====== Kategorie entit v eduID.cz ======

Poskytovatelé identit a někteří poskytovatelé služeb jsou řazeni do kategorií entit. Ty lze používat při řízení přístupu ke zdrojům na SP anebo k (ne)uvolňování určitých atributů na straně IdP.

Příslušnost entity k nějaké kategorii je uvedena v metadatech eduID.cz jako **entity atribut**. 

===== Kategorie IdP =====

Poskytovatelé identit, kteří jsou součástí eduID.cz, jsou rozděleni do několika kategorií, které odrážejí, o jaký typ organizace se primárně jedná. Kategorie entit jsou přiřazovány operátorem federace a jsou uvedeny níže. Je snahou, aby každá organizace byla právě v jedné kategorii.

<columns 100% 160px>
{{  :cs:university.png?40|}}
<newcolumn>**Veřejné a soukromé univerzity registrované v eduID.cz**\\
eduPersonAffiliation nabývá hodnot: alum, affiliate, __employee__, __faculty__,  __member__, __student__, __staff__

označení: ''%%http://eduid.cz/uri/idp-group/university%%''
</columns>

<columns 100% 160px>
{{  :cs:av_logo.png?40|}}
<newcolumn>**Ústavy Akademie věd České Republiky registrované v eduID.cz**\\
eduPersonAffiliation nabývá hodnot: __employee__, __member__

označení: ''%%http://eduid.cz/uri/idp-group/avcr%%''
</columns>

<columns 100% 160px>
{{  :cs:library.png?40}}
<newcolumn>**Knihovny registrované v eduID.cz**\\
eduPersonAffiliation nabývá hodnot: affiliate, __employee__, member

označení: ''%%http://eduid.cz/uri/idp-group/library%%''
</columns>

<columns 100% 160px>
{{  :cs:hospital3.png?40|}}
<newcolumn>**Nemocnice registrované v eduID.cz**\\
eduPersonAffiliation nabývá hodnot: __employee__ //(ověřit)//, member

označení: ''%%http://eduid.cz/uri/idp-group/hospital%%''
</columns>

<columns 100% 160px>
{{  :cs:recycle.png|}}
<newcolumn>**Ostatní organizace registrované v eduID.cz** \\
eduPersonAffiliation nabývá hodnot: affiliate, __employee__, member\\

označení: ''%%http://eduid.cz/uri/idp-group/other%%''
</columns>

Podtržené hodnoty [[cs:tech:attributes:edupersonaffiliation#vyznam_hodnot|eduPersonAffiliation]] označují uživatele, kteří spadají do Reseach & Educaction (R&E) komunity.

Jako první příklad uvádíme filtr, který výčtem specifikuje uživatele, kteří mají mít k službě přístup. Takto napsaný filtr je sice relativně dlouhý, ale snadno pochopitelný a při zavedení nové kategorie instituce se uživatelé z oné nové instituce ke službám nedostanou dříve, než se o tom správce služby rozhodne.

{{page>cs:tech:include-filter&nofooter}}

Alternativní exclude filtr by mohl vypadat např. takto:

{{page>cs:tech:exclude-filter&nofooter}}

Konkrétní implementaci obou filtrů pro Shibboleth SP nabízíme v samostatném [[:cs:tech:userfiltering|dokumentu]]. Příspěvky v podobě příkladů pro jiné implementace SP uvítáme a rádi uveřejníme.

===== Kategorie SP i IdP =====

Kromě označení IdP, ke kterému typu organizace patří, je v eduID.cz několik dalších kategorií sloužících k označení entit příslušejících k projektům. Takovéto označení může mít smysl, když skupina SP potřebuje navíc nějaké atributy, které nejsou běžně ve federaci k dispozici. Označení pak usnadní vyjednávání s jednotlivými IdP.

<columns 100% 160px>
{{  :cs:logo-mefanet.png|}}
<newcolumn>MEFANET (MEdical FAculties NETwork) je projekt zaměřený na budování a posílení spolupráce lékařských i nelékařských zdravotnických fakult ČR a SR při rozvoji výuky s využitím moderních informačních a komunikačních technologií.

označení: ''%%http://eduid.cz/uri/group/mefanet%%''
</columns>

\\

===== Příklad označení entity v metadatech =====

<WRAP center round alert 100%>
**Neuvádějte níže uvedenou definici kategorie ve svých metadatech! Toto je zde uvedeno jen jako příklad. Výše definované kategorie entit přidáváme do metadat my pomocí skriptu, který nejprve všechny tyto elementy odebere, pokud je tam najde. Čili uvedením členství v kategorii si jen přiděláváte práci.**
</WRAP>

Níže uvedený fragment XML ukazuje, jak je v metadatech eduID.cz vyznačeno, že IdP Českého vysokého učení technického v Praze spadá do kategorie univerzita.

<code xml>
<md:EntityDescriptor entityID="https://idp2.civ.cvut.cz/idp/shibboleth">
  <md:Extensions>
    <mdattr:EntityAttributes>
      <saml:Attribute Name="http://macedir.org/entity-category"
        NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
        <saml:AttributeValue>http://eduid.cz/uri/idp-group/university</saml:AttributeValue>
      </saml:Attribute>
    </mdattr:EntityAttributes>
  </md:Extensions>
  <!-- následují dodatečná metadata entity -->
</code>

Entity atribut lze používat podobně jako atribut, který o uživateli pošle IdP. Konkrétní implementaci pro Shibboleth SP nabízíme v samostatném [[:cs:tech:userfiltering|dokumentu]].