| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:scmrollenundanmeldung [2023/09/11 15:20] – Juergen Brauckmann | de:dfnpki:tcs:scmrollenundanmeldung [2024/05/13 12:33] (aktuell) – [Anmeldung mit SAML] Reimer Karlsen-Masur |
|---|
| =====Admins, Rollen & Privilegien===== | =====Admins, Rollen & Privilegien===== |
| |
| Im linken Seitenmenü können unter ☰->Settings->Admins weitere Accounts angelegt werden. Standard (D)RAO-Accounts mit Login via Account-Name/Passwort werden dort über das grüne "+"-Symbol angelegt. | Im linken Seitenmenü können unter ☰->Settings->Admins weitere (D)RAO-Accounts über das grüne "+"-Symbol angelegt werden: |
| | |
| | * Standard-Accounts mit Login via Benutzername/Passwort |
| | |
| | * IdP-Accounts mit Login via SAML/AAI |
| | |
| | * reine API-Accounts mit Login via Benutzername/Passwort und optional auch via API Key für den OAuth 2.0 "Client Credentials Flow" |
| |
| Es wird zwischen verschiedenen Rollen unterschieden, die in sich noch einmal mit unterschiedlichen Privilegien versehen werden können. | Es wird zwischen verschiedenen Rollen unterschieden, die in sich noch einmal mit unterschiedlichen Privilegien versehen werden können. |
| * Privilegien ''Allow ... of peer admin'' ermöglichen auf Organisationsebene u.a. das Anlegen, Modifizieren oder Löschen von weiteren RAO-Accounts durch einen RAO-Account, analog auf Department-Ebene von weiteren DRAO-Accounts durch einen DRAO-Account. DRAO-Accounts können von jedem RAO-Account aus angelegt, modifiziert und gelöscht werden. | * Privilegien ''Allow ... of peer admin'' ermöglichen auf Organisationsebene u.a. das Anlegen, Modifizieren oder Löschen von weiteren RAO-Accounts durch einen RAO-Account, analog auf Department-Ebene von weiteren DRAO-Accounts durch einen DRAO-Account. DRAO-Accounts können von jedem RAO-Account aus angelegt, modifiziert und gelöscht werden. |
| * ''Allow to manage organizations/departments'': Mit diesem Privileg darf ein RAO-Account die Organisations- und Department-Details ändern. Mit dieser Berechtigung darf ein DRAO-Account die Department-Details ändern. | * ''Allow to manage organizations/departments'': Mit diesem Privileg darf ein RAO-Account die Organisations- und Department-Details ändern. Mit dieser Berechtigung darf ein DRAO-Account die Department-Details ändern. |
| * Mit dem Privileg ''Allow DCV'' (Domain Control Validation) kann die [[de:dfnpki:tcsfaq#domainvalidierung_domain_control_validation_dcv|Domainvalidierung]] gesteuert werden. **Achtung:** Auch ohne dieses Privileg ist das Eintragen von Domains und in bestimmten Situationen auch deren unmittelbare Verwendung möglich. | * Mit dem Privileg ''Allow DCV'' (Domain Control Validation) kann die [[de:dfnpki:tcs:domains|Domainvalidierung]] gesteuert werden. **Achtung:** Auch ohne dieses Privileg ist das Eintragen von Domains und in bestimmten Situationen auch deren unmittelbare Verwendung möglich. |
| * Das Privileg ''Approve domain delegation'' ist ausschließlich MRAO-Accounts vorbehalten. | * Das Privileg ''Approve domain delegation'' ist ausschließlich MRAO-Accounts vorbehalten. |
| * ''Allow certificate revocation'': Mit diesem Privileg darf ein RAO/DRAO-Account die für diesen SCM-Account sichtbaren Zertifikate (also auf Organisations- und/oder Department-Ebene) sperren. | * ''Allow certificate revocation'': Mit diesem Privileg darf ein RAO/DRAO-Account die für diesen SCM-Account sichtbaren Zertifikate (also auf Organisations- und/oder Department-Ebene) sperren. |
