Differences

This shows you the differences between two versions of the page.

--- cn:ccr:aai:doc:rid:istruzioni:calcolo [2022/05/03 11:57] – [Fusione Identità] monducci@infn.it
+++ cn:ccr:aai:doc:rid:istruzioni:calcolo [2022/05/03 13:30] (current) – [Fusione Identità] monducci@infn.it
@@ Line 1: / Line 1: @@
+====== Centri di calcolo ======
+A partire dalla messa in produzione del nuovo sistema di registrazione delle identità digitali, prima di assegnare un account ad un utente il centro di calcolo dovrebbe verificare che l’utente abbia:
+  * un’identità digitale verificata (LoA2);
+  * dichiarato di aver letto ed accettato il disciplinare INFN per l’utilizzo delle risorse IT;
+  * preso visione della nota informativa di carattere generale sul trattamento dei dati personali;
+  * un ruolo attivo all’interno dell’INFN
+Queste informazioni sono registrate sia in GODiVA (e sono visualizzabili sia via interfaccia grafica che attraverso interfaccia a linea di comando) che nell’LDAP di INFN-AAI (e visualizzabili quindi via ldapsearch).
+===== GODiVA: Interfaccia grafica =====
+Per visualizzare le informazioni di cui sopra è sufficiente aprire l’applicazione GODiVA (istruzioni in https://wiki.infn.it/cn/ccr/aai/howto/godiva/home) e ricercare l’utente e, tra i dettagli, verificare il Level of Assurance, il Disciplinare Risorse informatiche e, tra i ruoli, un ruolo attivo tra dipendente, associato, ospite e visitatore (vedi screen-shot in appendice).
+===== GODiVA: Interfaccia command-line  =====
+Le istruzioni per scaricare la nuova CLI a GODiVA scritta in python (godivapy) sono in https://baltig.infn.it/infn-aai/godivapy. La CLI è dotata di help accessibile via switch "--help". Per visualizzare i dettagli associati ad una identità digitale il comando è:
+  godivapy -e prod list identity-details <identificativo>
+dove <identificativo> può essere infnUUID, e-mail o UID
+===== LDAP: ldapsearch  =====
+Gli attributi che contengono i valori relativi al Level of Assurance, presa visione ed accettazione del disciplinare e ruolo sono visibili solo attraverso query LDAP autenticate. Le istruzioni su come effettuare una query LDAP autenticata sono in
+ https://wiki.infn.it/cn/ccr/aai/howto/useldap#query_ldap_autenticate
+Nel caso di autenticazione Kerberos/GSSAPI
+  host=ds1.infn.it
+  base=ou=people,dc=infn,dc=it
+  ldapsearch -ZZZ -Y GSSAPI -h $host -b $base 'cn=nome cognome'
+===== Registrazione in proto-AAI  =====
+Successivamente il centro di calcolo dovrebbe procedere alla registrazione dell’account nel ramo locale utilizzando la procedura presente in questa pagina:
+https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3
+Eseguendo prima il comando TRYADD e poi il comando ADD.
+  ssh -p 57847 extuserserv@protoserv.infn.it TRYADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address
+  ssh -p 57847 extuserserv@protoserv.infn.it ADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address
+===== Utenze non in GODiVA da sanare  =====
+Per sanare situazioni pregresse esempio utente/account inserito nel solo ramo locale e quindi non collegato ad un’identità digitale, il centro di calcolo dovrebbe procedere in questo modo:
+  * invitare l’utente a registrare la propria identità digitale usando il nuovo sistema (signUp ed userPortal) e ad effettuare la richiesta di accesso alle risorse IT in modo che l’utente prenda visione ed accetti il disciplinare per l’utilizzo delle risorse informatiche dell’INFN;
+  * assegnare all’utente il ruolo di Ospite, con qualifica opportunamente selezionata tra quelle proposte
+  * collegare l’identità nazionale a quella locale tramite il comando MOD presente alla pagina:
+https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3
+  ssh -p 57847 extuserserv@protoserv.infn.it MOD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address
+Dove infnUUID dovrà essere l’infnUUID dell’identità digitale (campo visibile, nel DN dell’entry LDAP o tramite GODiVA, sia interfaccia grafica che command-line).
+===== Fusione Identità =====
+  - Assicurarsi che le due identità appartengano veramente alla stessa persona. \\ L'identità "primaria" (da lasciare in vita) è quella tipicamente quella più vecchia e col codice fiscale già inserito. \\ Quella "secondaria" viene cancellata automaticamente dopo la fusione.
