCS využívá identity z české akademické federace identit //eduID.cz//. Detailněji je vazba služby na //eduID.cz// popsána na [[tcs-eduid.html|samostatné stránce]]. Níže alespoň ve zkratce:
Řádek 22: Řádek 20:
 **Serverové certifikáty** \\ **Serverové certifikáty** \\
  
-Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v //eduID.cz//. Pokud připojovaná organizace není členem //eduID.cz//, je možné používat službu //[[https://www.mojeid.cz/|mojeID]]//. Účty v mojeID musí být ověřené.+Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v //eduID.cz//. Pokud připojovaná organizace není členem //eduID.cz//, je možné používat službu //[[https://www.mojeid.cz/|mojeID]]//.
  
 **Osobní certifikáty** \\ **Osobní certifikáty** \\
  
-Pro využívání služby **osobních** certifikátů TCS musí být organizace členem //eduID.cz// a musí mít funkční službu //Poskytovatele identity// (IdP). V tomto případě  není použití služby Hostel IdP možné.+Pro využívání služby **osobních** certifikátů TCS musí být organizace členem //eduID.cz// a musí mít funkční službu //Poskytovatele identity// (IdP). V tomto případě není použití externích identit možné.
  
 ===== Technické předpoklady ===== ===== Technické předpoklady =====
Řádek 39: Řádek 37:
 V rámci spuštění nové služby je potřeba sjednotit používané identifikace atributů mezi jednotlivými IdP. V rámci spuštění nové služby je potřeba sjednotit používané identifikace atributů mezi jednotlivými IdP.
  
-  ?? givenName +<code>givenName</code> 
-:: Obsahuje křestní jméno uživatele podle dokladu totožnosti.+Obsahuje křestní jméno uživatele podle dokladu totožnosti.
  
 Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.42''. Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.42''.
-!!+\\ \\ \\
  
-  ?? sn +<code>sn</code> 
-:: Obsahuje příjmení uživatele podle dokladu totožnosti.+Obsahuje příjmení uživatele podle dokladu totožnosti.
  
 Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.4''. Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.4''.
-!!+\\ \\ \\ 
 + 
 +<code>authMail</code> 
 +Tento vícehodnotový atribut obsahuje ověřené adresy elektronické pošty uživatele.
  
-  ?? mail 
-:: Tento vícehodnotový atribut obsahuje ověřené adresy elektronické pošty uživatele. 
 <WRAP important> <WRAP important>
 Emailové adresy poskytnuté službě TCS musí být **ověřeny**! Organizace ručí za jejich správnost a za to, že patří danému uživateli. Emailové adresy poskytnuté službě TCS musí být **ověřeny**! Organizace ručí za jejich správnost a za to, že patří danému uživateli.
Řádek 58: Řádek 57:
 Jestliže vaše organizace umožňuje uživatelům, aby si v systému IdP sami nastavovali emailové adresy, musíte zajistit, aby pro služby TCS byly uvolněny pouze adresy ověřené. Jestliže vaše organizace umožňuje uživatelům, aby si v systému IdP sami nastavovali emailové adresy, musíte zajistit, aby pro služby TCS byly uvolněny pouze adresy ověřené.
 </WRAP> </WRAP>
-Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.2.840.113549.1.9.1''. Pokud vaše IdP používá pouze ověřené emailyposílejte atritubu  ''urn:oid:1.2.840.113549.1.9.1'' tytéž hodnotykteré v eduID.cz posíláte v ''urn:oid:0.9.2342.19200300.100.1.3''+Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.2.840.113549.1.9.1''. Pokud pokud má být některá z adres preferovanáa tedy uváděná jako první osobních certifikátech a používaná jako výchozí pro notifikacepak ji uvádějte jednohodnotovém pro federaci rovněž povinném atributu **mail** identifikovaném jako ''urn:oid:0.9.2342.19200300.100.1.3''
-!!+Pokud organizace nedovoluje uživatelům používat více e-mailových adres, pak tu jedinou lze uvádět v atributu **mail** a atribut **authMail** neuvolňovat. 
 +\\ \\ \\
  