| * WS-API only: Ein RAO/DRAO-Account kann auf eine ausschließliche API-Nutzung eingeschränkt werden (Privileg ''WS API use only'' im Dialog "Add New Client Admin", Menü ☰->Settings->Admins, Button "+"). Mit diesem Account kann dann ausschl. das REST-API bedient werden. Wichtig: Nach unseren Erkenntnissen sollte diese Checkbox erst nachträglich **nach** dem Ändern des Anfangspasswortes angekreuzt werden, da der neue Account sich einmal an der Web-Oberfläche anmelden muss, um sein Passwort vom Initial-Passwort zu setzen. Erst nach dem Setzen des richtigen Passworts sollte ''WS API use only'' über ☰->Settings->Admins-><Auswahl>->Edit unten im Karteireiter "Role & Privileges" angekreuzt werden. Zur Einbindung weiterer Personen mit "WS-API only"-RAO-Account legen Sie bitte zuerst einen RAO-Account an, sofern kein bestehender RAO-Account geändert werden soll, loggen sich einmal ein, um das Anfangspasswort zu ändern. Weitere Einstellungen, die unbedingt vorgenommen werden müssen, bevor das REST-API genutzt werden kann, finden sich in [[de:dfnpki:tcsfaq#rest-api|REST-API]]. | * WS-API only: Ein RAO/DRAO-Account kann auf eine ausschließliche API-Nutzung eingeschränkt werden (Privileg ''WS API use only'' im Dialog "Add New Client Admin", Menü ☰->Settings->Admins, Button "+"). Mit diesem Account kann dann ausschl. das REST-API bedient werden. Wichtig: Nach unseren Erkenntnissen sollte diese Checkbox erst nachträglich **nach** dem Ändern des Anfangspasswortes angekreuzt werden, da der neue Account sich einmal an der Web-Oberfläche anmelden muss, um sein Passwort vom Initial-Passwort zu setzen. Erst nach dem Setzen des richtigen Passworts sollte ''WS API use only'' über ☰->Settings->Admins-><Auswahl>->Edit unten im Karteireiter "Role & Privileges" angekreuzt werden. Zur Einbindung weiterer Personen mit "WS-API only"-RAO-Account legen Sie bitte zuerst einen RAO-Account an, sofern kein bestehender RAO-Account geändert werden soll, loggen sich einmal ein, um das Anfangspasswort zu ändern. Weitere Einstellungen, die unbedingt vorgenommen werden müssen, bevor das REST-API genutzt werden kann, finden sich in [[de:dfnpki:tcs:restapi|REST-API]]. |
| * E-Mail-Adressen von SCM-Admin-Accounts dürfen keine großen Buchstaben (A-Z) enthalten. Kleinschreibung (a-z) wird akzeptiert. | * E-Mail-Adressen von SCM-Admin-Accounts dürfen keine großen Buchstaben (A-Z) enthalten. Kleinschreibung (a-z) wird akzeptiert. |
| |
| |
| Falls das aus Gründen nicht möglich ist, melden Sie sich zum Umsetzen von Privilegien bitte per E-Mail bei [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]. Wir klären die Situation dann mit den benannten handlungsberechtigten Personen für DFN-PKI-Belange in Ihrer Einrichtung oder mit den bestehenden RAOs der Einrichtung mit den höchsten Privilegien im SCM. | Falls das aus Gründen nicht möglich ist, melden Sie sich zum Umsetzen von Privilegien bitte per E-Mail bei [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]. Wir klären die Situation dann mit den benannten handlungsberechtigten Personen für DFN-PKI-Belange in Ihrer Einrichtung oder mit den bestehenden RAOs der Einrichtung mit den höchsten Privilegien im SCM. |
| |
| |
| ====Passworte==== | ====Passworte==== |
| **Achtung:** Geht das Zertifikat verloren, wird es gesperrt oder läuft es ab, ist für den RAO oder DRAO kein Zugriff mehr möglich. Eine andere Person mit gleichen oder größeren Rechten muss in dem Fall die zertifikatbasierte Authentifizierung abschalten oder ändern. | **Achtung:** Geht das Zertifikat verloren, wird es gesperrt oder läuft es ab, ist für den RAO oder DRAO kein Zugriff mehr möglich. Eine andere Person mit gleichen oder größeren Rechten muss in dem Fall die zertifikatbasierte Authentifizierung abschalten oder ändern. |
| |
