Organisationen werden von der DFN-PCA im HARICA-System angelegt. Das initiale Setup erfolgt in direkter Absprache mit dfnpca@dfn-cert.de.

User registrieren sich auf https://cm.harica.gr stets selbst. Es gibt keinen Prozess, bei dem ein Admin andere User anlegen kann. Es ist nicht möglich, die Selbst-Registrierung von Usern zu unterbinden. Ebenso gibt es auch keine Möglichkeit, User zu sperren oder zu löschen.

Die bei der Registrierung verwendete E-Mail-Adresse sorgt für die Zuordnung zu einer Einrichtung.

Es stehen die folgenden Arten der Registrierung zur Verfügung:

• Username/Passwort. User können sich über den Link im Text New to HARICA? Sign Up mit Username und Passwort registrieren.
• Über die AAI mit dem Button Academic Login

Bei der Anmeldung über die AAI werden die Namensbestandteile der User derzeit mit einem Sonderzeichen ^dargestellt:

  Vorname^Nachname

Dies hat keine Auswirkung auf die Funktion.

Die Konfiguration erfordert üblicherweise die Mithilfe Ihrer AAI-Administration, da die Attributfreigaben anzupassen sind.

• Die HARICA-Service-Provider sind in den eduGAIN-Metadaten enthalten.

• Ihr Identity-Provider muss in eduGAIN eingebunden sein (Unter https://met.refeds.org/met/search_service/ können Sie nach Ihrer Einrichtung suchen und sehen, ob diese an eduGAIN teilnimmt.)

• Ihr Identity-Provider muss in der Lage sein, eine eduPersonTargetedID zu erzeugen und herauszugeben. Wie dieses Attribut erzeugt werden kann, wird beschrieben unter: https://doku.tid.dfn.de/de:shibidp:config-attributes-edupersontargetedid

• Die folgende Freigabe übermittelt die notwendigen Attribute:

./conf/attribute-filter.xml

        <!--  Release to Harica SP -->
        <AttributeFilterPolicy id="harica">
            <PolicyRequirementRule xsi:type="OR">
                <Rule xsi:type="Requester" value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp" />
                <Rule xsi:type="Requester" value="https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp" />
                <Rule xsi:type="Requester" value="https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp" />
            </PolicyRequirementRule>
            <AttributeRule attributeID="givenName" permitAny="true" />
            <AttributeRule attributeID="sn" permitAny="true" />
            <AttributeRule attributeID="mail" permitAny="true" />
            <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
 
 
            <!-- sofern das eduPersonEntitlement Attribut an HARICA gesendet werden soll, bitte die Längenbeschränkung beachten, siehe Doku -->
            <!-- unter https://doku.tid.dfn.de/de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten -->
 
         </AttributeFilterPolicy>

• Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden.

• Wenn Sie Ihren Usern einen Bezug von S/MIME-Zertifikaten mit Vorname/Nachname mit Übernahme von AAI-Daten ermöglichen möchten, sind weitere Attribute und Entitlements freizugeben. Siehe hierzu Vorbereitung für die Übernahme von AAI-Daten

• Wichtig: Der Identity-Provider darf in den Namensattributen ausschließlich echte Personennamen übertragen. Bitte keine Testnamen!

Es gibt die folgenden Rollen:

• Normale User ohne erhöhte Rechte. Kann für sich Zertifikate beantragen.

• Enterprise Approver: Genehmigt gestellte Zertifikatanträge. Es gibt getrennte Rollen für S/MIME und Serverzertifikate

• Enterprise Admin: Kann Domains verwalten und die Rollen Enterprise Admin und Enterprise Approver vergeben.

Der erste Enterprise Admin einer Einrichtung wird von ti-services@dfn-cert.de in diese Rolle gebracht. Weitere Rollen-Zuweisungen können dann von diesem selbst durchgeführt werden, allerdings nur für User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben.

Bevor ein normaler User Account von einem anderen bestehenden Enterprise Admin der eigenen Einrichtung zu einem weiteren Enterprise Admin und/oder Approver hochgestuft werden kann, muss der normale User Account bereits die Zwei-Faktor-Authentifizierung per TOTP (2FA) in dessen Profil angeschaltet haben. Zum Aktivieren der 2FA klickt man angemeldet als normaler User im hochzustufenden Account rechts oben den eigenen Namen an, wählt Profile→Two Factor Authentication und folgt den weiteren Anweisungen.

Der DFN-Verein hat eine übergeordnete Rolle „Enterprise Manager“, und kann die Organisationen im System verwalten.

Ein Enterprise Admin wählt zur Zuweisung von Rollen an andere User den Punkt „Enterprise→Admin“ oben am Bildschirm aus. Anschließend den Tab „Users“ und darin den zu bearbeitenden User anwählen. In der Detailansicht wählen Sie dann den Tab „Account info“ an.

Die Schiebeschalter Enterprise Admin und Enterprise Approver stehen nur zur Verfügung, wenn der User Two-factor Authentication bei sich eingerichtet hat.

Zum Zuweisen der Rollen müssen diese Schiebeschalter betätigt werden.

Wichtig: Anschließend muss dem Account eine „Validator group“ zugewiesen werden. Hierzu den Button „Manage groups“ betätigen, und die Anfangsbuchstaben des Organisatuonsnamens eingeben. In der Autovervollständigung dann auf den kompletten Namen klicken. Die Einstellungen werden durch den Button „Save“ gesichert.

Achtung: Die Weboberfläche hat derzeit Refresh-Probleme. Durchgeführte Änderungen sind erst nach einem kompletten Reload der Webseite sichtbar.

Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Insbesondere können Sie S/MIME-Zertifikate des Typs email-only und Serverzertifikate des Typs DV beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.

Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden.

Mögliche Dokumente:

• Für Vereine und Gesellschaften wie GmbHs:
  • Screenshot des Suchergebnisses inklusive Registernummer von https://www.handelsregister.de
  • PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer
• Für öffentliche Hochschulen und Universitäten:
  • PDF (Auszug) des Hochschulgesetz, das die Einrichtung begründet. Bitte heben Sie den eigenen Namen per PDF-Marker hervor.
  • Weicht Ihr Einrichtungsname vom Hochschulgesetz ab, muss ein diese Abweichung begründendes Dokument beigelegt werden. Häufig ist dies die Grundordnung.
  • PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer

  Ablauf der Übermittlung:
* Im CertManager Enterprise->Admin wählen, dann Tab Enterprises.
* Eigene Einrichtung auswählen
* In der aufklappenden Liste noch einmal die eigene Einrichtung auswählen
* Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen.
* Per Button "Upload" an HARICA übermitteln
* Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit cc an ''ti-services@dfn-cert.de''. Z.B.:

To: support-tcs@harica.gr
Cc: ti-services@dfn-cert.de
Subject: Organisation validation for <Einrichtungsname>

Hello,

we have uploaded documents to start the organisation validation of <Einrichtungsname>

thanks,

Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen.

Es stehen derzeit noch keine Mechanismen für die Abbildung von Abteilungs- oder Institutsstrukturen zur Verfügung.

Der sichtbare Button „Create subunit“ in der Detail-Ansicht der eigenen Organisation hat derzeit keine Funktion.