Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:enrollment [2025/06/05 13:58] Antonio Liude:dfnpki:tcs:2025:enrollment [2025/09/25 17:37] (aktuell) Antonio Liu
Zeile 31: Zeile 31:
   * Die folgende Freigabe übermittelt die notwendigen Attribute:   * Die folgende Freigabe übermittelt die notwendigen Attribute:
  
 +<file xml ./conf/attribute-filter.xml>
         <!--  Release to Harica SP -->         <!--  Release to Harica SP -->
         <AttributeFilterPolicy id="harica">         <AttributeFilterPolicy id="harica">
Zeile 42: Zeile 43:
             <AttributeRule attributeID="mail" permitAny="true" />             <AttributeRule attributeID="mail" permitAny="true" />
             <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />             <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
-         </AttributeFilterPolicy> +             
 + 
 +            <!-- sofern das eduPersonEntitlement Attribut an HARICA gesendet werden soll, bitte die Längenbeschränkung beachten, siehe Doku --> 
 +            <!-- unter https://doku.tid.dfn.de/de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten --> 
 +             
 +         </AttributeFilterPolicy
 +</file>
  
   * Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden.   * Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden.
 +
 +  * Wenn Sie Ihren Usern einen Bezug von S/MIME-Zertifikaten mit Vorname/Nachname mit Übernahme von AAI-Daten ermöglichen möchten, sind weitere Attribute und Entitlements freizugeben. Siehe hierzu [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbereitung für die Übernahme von AAI-Daten]]
 +
 +  * **Wichtig:** Der Identity-Provider darf in den Namensattributen ausschließlich echte Personennamen übertragen. Bitte keine Testnamen!
  
 ==== Rollen ==== ==== Rollen ====
Zeile 55: Zeile 66:
  
   * **Enterprise Admin**: Kann Domains verwalten und die Rollen Enterprise Admin und Enterprise Approver vergeben.   * **Enterprise Admin**: Kann Domains verwalten und die Rollen Enterprise Admin und Enterprise Approver vergeben.
- 
  
 Der erste Enterprise Admin einer Einrichtung wird von ti-services@dfn-cert.de in diese Rolle gebracht. Weitere Rollen-Zuweisungen können dann von diesem selbst durchgeführt werden, allerdings nur für User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben. Der erste Enterprise Admin einer Einrichtung wird von ti-services@dfn-cert.de in diese Rolle gebracht. Weitere Rollen-Zuweisungen können dann von diesem selbst durchgeführt werden, allerdings nur für User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben.
  
-Enterprise Admins und Approver **müssen** Zwei-Faktor-Authentifizierung per TOTP in ihrem Profil angeschaltet haben. Hierzu klickt man rechts oben den eigenen Namen an, wählt Profile->Two Factor Authentication und folgt den weiteren Anweisungen.+**Bevor** ein normaler User Account von einem anderen bestehenden Enterprise Admin der eigenen Einrichtung zu einem weiteren Enterprise Admin und/oder Approver hochgestuft werden kann, **muss** der normale User Account bereits die **Zwei-Faktor-Authentifizierung per TOTP (2FA)** in dessen Profil angeschaltet haben. Zum Aktivieren der 2FA klickt man angemeldet als normaler User im hochzustufenden Account rechts oben den eigenen Namen an, wählt Profile->Two Factor Authentication und folgt den weiteren Anweisungen.
  
 Der DFN-Verein hat eine übergeordnete Rolle "Enterprise Manager", und kann die Organisationen im System verwalten.  Der DFN-Verein hat eine übergeordnete Rolle "Enterprise Manager", und kann die Organisationen im System verwalten. 
Zeile 85: Zeile 95:
 ===== Organisationsvalidierung ===== ===== Organisationsvalidierung =====
  
-Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Inbesondere können Sie S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.+Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Insbesondere können Sie S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.
  
-Wenn Sie daüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden.+Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden.
  
 Mögliche Dokumente: Mögliche Dokumente:
Zeile 98: Zeile 108:
         * PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer         * PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer
  
-Ablauf der Übermittlung:+    Ablauf der Übermittlung:
   * Im CertManager Enterprise->Admin wählen, dann Tab Enterprises.   * Im CertManager Enterprise->Admin wählen, dann Tab Enterprises.
   * Eigene Einrichtung auswählen   * Eigene Einrichtung auswählen
Zeile 104: Zeile 114:
   * Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen.   * Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen.
   * Per Button "Upload" an HARICA übermitteln   * Per Button "Upload" an HARICA übermitteln
-  * Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit Cc an ''ti-services@dfn-cert.de''. Z.B.:+  * Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit cc an ''ti-services@dfn-cert.de''. Z.B.:
 <code> <code>
 To: support-tcs@harica.gr To: support-tcs@harica.gr
Zeile 119: Zeile 129:
 Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen. Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen.
  
-==== Departments, Abteilungen, Institute ====+===== Departments, Abteilungen, Institute =====
  
 Es stehen derzeit noch keine Mechanismen für die Abbildung von Abteilungs- oder Institutsstrukturen zur Verfügung. Es stehen derzeit noch keine Mechanismen für die Abbildung von Abteilungs- oder Institutsstrukturen zur Verfügung.
  • Zuletzt geändert: vor 6 Monaten