| Besonders tückische Falle: Die automatische Sperrung, wenn bereits zwei Nutzerzertifikate existieren, siehe [[https://doku.tid.dfn.de/de:dfnpki:tcsfaq#beschraenkung_der_anzahl_der_zertifikate_pro_nutzer|Beschränkung der Anzahl der Zertifikate]] | Besonders tückische Falle: Die automatische Sperrung, wenn bereits Nutzerzertifikate existieren, siehe [[de:dfnpki:tcs:usercert#automatische_sperrung_von_nutzerzertifikaten|Beschränkung der Anzahl der Zertifikate]] |
| ====Anmeldung mit SAML==== | ====Anmeldung mit SAML==== |
| |
| Über den Button "Sign in with your Institution" unterhalb der Eingabefelder für Nutzername und Passwort können sich RAOs oder DRAOs in cert-manager.com über die AAI einloggen. Eine Beschreibung der Voraussetzungen ist zu finden unter: [[https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-ToenableSAMLforadminaccesstoSCM:]] | Über den Button "Sign in with your Institution" unterhalb der Eingabefelder für Nutzername und Passwort können sich RAOs oder DRAOs in cert-manager.com über die AAI einloggen. Eine Beschreibung der Voraussetzungen ist zu finden unter: [[https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-ToenableSAMLforadminaccesstoSCM:]] |
| |
| Weitere Voraussetzungen finden Sie unter [[de:dfnpki:tcsfaq#zugriff_per_aai|Zugriff per AAI]] | Weitere Voraussetzungen finden Sie unter [[de:dfnpki:tcs:zugriffperaai|Zugriff per AAI]] |
| | |
| Um einen Account für das Einloggen vorzubereiten, gibt es zwei verschiedene Wege: | |
| - Bei einem per ☰->Settings->Admins, Button "Add", manuell angelegten Account mit Passwort kann zusätzlich das Feld "Identity Provider" auf "Your Institution" gesetzt werden, und "EPPN" auf den Wert des Attributes eduPersonPrincipalName. Anschließend kann sich dieser Account per Nutzername/Password und alternativ auch per SAML über den einrichtungseigenen IdP einloggen. | |
| - Mit dem Weg ☰->Settings->Admins, Button "Add IdP User", kann ein Account ohne Passwort angelegt werden, der sich nur über den IdP einloggen kann. Ein neu angelegter Account muss von einem anderen Admin freigeschaltet werden. Ohne Freischaltung ist kein Login möglich. | |
| * Ein neu angelegter IdP User in der Organisation muss von der DFN-PCA freigeschaltet werden. Beauftragen Sie die Freischaltung bitte einfach per E-Mail an [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]. | |
| * Ein von einem RAO neue angelegter IdP User in einem Department kann von einem zweiten RAO direkt freigeschaltet werden. | |
| |
| | Um einen Account für das Einloggen mittels SAML/AAI vorzubereiten, gibt es zwei verschiedene Wege: |
| | - Bei einem per ☰->Settings->Admins, Button "Add", manuell angelegten Standard-Account mit Passwort kann zusätzlich das Feld "Identity Provider" auf "Your Institution" gesetzt werden, und "EPPN" auf den Wert des Attributes eduPersonPrincipalName. Anschließend kann sich dieser Account per Nutzername/Password und alternativ auch per SAML über den einrichtungseigenen IdP einloggen. |
| | - Mit dem Weg ☰->Settings->Admins, grünes "+"-Symbol, kann ein IdP-Account ohne Passwort angelegt werden, der sich nur über den IdP einloggen kann. |
| |
| Ihr IdP muss mindestens ''schacHomeOrganization'', ''eduPersonPrincipalName'' (''ePPN'') und ''mail'' an Sectigo übertragen. Die übertragenen Attribute können Sie einsehen unter: https://cert-manager.com/customer/DFN/ssocheck/ | Ihr IdP muss mindestens ''schacHomeOrganization'', ''eduPersonPrincipalName'' (''ePPN'') und ''mail'' an Sectigo übertragen. Die übertragenen Attribute können Sie einsehen unter: https://cert-manager.com/customer/DFN/ssocheck/ |
| |
| |
| =====Departments===== | =====Departments===== |