Atributos a enviar a eduGAIN

para los perfiles de certificados personales (Client, Grid Premium y Grid Robot Name)


Para el acceso federado se requiere que su IdP envíe los siguientes atributos:

Atributos recomendados

Atributo Descripción Comentario
ePE (eduPersonEntitlement) Usado para almacenar el conjunto de derechos de acceso a recursos Deben enviarse alguno de los valores:
  • urn:mace:terena.org:tcs:personal-user
  • urn:mace:terena.org:tcs:escience-user
sHO (schacHomeOrganization) Dominio de la organización a la que pertenece una persona Dominio de acuerdo al RFC1035
ePPN (eduPersonPrincipalName) Identificador único (a nivel nacional) Representado en la forma user@scope donde user es un identificador basado en nombre de la persona y scope define un ámbito o dominio.

Cada valor de scope define un espacio de nombres dentro del cual los identificadores asignados DEBEN ser únicos. Por lo tanto, si dos valores eduPersonPrincipalName son iguales en un punto dado en el tiempo, se refierán a la misma persona.

dispN (displayName) Nombre y apellidos  
mail Dirección de correo electrónico  

Puede comprobar los atributos que su IdP envía antes de intentar acceder al portal SAML de DigiCert.

Contacte con los responsables del servicio SIR si desea que su institución pueda hacer uso de estos perfiles.

Composición del atributo CN del certificado

Dependiendo del perfil seleccionado, el atributo CN se compondrá, de forma automática, con el valor del campo displayName o de los campos displayName + eduPersonPrincipalName sacados de la aserción.

Por ejemplo, para los valores de los atributos displayName= Nombre Apellido1 Apellido2 y eduPersonPrincipalName= user@scope.es, los CNs posibles serían:

Perfil Atributos utilizados CN
Premium displayName Nombre Apellido1 Apellido2
Grid Premium displayName + eduPersonPrincipalName Nombre Apellido1 Apellido2 user@scope.es
Robot Grid Premium displayName + eduPersonPrincipalName Nombre Apellido1 Apellido2 user@scope.es

El resto de valores del DN se extraen de los definidos en el portal CertCentral.

Consejos para evitar problemas con el CN

Independientemente de que se utilice el acceso federado desde SAML portal o, de forma excepcional, CertCentral, siguiendo las recomendaciones del documento TCS Model Process Non‐SAML Personal Issuance, hay que prestar especial atención a los valores que se utilizarán para formar el CN del certificado. En el primer caso displayName y la propia composición del atributo eduPersonPrincipalName, y en el segundo la cadena que se escribe en el formulario.

A continuación damos una serie de recomendaciones para no tener problemas con el certificado generado.

  • Evitar el uso de caracteres nacionales en displayName y eduPersonPrincipalName como en:

    • Andrés López González anlogo@univirirs.es
    • �avaro L�pez Gonz�lez anlogo@univiris.es
  • Evitar el uso de un ePPN incorrecto como en:

    • Andres Lopez Gonzalez
    • Andres Lopez Gonzalez anlogo
    • Andres Lopez Gonzalez @univiris.es
    • Andres Lopez Gonzalez anlogo@univiris.es@univiris.es
  • Evitar escribir el nombre entre comillas como en:

    • “Andres Lopez Gonzalez anlogo@univirirs.es"