Inledning
TCS Personal och TCS eScience är två tjänster för personliga certifikat som främst är tänkt att användas för E-post Personal certificates within Sunet TCS Personal is primarly used for mail (S/MIME) respektive GRID-tillämpningar. Till skillnad från SUNET TCS Server är det användaren av certifikatet själv som via en självbetjäningstjänst begär ut sitt eget certifikat. Det finns alltså ingen mellanhand mellan användaren och certifikatstjänsten i detta fall.
Användaren kommer att identifieras via en federationsinloggning till ett webbaserat verktyg på ett sätt som påminner om hur inloggningen till SUNETs e-mötestjänst fungerar. En viktig skillnad är att denna tjänst kommer att ställa högre och mer specifika krav på hur användaren identifierats.
Anslutning till tjänsten
Läs mer om detta på SUNETs webplats.
Krav på identitetsprocessen
TCS eScience och TCS Personal är endast tillgängliga för medlemmar i SWAMID. I Certificate Practice Statement (CPS) för TCS eScience avsnitt 3.2.3 respektive TCS Personal avsnitt 3.2.3 beskrivs de krav som ställs på identitetsutgivare (IdP:er). Dessa krav kan sammanfattas på följande sätt:
| Info |
|---|
Någonstans i identitetsvalideringsprocessen måste det ske en manuell ID-kontroll. ID-kontrollen får delegeras till en extern process om denna i sin tur uppfyller kraven. |
Det enklaste och säkraste sättet att uppfylla detta krav är att faktiskt göra en egen manuell ID-kontroll (tex i en helpdesk). En sådan process kan fungera för mindre grupper av användare. Varje SWAMID-medlem ansvarar för att uppfylla dessa krav. Följande lista på typ-processer för identitetskontroll är godkända av SWAMID för användning med TCS. Denna lista kommer att fyllas på allt eftersom SWAMID utvärderar och godkänner nya processer för användning med TCS.
En IdP kommer att behöva hålla reda på vilken process som använts för identitetskontroll av varje användare tex genom att sätta ett värde i den underliggande LDAP-databasen, se fallstudie Uppsala universitet för exempel.
Krav på återkallning/revokering
| Info |
|---|
I den händelse att en person blir avstängd från sin identitet (tex om anställningen upphör) är organisationen som är medlem i TCS skyldig tillse att ett certifikat som personen utfärdat blir återkallade, eller på engelska revokerade. |
Detta kan hanteras manuellt av en administratör i samma webgränssnitt som används för att utfärda certifikaten. Det finns också ett API som kan användas för att automatiskt revokera certifikat.
Tekniska krav på identitetsutfärdare
Certifikatstjänsterna TCS eScience och TCS Personal levereras från två web-baserade tjänster. En identitetsutfärdare signalerar att man uppfyller kraven som ställs i CPS:en, avsnittet krav på identitetsprocessen, genom att sätta ett värde för attributet eduPersonEntitlement vid varje inloggning till respektive web-tjänst. Detta värde får endast sättas för användare som uppfyller kraven i CPS:en.
or to login to GRID systems. Unlike Sunet TCS server and code signing certificates, it is the user that shall use the certificate who requests it from a self-service service. There is thus no intermediary between the user and the certificate service in this case.
The user will be identified via a SWAMID federation login to a web-based tool in a way that reminds you how the login to SUNET's e-meeting service works. An important difference is that this service have higher and more specific requirements for how the user is identified in the home organisation.
Sunet TCS Personal requirements on the home organisation identity processes
- The home organisation, e.g. the university, must be approved for SWAMID AL2.
- The user that will request a personal certificate must fulfil proofing and authentication requirements for SWAMID AL2.
| Note | ||
|---|---|---|
| ||
Organisations that was approved for Sunet TCS Personal earlier than the year 2016 have a transition period until the end of 2017 before the requirement for SWAMID AL2 applies. Before SWAMID AL2 was defined there was a special identification process with valid ID documents for Sunet TCS Personal. |
Sunet TCS Personal requirements on certificate revocation
If a person is suspended from from his user account, e.g. termination of employment, the Sunet TCS member is required to ensure that a certificates issued by the person are revoked. This can be manually be done by an administrator in the same web interface that is used to issue the certificates. There is also an API that can be used to automatically revoke certificates.
Technical requirements on the home organisation SAML WebSSO Identity Provider
The TCS Personal Certificate Service is delivered via a special web portal, DigiCert SAML portal. An Identity Provider signals that both the organisation and the user meets the requirements for issuing personal certificates by setting a value for the eduPersonEntitlement attribute at each login to the web portal. This value may only be set for organisations and users who meet the requirements of SWAMID AL2.
TCS Service Tjänst | URL | SP entityID | eduPersonEntitlement | ||||
|---|---|---|---|---|---|---|---|
TCS Personal | https://tcs-personalwww.sunet.sedigicert.com/sso/ |
| TCS Personal eScience | https://tcs-escience.sunet.se/simplesamlphp/module.php/saml/sp/metadata.php/default-sp |
|
De personer som för en organisation som är medlem i TCS har rätt att återkalla certfikat, och även andra administrativa rättigheter, måste förutom att ha fått denna rättighet delegerad i certfikatsportalen även få ett särskilt värde satt på attributet eduPersonEntitlement vid varje inlogning till respektive webbtjänst. Detta värde får endast sättas för användare som ska inneha denna rättighet.
Tjänst | SP entityID | eduPersonEntitlement |
|---|---|---|
TCS Personal | https://tcs-personal.sunet.se/simplesamlphp/module.php/saml/sp/metadata.php/default-sp | |
TCS Personal eScience | https://tcs-escience.sunet.se/simplesamlphp/module.php/saml/sp/metadata.php/default-sp | |
För hjälp gällande konfiguration av Shibboleth IdP finns SWAMIDs sida "TCS Personal (eScience)For help in Swedish on how to configure Shibboleth IdP look at the SWAMID Wiki page "SAML-konfiguration Sunet TCS".