Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:enrollment [2025/06/24 14:34] – [User-Registrierung] Juergen Brauckmannde:dfnpki:tcs:2025:enrollment [2025/09/25 17:37] (aktuell) Antonio Liu
Zeile 31: Zeile 31:
   * Die folgende Freigabe übermittelt die notwendigen Attribute:   * Die folgende Freigabe übermittelt die notwendigen Attribute:
  
 +<file xml ./conf/attribute-filter.xml>
         <!--  Release to Harica SP -->         <!--  Release to Harica SP -->
         <AttributeFilterPolicy id="harica">         <AttributeFilterPolicy id="harica">
Zeile 42: Zeile 43:
             <AttributeRule attributeID="mail" permitAny="true" />             <AttributeRule attributeID="mail" permitAny="true" />
             <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />             <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
-         </AttributeFilterPolicy> +             
 + 
 +            <!-- sofern das eduPersonEntitlement Attribut an HARICA gesendet werden soll, bitte die Längenbeschränkung beachten, siehe Doku --> 
 +            <!-- unter https://doku.tid.dfn.de/de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten --> 
 +             
 +         </AttributeFilterPolicy
 +</file>
  
   * Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden.   * Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden.
  
-  * Wenn Sie Ihren Usern einen Bezug von S/MIME-Zertifikaten mit Vorname/Nachname im Self-Service ohne weitere Genehmigungsschritte ermöglichen möchten, so übermitteln Sie zusätzlich die Attribute ''eduPersonPrincipalName'' und ''eduPersonEntitlement'' +  * Wenn Sie Ihren Usern einen Bezug von S/MIME-Zertifikaten mit Vorname/Nachname mit Übernahme von AAI-Daten ermöglichen möchten, sind weitere Attribute und Entitlements freizugeben. Siehe hierzu [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbereitung für die Übernahme von AAI-Daten]] 
-    *  Entitlement ''urn:mace:terena.org:tcs:smime-sv-autoissue'' ermöglicht den Bezug von S/MIME-Zertifikaten + 
-     Entitlement ''urn:mace:terena.org:tcs:personal-user'' ermöglicht den Bezug von S/MIME-Zertifikate und zusätzlich des Typs IGTF ClientAuth (private PKI für Grid-Computing, separater Menüpunkt für die User)  +  * **Wichtig:** Der Identity-Provider darf in den Namensattributen ausschließlich echte Personennamen übertragenBitte keine Testnamen!
-    * **Wichtig**: Voraussetzung für das Setzen der Entitlements ist, dass Sie in Ihrer Einrichtung die User identifiziert haben. Dies kann auch in der Vergangenheit im Rahmen der Einschreibung oder der Vergabe von Accounts im Rechenzentrum geschehen sein.+
  
 ==== Rollen ==== ==== Rollen ====
Zeile 60: Zeile 66:
  
   * **Enterprise Admin**: Kann Domains verwalten und die Rollen Enterprise Admin und Enterprise Approver vergeben.   * **Enterprise Admin**: Kann Domains verwalten und die Rollen Enterprise Admin und Enterprise Approver vergeben.
- 
  
 Der erste Enterprise Admin einer Einrichtung wird von ti-services@dfn-cert.de in diese Rolle gebracht. Weitere Rollen-Zuweisungen können dann von diesem selbst durchgeführt werden, allerdings nur für User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben. Der erste Enterprise Admin einer Einrichtung wird von ti-services@dfn-cert.de in diese Rolle gebracht. Weitere Rollen-Zuweisungen können dann von diesem selbst durchgeführt werden, allerdings nur für User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben.
  
-Enterprise Admins und Approver **müssen** Zwei-Faktor-Authentifizierung per TOTP in ihrem Profil angeschaltet haben. Hierzu klickt man rechts oben den eigenen Namen an, wählt Profile->Two Factor Authentication und folgt den weiteren Anweisungen.+**Bevor** ein normaler User Account von einem anderen bestehenden Enterprise Admin der eigenen Einrichtung zu einem weiteren Enterprise Admin und/oder Approver hochgestuft werden kann, **muss** der normale User Account bereits die **Zwei-Faktor-Authentifizierung per TOTP (2FA)** in dessen Profil angeschaltet haben. Zum Aktivieren der 2FA klickt man angemeldet als normaler User im hochzustufenden Account rechts oben den eigenen Namen an, wählt Profile->Two Factor Authentication und folgt den weiteren Anweisungen.
  
 Der DFN-Verein hat eine übergeordnete Rolle "Enterprise Manager", und kann die Organisationen im System verwalten.  Der DFN-Verein hat eine übergeordnete Rolle "Enterprise Manager", und kann die Organisationen im System verwalten. 
Zeile 90: Zeile 95:
 ===== Organisationsvalidierung ===== ===== Organisationsvalidierung =====
  
-Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Inbesondere können Sie S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.+Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Insbesondere können Sie S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.
  
-Wenn Sie daüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden.+Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden.
  
 Mögliche Dokumente: Mögliche Dokumente:
Zeile 103: Zeile 108:
         * PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer         * PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer
  
-Ablauf der Übermittlung:+    Ablauf der Übermittlung:
   * Im CertManager Enterprise->Admin wählen, dann Tab Enterprises.   * Im CertManager Enterprise->Admin wählen, dann Tab Enterprises.
   * Eigene Einrichtung auswählen   * Eigene Einrichtung auswählen
Zeile 109: Zeile 114:
   * Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen.   * Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen.
   * Per Button "Upload" an HARICA übermitteln   * Per Button "Upload" an HARICA übermitteln
-  * Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit Cc an ''ti-services@dfn-cert.de''. Z.B.:+  * Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit cc an ''ti-services@dfn-cert.de''. Z.B.:
 <code> <code>
 To: support-tcs@harica.gr To: support-tcs@harica.gr
  • Zuletzt geändert: vor 5 Monaten