User Tools

Site Tools


cn:ccr:aai:doc:rid:istruzioni

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
cn:ccr:aai:doc:rid:istruzioni [2020/07/22 08:42]
enrico@infn.it
cn:ccr:aai:doc:rid:istruzioni [2021/08/04 06:04] (current)
monducci@infn.it [Utenti]
Line 5: Line 5:
 ===== Utenti ===== ===== Utenti =====
  
-  * [[cn:ccr:aai:doc:rid:istruzioni:signup:1.0-ita|signup v 1.0 in italiano]] +  * [[cn:ccr:aai:doc:rid:istruzioni:userportal:user_loa-ita|Identità Digitale, Risorse IT, Rapporti fiscali (ITA) ]] 
-  * [[cn:ccr:aai:doc:rid:istruzioni:signup:1.0-eng|signup v 1.0 in english]]+  * [[cn:ccr:aai:doc:rid:istruzioni:userportal:user_loa-eng|Digital Identity, IT resources, Economic ties  (ENG)]]
  
-===== Utenti, approvatori e certificatori ===== 
  
-  * [[cn:ccr:aai:doc:rid:istruzioni:userportal:1.0.2-ita|userportal v 1.0.2 in italiano]] +===== Approvatori e certificatori =====
-  * [[cn:ccr:aai:doc:rid:istruzioni:userportal:1.0.2-eng|userportal v 1.0.2 in english]]+
  
-===== Centri di calcolo =====+  * [[cn:ccr:aai:doc:rid:istruzioni:userportal:1.2-ita|Approvatori e certificatori (ITA)]] 
 +  * [[cn:ccr:aai:doc:rid:istruzioni:userportal:1.0-eng|Approvers and certifiers (ENG)]]
  
-A partire dalla messa in produzione del nuovo sistema di registrazione delle identità digitali, prima di assegnare un account ad un utente il centro di calcolo dovrebbe verificare che l’utente abbia: +===== Manager dei gruppi  =====
  
-  * un’identità digitale verificata (LoA2);   +  * [[cn:ccr:aai:doc:rid:istruzioni:gestioneorganigramma|Manager dei gruppi di approvatori e certificatori]]
-  * dichiarato di aver letto ed accettato il disciplinare INFN per l’utilizzo delle risorse IT;  +
-  * preso visione della nota informativa di carattere generale sul trattamento dei dati personali;   +
-  * un ruolo attivo all’interno dell’INFN +
  
-Queste informazioni sono registrate sia in GODiVA (e sono visualizzabili sia via interfaccia grafica che attraverso interfaccia a linea di comando) che nell’LDAP di INFN-AAI (e visualizzabili quindi via ldapsearch).  
  
-==== GODiVA: Interfaccia grafica ==== +===== Centri di calcolo =====
- +
-Per visualizzare le informazioni di cui sopra è sufficiente aprire l’applicazione GODiVA (istruzioni in https://wiki.infn.it/cn/ccr/aai/howto/godiva/home) e ricercare l’utente e, tra i dettagli, verificare il Level of Assurance, il Disciplinare Risorse informatiche e, tra i ruoli, un ruolo attivo tra dipendente, associato, ospite e visitatore (vedi screen-shot in appendice).   +
- +
-==== GODiVA: Interfaccia command-line  ==== +
-Le istruzioni per scaricare la nuova CLI a GODiVA scritta in python (godivapy) sono in https://baltig.infn.it/infn-aai/godivapy. La CLI è dotata di help accessibile via switch "--help". Per visualizzare i dettagli associati ad una identità digitale il comando è:  +
- +
-  godivapy -e prod list identity-details <identificativo>  +
- +
-dove <identificativo> può essere infnUUID, e-mail o UID  +
- +
-==== LDAP: ldapsearch  ==== +
- +
- +
-Gli attributi che contengono i valori relativi al Level of Assurance, presa visione ed accettazione del disciplinare e ruolo sono visibili solo attraverso query LDAP autenticate. Le istruzioni su come effettuare una query LDAP autenticata sono in  +
- +
- https://wiki.infn.it/cn/ccr/aai/howto/useldap#query_ldap_autenticate   +
- +
-Nel caso di autenticazione Kerberos/GSSAPI  +
- +
-  +
- +
-  host=ds1.infn.it  +
-  base=ou=people,dc=infn,dc=it  +
-  ldapsearch -ZZZ -Y GSSAPI -h $host -b $base 'cn=nome cognome'  +
- +
-==== Registrazione in proto-AAI  ==== +
-Successivamente il centro di calcolo dovrebbe procedere alla registrazione dell’account nel ramo locale utilizzando la procedura presente in questa pagina:  +
- +
-https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3  +
- +
-Eseguendo prima il comando TRYADD e poi il comando ADD.  +
- +
-  ssh -p 57847 extuserserv@godiva.infn.it TRYADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address  +
- +
-  +
- +
-  ssh -p 57847 extuserserv@godiva.infn.it ADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address  +
- +
-==== Utenze non in GODiVA da sanare  ==== +
-Per sanare situazioni pregresse esempio utente/account inserito nel solo ramo locale e quindi non collegato ad un’identità digitale, il centro di calcolo dovrebbe procedere in questo modo:  +
- +
-  * invitare l’utente a registrare la propria identità digitale usando il nuovo sistema (signUp ed userPortal) e ad effettuare la richiesta di accesso alle risorse IT in modo che l’utente prenda visione ed accetti il disciplinare per l’utilizzo delle risorse informatiche dell’INFN;  +
-  * assegnare all’utente il ruolo di Ospite, con qualifica opportunamente selezionata tra quelle proposte   +
-  * collegare l’identità nazionale a quella locale tramite il comando MOD presente alla pagina:  +
- +
-https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3   +
-  +
- +
-  ssh -p 57847 extuserserv@godiva.infn.it MOD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address  +
-  +
- +
-Dove infnUUID dovrà essere l’infnUUID dell’identità digitale (campo visibile, nel DN dell’entry LDAP o tramite GODiVA, sia interfaccia grafica che command-line). +
  
-===== Gestori dei gruppi di approvatori e certificatori =====+  * [[cn:ccr:aai:doc:rid:istruzioni:calcolo|Istruzioni per i centri di calcolo]]
  
-  * [[cn:ccr:aai:doc:rid:istruzioni:gestioneorganigramma|GestioneOrganigramma]] 
  
  
cn/ccr/aai/doc/rid/istruzioni.1595407363.txt.gz · Last modified: 2020/07/22 08:42 by enrico@infn.it