-  ?? eduPersonPrincipalName +<code>eduPersonUniqueID</code> 
-:: Obsahuje jednoznačný identifikátor uživatele. +Obsahuje jednoznačný identifikátor uživatele v rámci federace
-Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.6''.  +Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.13''.  
-!!+\\ \\ \\
  
 ==== Povinné atributy pro osobní certifikáty TCS ==== ==== Povinné atributy pro osobní certifikáty TCS ====
Řádek 70: Řádek 70:
 Přístup k osobním certifikátům TCS vyžaduje kromě obecných SAML atributů pro TCS ještě následující atributy: Přístup k osobním certifikátům TCS vyžaduje kromě obecných SAML atributů pro TCS ještě následující atributy:
  
-  ?? commonNameASCII +<code>commonNameASCII</code> 
-:: Obsahuje plné jméno uživatele podle dokladu totožnosti převedené do sedmibitového kódování ASCII (zbavené diakritiky). Jeho hodnota bude uvedena v atributu ''commonName'' (''CN'') předmětu //Osobního eScience TCS// certifikátu.+Obsahuje plné jméno uživatele podle dokladu totožnosti převedené do sedmibitového kódování ASCII (zbavené diakritiky). Jeho hodnota bude uvedena v atributu ''commonName'' (''CN'') předmětu //Osobního eScience TCS// certifikátu.
  
 Na úrovni SAML zprávy musí být tento atribut identifikován jako ''<nowiki>http://eduid.cz/attributes/commonName#ASCII</nowiki>''. Na úrovni SAML zprávy musí být tento atribut identifikován jako ''<nowiki>http://eduid.cz/attributes/commonName#ASCII</nowiki>''.
Řádek 83: Řádek 83:
 <code xml> <code xml>
 <!-- commonNameASCII --> <!-- commonNameASCII -->
-<resolver:AttributeDefinition id="commonNameASCII" xsi:type="ad:Script"> +<AttributeDefinition xsi:type="ScriptedAttribute" id="commonNameASCII"> 
-    <resolver:Dependency ref="cn" />   +    <InputAttributeDefinition ref="cn"/> 
-    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="http://eduid.cz/attributes/commonName#ASCII" friendlyName="commonNameASCII" /> +    <AttributeEncoder xsi:type="SAML2String" name="http://eduid.cz/attributes/commonName#ASCII" friendlyName="commonNameASCII"/> 
-    <ad:Script>+    <Script>
     <![CDATA[     <![CDATA[
-    load("nashorn:mozilla_compat.js"); +        load("nashorn:mozilla_compat.js");                                                                       
- +      
-    importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider); +        importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider); 
-    importPackage(Packages.java.lang); +        importPackage(Packages.java.lang); 
-    importPackage(Packages.java.text); +        importPackage(Packages.java.text); 
- +      
-    if (cn.getValues().size() > 0) { +        if(cn.getValues().size() > 0) { 
-        originalValue = cn.getValues().get(0); +            originalValue = cn.getValues().get(0); 
-        asciiValue = Normalizer.normalize(originalValue, Normalizer.Form.NFD).replaceAll("\\p{InCombiningDiacriticalMarks}+", ""); +            asciiValue = Normalizer.normalize(originalValue, Normalizer.Form.NFD).replaceAll("\\p{InCombiningDiacriticalMarks}+", ""); 
-        commonNameASCII.getValues().add(asciiValue); +            commonNameASCII.getValues().add(asciiValue); 
-    }+       }
     ]]>     ]]>
-    </ad:Script> +    </Script> 
-</resolver:AttributeDefinition>+</AttributeDefinition>
 </code> </code>
  
 !! !!
  
-  ?? unstructuredName +<code>unstructuredName</code> 
-:: Každému uživateli musí IdP přidělit [[#unstructuredname|unikátní identifikátor]]. Tento identifikátor musí zůstat pro daného uživatele konstantní a nesmí být **nikdy**, ani v budoucnosti, přiřazen jinému uživateli.+Každému uživateli musí IdP přidělit [[#unstructuredname|unikátní identifikátor]]. Tento identifikátor musí zůstat pro daného uživatele konstantní a nesmí být **nikdy**, ani v budoucnosti, přiřazen jinému uživateli.
  
