Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |
| de:dfnpki:tcs:2025:usercerts [2025/07/29 11:49] – [S/MIME] Reimer Karlsen-Masur | de:dfnpki:tcs:2025:usercerts [2025/09/17 16:35] (aktuell) – [S/MIME] Reimer Karlsen-Masur |
|---|
| * ''urn:mace:terena.org:tcs:personal-user'' ermöglicht den Bezug von S/MIME-Zertifikate und zusätzlich des Typs IGTF Client Auth (siehe unten) | * ''urn:mace:terena.org:tcs:personal-user'' ermöglicht den Bezug von S/MIME-Zertifikate und zusätzlich des Typs IGTF Client Auth (siehe unten) |
| * **Wichtig:** Voraussetzung für das Setzen der Entitlements ist, dass Sie in Ihrer Einrichtung die User identifiziert haben. Dies kann auch in der Vergangenheit im Rahmen der Einschreibung oder der Vergabe von Accounts im Rechenzentrum geschehen sein. Alle uns bekannten Details zu Anforderungen nach der Identifizierung sind von HARICA mit den unten genannten Bedingungen erläutert worden. | * **Wichtig:** Voraussetzung für das Setzen der Entitlements ist, dass Sie in Ihrer Einrichtung die User identifiziert haben. Dies kann auch in der Vergangenheit im Rahmen der Einschreibung oder der Vergabe von Accounts im Rechenzentrum geschehen sein. Alle uns bekannten Details zu Anforderungen nach der Identifizierung sind von HARICA mit den unten genannten Bedingungen erläutert worden. |
| * **Wichtig:** Das an HARICA übertragene ''eduPersonEntitlement''-Attribut darf eine maximale Länge von 85 Zeichen nicht überschreiten. Es können also auch beide o.a. TCS-spezifischen Entitlements gleichzeitig an HARICA herausgegeben werden werden aber eben in der Regel keine anderen Entitlements, die für TCS nicht relevant sind. | * **Wichtig:** Das an HARICA übertragene ''eduPersonEntitlement''-Attribut darf eine maximale Länge von 85 Zeichen nicht überschreiten. Es können also auch beide o.a. TCS-spezifischen Entitlements gleichzeitig an HARICA herausgegeben werden werden aber eben in der Regel keine anderen Entitlements, die für TCS nicht relevant sind. Eine mögliche **Attribute-Release-Regel speziell für die HARICA Service-Provider** für den Shibboleth-IdP könnte sein: |
| | |
| | <AttributeRule attributeID="eduPersonEntitlement"> |
| | <PermitValueRule xsi:type="OR"> |
| | <Rule xsi:type="Value" value="urn:mace:terena.org:tcs:smime-sv-autoissue" /> <!-- Automatische Genehmigung von IV+OV S/MIME-Zertifikaten --> |
| | <Rule xsi:type="Value" value="urn:mace:terena.org:tcs:personal-user" /> <!-- wie smime-sv-autoissue und ermöglicht Beantragung von IGTF Client Auth Zertifikaten --> |
| | </PermitValueRule> |
| | </AttributeRule> |
| |
| 3. Der Enterprise Administrator muss das Feature freischalten. Hierzu unter "Admin->Enterprises" das eigene Enterprise aufrufen und im großen Dialog oben rechts das kleine Postfach-Icon anklicken. | 3. Der Enterprise Administrator muss das Feature freischalten. Hierzu unter "Admin->Enterprises" das eigene Enterprise aufrufen und im großen Dialog oben rechts das kleine Postfach-Icon anklicken. |