Versions Compared

Old Version 1

changes.mady.by.user Pål Axelsson

Saved on

compared with

New Version 2

changes.mady.by.user Pål Axelsson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Inledning

TCS Personal och TCS eScience är två tjänster för personliga certifikat som främst är tänkt att användas för E-post (S/MIME) respektive GRID-tillämpningar. Till skillnad från SUNET TCS Server och TCS Code Signing är det användaren av certifikatet själv som via en självbetjäningstjänst begär ut sitt eget certifikat. Det finns alltså ingen mellanhand mellan användaren och certifikatstjänsten i detta fall.

Användaren kommer att identifieras via en federationsinloggning till ett webbaserat verktyg på ett sätt som påminner om hur inloggningen till SUNETs e-mötestjänst fungerar. En viktig skillnad är att denna tjänst kommer att ställa högre och mer specifika krav på hur användaren identifierats.

Anslutning till tjänsten

Läs mer om detta på SUNETs webplats.

Krav på identitetsprocessen

TCS eScience och TCS Personal är endast tillgängliga för medlemmar i SWAMID. I Certificate Practice Statement (CPS) för TCS eScience avsnitt 3.2.3 respektive TCS Personal avsnitt 3.2.3 beskrivs de krav som ställs på identitetsutgivare (IdP:er). Dessa krav kan sammanfattas på följande sätt:

...

En IdP kommer att behöva hålla reda på vilken process som använts för identitetskontroll av varje användare tex genom att sätta ett värde i den underliggande LDAP-databasen, se fallstudie Uppsala universitet för exempel. När SWAMID 2.0 LoA2 ("silver") är etablerad kommer SWAMID-medlemmar som är anslutna till denna profil att vara godkända för TCS eScience och TCS Personal.

Krav på återkallning/revokering

Info

I den händelse att en person blir avstängd från sin identitet (tex om anställningen upphör) är organisationen som är medlem i TCS skyldig tillse att ett certifikat som personen utfärdat blir återkallade, eller på engelska revokerade.

Detta kan hanteras manuellt av en administratör i samma webgränssnitt som används för att utfärda certifikaten. Det finns också ett API som kan användas för att automatiskt revokera certifikat.

Tekniska krav på identitetsutfärdare

Certifikatstjänsterna TCS eScience och TCS Personal levereras från två web-baserade tjänster. En identitetsutfärdare signalerar att man uppfyller kraven som ställs i CPS:en, avsnittet krav på identitetsprocessen, genom att sätta ett värde för attributet eduPersonEntitlement vid varje inloggning till respektive web-tjänst. Detta värde får endast sättas för användare som uppfyller kraven i CPS:en.

...