 Některá IdP mají v repertoáru atribut s těmito vlastnostmi, jiná jej musí pro účely TCS vytvořit. Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.2.840.113549.1.9.2''. Některá IdP mají v repertoáru atribut s těmito vlastnostmi, jiná jej musí pro účely TCS vytvořit. Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.2.840.113549.1.9.2''.
  
 **Tento identifikátor se u osobních certifikátů objeví přímo v poli CN.** Je tedy rozumné, aby měl přiměřenou délku. S výhodou lze využít např. číslo zaměstnance. **Tento identifikátor se u osobních certifikátů objeví přímo v poli CN.** Je tedy rozumné, aby měl přiměřenou délku. S výhodou lze využít např. číslo zaměstnance.
-!!+\\ \\ \\
  
-  ?? eduPersonEntitlement+ 
 +<code>eduPersonEntitlement</code>
 :: Tímto atributem řídí organizace přístupová práva ke službě. Portál certifikátů TCS  rozeznává tyto hodnoty: :: Tímto atributem řídí organizace přístupová práva ke službě. Portál certifikátů TCS  rozeznává tyto hodnoty:
 ^ Hodnota  ^ Oprávnění              ^ ^ Hodnota  ^ Oprávnění              ^
-| urn:mace:terena.org:tcs:escience-user | Žádat o Osobní eScience certifikát TCS|+| urn:mace:terena.org:tcs:personal-user | Žádat o běžný osobní certifikát TCS| 
 +| urn:mace:terena.org:tcs:escience-user | Žádat o osobní eScience certifikát TCS (momentálně nedostupný)|
  
 Na úrovni SAML zprávy musí být tento atribut identifikovan jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.7''. Osobní certifikáty TCS mohou být poskytnuty pouze uživatelům splňujícím tyto podmínky: Na úrovni SAML zprávy musí být tento atribut identifikovan jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.7''. Osobní certifikáty TCS mohou být poskytnuty pouze uživatelům splňujícím tyto podmínky:
Řádek 125: Řádek 127:
  
 Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu [[#eduPersonEntitlement|eduPersonEntitlement]] organizace vyjadřuje, že výše uvedené podmínky jsou pro daného uživatele splněny. Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu [[#eduPersonEntitlement|eduPersonEntitlement]] organizace vyjadřuje, že výše uvedené podmínky jsou pro daného uživatele splněny.
-!!+\\ \\ \\
  
  
 ==== Nepovinné atributy pro certifikáty TCS ==== ==== Nepovinné atributy pro certifikáty TCS ====
  
-  ?? telephone+<code>telephone</code>
 :: Obsahuje telefonní číslo uživatele. Telefonní číslo je důležité zejména pro rychlé kontaktování správců organizací v případě potíží. Tento attribut je nepovinný. :: Obsahuje telefonní číslo uživatele. Telefonní číslo je důležité zejména pro rychlé kontaktování správců organizací v případě potíží. Tento attribut je nepovinný.
  
 Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.20''. Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:2.5.4.20''.
-!!+\\ \\ \\
  
 ==== Diagnostika atributů ==== ==== Diagnostika atributů ====
Řádek 140: Řádek 142:
 Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku:  Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku: 
 https://tcs.cesnet.cz/attributes/  https://tcs.cesnet.cz/attributes/ 
- 
-==== Časté otázky ==== 
- 
-**Otázka**: Naše organizace byla připojena ke starému poskytovateli certifikátů. Můžeme někde najít seznamy vydaných certifikátů od původního poskytovatele? 
- 
-**Odpověď**: Seznam serverových certifikátů naleznete na stránce [[https://tcs.cesnet.cz/lst|https://tcs.cesnet.cz/lst]]. Starý portál osobních certifikátů je stále funkční, pouze nelze žádat o certifikáty. 
-