Inloggen op de portal van HARICA gaat via SURFconext. Je dient de correcte attributen mee te geven zowel voor de admin login als voor het uitgeven van persoonlijke clientcertificaten aan eindgebruikers.

Dienst koppelen

Als dat nog niet gebeurd is, moet degene met de rol SURFconextverantwoordelijke binnen je instelling de dienst HARICA koppelen via het SURFconext IdP Dashboard. Verwacht je experimentele systemen te gaan integreren of wil je testen met bijzondere certificaten (zoals document signing), koppel dan ook de staging omgeving.

Correcte attributen zenden

Algemeen

De volgende attributen zijn nodig voor het inloggen op de portal, gevuld volgens de gebruikelijke normen van SURFconext. 'mail' moet op een voor de organisatie bekend domein eindigen. Wil je de attributen controleren? Log dan in op https://cm.harica.gr/loginsaml/test.php of edu.nl/debug

  • givenName
  • sn
  • displayName
  • mail

Voor persoonscertificaten is ook eduPersonEntitlement nodig, zie vervolg.

Validatie voor persoonscertificaten

Standaard moeten gebruikers bij de aanvraag van een persoonscertificaat een foto van een paspoort uploaden om hun identiteit te verifiëren. Om dit makkelijker te maken is het mogelijk om aan HARICA te verklaren dat de instelling reeds een ID-verificatie van gebruikers doet (hetgeen verplicht is voor werkgevers) en dit doorgeeft met een SAML attribuut. Het gebruik van deze functionaliteit gaat als volgt:

  • Zorg dat jouw IDP in het attribuut eduPersonEntitlement de waarde urn:mace:terena.org:tcs:personal-user (legacy) of urn:mace:terena.org:tcs:smime-sv-autoissue (voorkeur) doorgeeft
  • Ga naar "Enterprise" → "Admin" → selecteer je enterprise
  • Klik op de enterprise → klik rechts bovenin op het mailicoontje.
  • Lees de tekst goed door, zet het vinkje aan de linkerkant, en sla op.

Hiermee neemt de instelling de volledige verantwoordelijkheid op zich voor de correctheid van dit entitlement.

De volgende waarden voor eduPersonEntitlement waren in het verleden ook in gebruik maar zijn niet meer actueel, en kunnen uit je IDM opgeruimd worden:

  • (error) urn:mace:terena.org:tcs:escience-user
  • (error) urn:mace:terena.org:tcs:personal-admin
  • (error) urn:mace:terena.org:tcs:escience-admin


eScience-certificaten

Voor het uitgeven van eScience (IGTF/grid) certificaten is ook nodig:

  • eduPersonPrincipalName

Inloggen

Staat alles goed? Dan kun je inloggen op https://cm.harica.gr. Voor de eerste beheerder zal SURF de juiste rechten toekennen, vervolgens kunnen die worden uitgedeeld door de eerste beheerder. Wil je controleren of de juiste attributen worden vrijgegeven? Ga dan naar https://cm.harica.gr/loginsaml/test.php

Na het inloggen moet er bij beheerders verplicht een tweede factor ingesteld worden met TOTP, ongeacht een tweede factor die al bij de IdP is afgehandeld.

  • No labels