+  - Cancellare il mailAlternateAddress dall'identità "secondaria"
+  - Assegnare il mailAlternateAddress all'identità principale selezionando IL DOMINIO: INFN
+  - Fare il merge. Dalla gui java di godiva: Identità -> Fusione identità
+**NB:** Se, inavvertitamente, è rimasto un indirizzo mail nell'identità deattivata per cancellarlo è necessario:
+  - attivare l'identità
+  - cancellare il/i mail-alternate address
+  - aggiornare l'identità e verificare che anche il campo mail si sia ripulito
+  - deattivare l'identità
+**NB:** Se, dopo la fusione, l'utente non riesce a collegarsi allo user portal potrebbe essere anche necessario cancellare su keycloak l'account generato al volo, collegato all'infnUUID dell'identità cancellata. In tal caso bisogna contattare: aai-support@lists.infn.it
+[[calcolo#cancellare_un_identita_da_keycloak|Cancellare identità da KeyCloak]]
+===== Richiesta RisorseIT da utente con Grant Referente 1 =====
+Attualmente gli utenti che sono gìà LoA2 ed hanno Grant Refernte uguale ad 1\\
+hanno dei problemi a richiedere le RisorseIT tramite il portale utente\\
+(la procedura si blocca con la rotella di avanzamento che non avanza).
+Per permettere agli utenti di accettare il Disciplinare Risorse Informatiche farli collegare al seguente link:
+http://www.infn.it/disciplinareRisorseInformatiche/index.php
+===== Creare un account per accede al portale INFN o a Baltig =====
+E' possibile creare un account che possa accedere al portale INFN (per sempio per inserire una missione)\\
+o a Baltig:
+senza necessariamente creare un account locale.
+  * Collegarsi a GODiVA: GODiVA.jnlp
+  * cercare l'utente
+  * verificare che abbia un'identità di tipo LoA2
+  * verificare che abbia il Codice fiscale (solo per il portale INFN)
+  * verificare che abbia accettato il disciplinare (solo per Baltig)
+  * scegliere da menu **Comandi** contestuale alla scheda utente: **Crea Default Username**
+{{ :cn:ccr:aai:doc:rid:comandi-creadefaultusername.png?400 |}}
+===== Utente LoA1 senza email o con indirizzo email "scaduto" =====
+Dopo aver verificato l'identità dell'utente
+  * creare un nuovo il mailAlternateAddress selezionando il dominio INFN.IT
+Attenzione inserire un indirizzo NON “*infn.it” \\
+Sarebbe buona norma verificare prima che l'indirizzo email sia "buono" (mandare un mail ed attenderne la risposta)
+===== Utente ha superato il corso informatica di base ma non compare in LDAP =====
+Probabilmente la persona ha fatto il corso chiedendo un account moodle.
+Per aggiornare lo stato del corso inserire il campo:
+  Sicurezza informatica - BASE
+con i seguenti valori
+  Dominio: INFN
+  Valore: superato
+  From: <data certificato>
+  To: 00-00-000
+===== Chi può fare il corso informatica di base =====
+E' necessario che l'identità sia LoA2
+===== Cancellare un'identità da KeyCloak =====
+In carico ai soli amministratori di KeyCloak
+Collegarsi a: [[https://idp.app.infn.it]] -> Administration Console
+Selezionare il realm: **aai** \\
+ATTENZIONE **aai** non aai-ldap
+Manage -> Users
+Cercare l'utente
+Visualizzarlo (premendo il campo ID)
+Verificare che il valore infnUUID (presente tra gli attributi) sia relativo all'identità disabilitata
+Tornare all'elenco degli user e cancellare lo user.
+===== Cancellazione password LDAP per account Kerberizzati =====
+Se un account possiede come locality una sede che valorizza l'attributo:
+  infnKerberosPrincipal:
+lo script automatico che gira su dsm2.infn.it cancellerà i riferimenti alla password LDAP (con relativa scadenza). \\
+Lo script gira alle 4:00 alle 12:00 e alle 20:00
+===== Link Utili =====
+==== Registrazione Identità ====
+Produzione:  [[https://signup.app.infn.it/|]]
+Preproduzione:[[https://signup.app-pre.infn.it/|]]
+==== User Portal ====
+Produzione [[https://userportal.app.infn.it|]]
+Preproduzione [[https://userportal.app-pre.infn.it]]
+==== Corso informatica di base ====
+[[https://elearning.infn.it/course/view.php?id=105|Corso informatica di Base]]