Organisationen werden von der DFN-PCA im HARICA-System angelegt. Das initiale Setup erfolgt in direkter Absprache mit dfnpca@dfn-cert.de.
User registrieren sich auf https://cm.harica.gr stets selbst. Es gibt keinen Prozess, bei dem ein Admin andere User anlegen kann. Es ist nicht möglich, die Selbst-Registrierung von Usern zu unterbinden. Ebenso gibt es auch keine Möglichkeit, User zu sperren oder zu löschen.
Die bei der Registrierung verwendete E-Mail-Adresse sorgt für die Zuordnung zu einer Einrichtung.
Es stehen die folgenden Arten der Registrierung zur Verfügung:
New to HARICA? Sign Up
mit Username und Passwort registrieren.Academic Login
Bei der Anmeldung über die AAI werden die Namensbestandteile der User derzeit mit einem Sonderzeichen ^
dargestellt:
Vorname^Nachname
Dies hat keine Auswirkung auf die Funktion.
Die Konfiguration erfordert üblicherweise die Mithilfe Ihrer AAI-Administration, da die Attributfreigaben anzupassen sind.
eduPersonTargetedID
zu erzeugen und herauszugeben. Wie dieses Attribut erzeugt werden kann, wird beschrieben unter: https://doku.tid.dfn.de/de:shibidp:config-attributes-edupersontargetedid<!-- Release to Harica SP --> <AttributeFilterPolicy id="harica"> <PolicyRequirementRule xsi:type="OR"> <Rule xsi:type="Requester" value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp" /> <Rule xsi:type="Requester" value="https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp" /> <Rule xsi:type="Requester" value="https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp" /> </PolicyRequirementRule> <AttributeRule attributeID="givenName" permitAny="true" /> <AttributeRule attributeID="sn" permitAny="true" /> <AttributeRule attributeID="mail" permitAny="true" /> <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> <!-- sofern das eduPersonEntitlement Attribut an HARICA gesendet werden soll, bitte die Längenbeschränkung beachten, siehe Doku --> <!-- unter https://doku.tid.dfn.de/de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten --> </AttributeFilterPolicy>
Es gibt die folgenden Rollen:
Der erste Enterprise Admin einer Einrichtung wird von ti-services@dfn-cert.de in diese Rolle gebracht. Weitere Rollen-Zuweisungen können dann von diesem selbst durchgeführt werden, allerdings nur für User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben.
Bevor ein normaler User Account von einem anderen bestehenden Enterprise Admin der eigenen Einrichtung zu einem weiteren Enterprise Admin und/oder Approver hochgestuft werden kann, muss der normale User Account bereits die Zwei-Faktor-Authentifizierung per TOTP (2FA) in dessen Profil angeschaltet haben. Zum Aktivieren der 2FA klickt man angemeldet als normaler User im hochzustufenden Account rechts oben den eigenen Namen an, wählt Profile→Two Factor Authentication und folgt den weiteren Anweisungen.
Der DFN-Verein hat eine übergeordnete Rolle „Enterprise Manager“, und kann die Organisationen im System verwalten.
Ein Enterprise Admin wählt zur Zuweisung von Rollen an andere User den Punkt „Enterprise→Admin“ oben am Bildschirm aus. Anschließend den Tab „Users“ und darin den zu bearbeitenden User anwählen. In der Detailansicht wählen Sie dann den Tab „Account info“ an.
Die Schiebeschalter Enterprise Admin und Enterprise Approver stehen nur zur Verfügung, wenn der User Two-factor Authentication bei sich eingerichtet hat.
Zum Zuweisen der Rollen müssen diese Schiebeschalter betätigt werden.
Wichtig: Anschließend muss dem Account eine „Validator group“ zugewiesen werden. Hierzu den Button „Manage groups“ betätigen, und die Anfangsbuchstaben des Organisatuonsnamens eingeben. In der Autovervollständigung dann auf den kompletten Namen klicken. Die Einstellungen werden durch den Button „Save“ gesichert.
Achtung: Die Weboberfläche hat derzeit Refresh-Probleme. Durchgeführte Änderungen sind erst nach einem kompletten Reload der Webseite sichtbar.
Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Insbesondere können Sie S/MIME-Zertifikate des Typs email-only
und Serverzertifikate des Typs DV
beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.
Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden.
Mögliche Dokumente:
Ablauf der Übermittlung: * Im CertManager Enterprise->Admin wählen, dann Tab Enterprises. * Eigene Einrichtung auswählen * In der aufklappenden Liste noch einmal die eigene Einrichtung auswählen * Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen. * Per Button "Upload" an HARICA übermitteln * Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit cc an ''ti-services@dfn-cert.de''. Z.B.:
To: support-tcs@harica.gr Cc: ti-services@dfn-cert.de Subject: Organisation validation for <Einrichtungsname> Hello, we have uploaded documents to start the organisation validation of <Einrichtungsname> thanks,
Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen.
Es stehen derzeit noch keine Mechanismen für die Abbildung von Abteilungs- oder Institutsstrukturen zur Verfügung.
Der sichtbare Button „Create subunit“ in der Detail-Ansicht der eigenen Organisation hat derzeit keine Funktion.