Configurazione SAML¶
L'accesso federato via SAML al portale https://cm.harica.gr permette di utilizzare le proprie credenziali istituzionali sia per gestire la propria organizzazione, sia per richiedere i certificati di tipo SSL, S/MIME e IGTF Client Auth inclusi nel servizio TCS, nonché le altre tipologie di certificato a pagamento.
Accesso¶
Per accedere via SAML al portale https://cm.harica.gr premere il bottone Academic Login nella pagina di accesso. Se l'accesso va a buon fine, l'utente sarà riconosciuto come facente parte dell'organizzazione di afferenza (visibile in alto a destra).
Conversione account locale in SAML¶
L'accesso via SAML può essere utilizzato sia per il primo accesso e conseguente creazione dell'utente, in luogo del Sign up con registrazione manuale, sia in seguito convertendo il proprio account. Per convertire il proprio account all'accesso SAML, accedere con le proprie credenziali, ed eventuale secondo fattore se abilitato, selezionare il proprio nome in alto a destra e premere la voce Profile. Nella finestra che si aprirà premere il bottone Connect your account with Academic account ed inserire il proprio indirizzo email, che dovrà corrispondere all'indirizzo che sarà trasmesso dal proprio sistema di autenticazione istituzionale (Identity Provider). Seguire il link inviato tramite posta elettronica da HARICA all'indirizzo indicato e completare l'accesso via Academic Login.
Verifica configurazione IdP
Prima di procedere con la conversione dell'account accertarsi che il proprio Identity Provider sia configurato correttamente, altrimenti non sarà più possibile accedere al portale HARICA. Nel caso contattate garr-ca@garr.it.
Configurazione Identity Provider¶
Per poter accedere al portale HARICA via SAML, l'Identity Provider della propria organizzazione deve essere registrato nella Federazione IDEM ed essere abilitato ad eduGAIN.
L'Identity Provider dovrà rilasciare i seguenti attributi:
- givenName (oid:2.5.4.42)
- surname (oid:2.5.4.4)
- mail (oid:0.9.2342.19200300.100.1.3)
- edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)
Per poter richiedere certificati personali IGTF (IGTF Client Auth), l'Identity Provider dovrà inoltre rilasciare gli attributi:
- eduPersonPrincipalName (oid:1.3.6.1.4.1.5923.1.1.1.6)
- eduPersonEntitlement (oid:1.3.6.1.4.1.5923.1.1.1.7) con il solo valore
urn:mace:terena.org:tcs:personal-user
Accesso bloccato
Se il vostro Identity Provider rilascia ulteriori valori dell'attributi eduPersonEntitlement oltre urn:mace:terena.org:tcs:personal-user, non sarà possibile accedere e non riceverete alcun messaggio di errore.
Opzionalmente possono essere rilasciati ulteriori attributi che saranno utili per fini di debug e usi futuri:
- eduPersonPrimaryAffiliation (oid:1.3.6.1.4.1.5923.1.1.1.5)
- schacHomeOrganization (oid:1.3.6.1.4.1.25178.1.2.9),
I filtri distribuiti dal Servizio IDEM GARR AAI sono stati aggiornati per supportare l'accesso via SAML al portale HARICA e la richiesta di certificati personali IGTF, e sono disponibili su https://conf.idem.garr.it per Shibboleth IdP e simpleSAMLphp.
Test accesso SAML¶
Per verificare se l'accesso via SAML è stato configurato correttamente, potete utilizzare la URL https://cm.harica.gr/loginsaml/test.php. Dopo l'autenticazione dovete verificare che gli attributi rilasciati siano almeno: