Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:enrollment [2025/06/26 16:48] – [User-Registrierung] Reimer Karlsen-Masurde:dfnpki:tcs:2025:enrollment [2025/09/25 17:37] (aktuell) Antonio Liu
Zeile 31: Zeile 31:
   * Die folgende Freigabe übermittelt die notwendigen Attribute:   * Die folgende Freigabe übermittelt die notwendigen Attribute:
  
 +<file xml ./conf/attribute-filter.xml>
         <!--  Release to Harica SP -->         <!--  Release to Harica SP -->
         <AttributeFilterPolicy id="harica">         <AttributeFilterPolicy id="harica">
Zeile 42: Zeile 43:
             <AttributeRule attributeID="mail" permitAny="true" />             <AttributeRule attributeID="mail" permitAny="true" />
             <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />             <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
-         </AttributeFilterPolicy> +             
 + 
 +            <!-- sofern das eduPersonEntitlement Attribut an HARICA gesendet werden soll, bitte die Längenbeschränkung beachten, siehe Doku --> 
 +            <!-- unter https://doku.tid.dfn.de/de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten --> 
 +             
 +         </AttributeFilterPolicy
 +</file>
  
   * Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden.   * Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden.
Zeile 48: Zeile 55:
   * Wenn Sie Ihren Usern einen Bezug von S/MIME-Zertifikaten mit Vorname/Nachname mit Übernahme von AAI-Daten ermöglichen möchten, sind weitere Attribute und Entitlements freizugeben. Siehe hierzu [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbereitung für die Übernahme von AAI-Daten]]   * Wenn Sie Ihren Usern einen Bezug von S/MIME-Zertifikaten mit Vorname/Nachname mit Übernahme von AAI-Daten ermöglichen möchten, sind weitere Attribute und Entitlements freizugeben. Siehe hierzu [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbereitung für die Übernahme von AAI-Daten]]
  
-  * **Wichtig:** Der DFN-AAI-Identity-Provider (IdP) darf in den für die Ausstellung von Zertifikaten verwendeten Namensattributen (insb. ''givenName'' (Vorname) und ''sn'' (Surname/Nachname)) ausschließlich die echten Personennamen der Person hinter dem jeweiligen IdP-Eintrag übertragen. Das gilt auch für Tests.+  * **Wichtig:** Der Identity-Provider darf in den Namensattributen ausschließlich echte Personennamen übertragen. Bitte keine Testnamen!
  
 ==== Rollen ==== ==== Rollen ====
Zeile 59: Zeile 66:
  
   * **Enterprise Admin**: Kann Domains verwalten und die Rollen Enterprise Admin und Enterprise Approver vergeben.   * **Enterprise Admin**: Kann Domains verwalten und die Rollen Enterprise Admin und Enterprise Approver vergeben.
- 
  
 Der erste Enterprise Admin einer Einrichtung wird von ti-services@dfn-cert.de in diese Rolle gebracht. Weitere Rollen-Zuweisungen können dann von diesem selbst durchgeführt werden, allerdings nur für User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben. Der erste Enterprise Admin einer Einrichtung wird von ti-services@dfn-cert.de in diese Rolle gebracht. Weitere Rollen-Zuweisungen können dann von diesem selbst durchgeführt werden, allerdings nur für User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben.
  
-Enterprise Admins und Approver **müssen** Zwei-Faktor-Authentifizierung per TOTP in ihrem Profil angeschaltet haben. Hierzu klickt man rechts oben den eigenen Namen an, wählt Profile->Two Factor Authentication und folgt den weiteren Anweisungen.+**Bevor** ein normaler User Account von einem anderen bestehenden Enterprise Admin der eigenen Einrichtung zu einem weiteren Enterprise Admin und/oder Approver hochgestuft werden kann, **muss** der normale User Account bereits die **Zwei-Faktor-Authentifizierung per TOTP (2FA)** in dessen Profil angeschaltet haben. Zum Aktivieren der 2FA klickt man angemeldet als normaler User im hochzustufenden Account rechts oben den eigenen Namen an, wählt Profile->Two Factor Authentication und folgt den weiteren Anweisungen.
  
 Der DFN-Verein hat eine übergeordnete Rolle "Enterprise Manager", und kann die Organisationen im System verwalten.  Der DFN-Verein hat eine übergeordnete Rolle "Enterprise Manager", und kann die Organisationen im System verwalten. 
Zeile 89: Zeile 95:
 ===== Organisationsvalidierung ===== ===== Organisationsvalidierung =====
  
-Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Inbesondere können Sie S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.+Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Insbesondere können Sie S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.
  
-Wenn Sie daüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden.+Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden.
  
 Mögliche Dokumente: Mögliche Dokumente:
Zeile 102: Zeile 108:
         * PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer         * PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer
  
-Ablauf der Übermittlung:+    Ablauf der Übermittlung:
   * Im CertManager Enterprise->Admin wählen, dann Tab Enterprises.   * Im CertManager Enterprise->Admin wählen, dann Tab Enterprises.
   * Eigene Einrichtung auswählen   * Eigene Einrichtung auswählen
Zeile 108: Zeile 114:
   * Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen.   * Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen.
   * Per Button "Upload" an HARICA übermitteln   * Per Button "Upload" an HARICA übermitteln
-  * Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit Cc an ''ti-services@dfn-cert.de''. Z.B.:+  * Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit cc an ''ti-services@dfn-cert.de''. Z.B.:
 <code> <code>
 To: support-tcs@harica.gr To: support-tcs@harica.gr
  • Zuletzt geändert: vor 5 Monaten