Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:aa [2018/06/15 10:32] jop@cesnet.cz [AA nabízí následující možnosti] |
— (aktuální) | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | ====== Atributová autorita ====== | ||
- | |||
- | //[[cs:tech:aa|Technický popis]] atributové autority je v samostatném dokumentu.// | ||
- | ===== Úvod ===== | ||
- | |||
- | Atributová autorita (AA) v rámci federace identit založené na standardu SAML2 umožnuje ukládání a sdílení dalších atributů o uživatelích. Jsou to atributy, které neposkytuje anebo z principu nemůže poskytovat domovské IdP. Jsou spravovány pomocí systému pro správu identit a řízení přístupu s názvem [[http://perun.cesnet.cz/|Perun]]. | ||
- | |||
- | ==== AA nabízí následující možnosti ==== | ||
- | |||
- | === 1. Členství ve skupinách === | ||
- | |||
- | Skupiny mohou tvořit různí uživatelé z libovolných členských organizací eduID.cz. Tyto skupiny lze následně používat k řízení přístupu ke službám. | ||
- | | ||
- | __Příklad:__ Můžete vytvořit skupinu několika uživatelů z ČVUT v Praze, Masarykovy univerzity a Ústavu fyziky plazmatu AV ČR a všem uživatelům z této skupiny následně přiřadit práva k editaci stránek v systému DokuWiki. | ||
- | |||
- | === 2. Spojování uživatelských identit === | ||
- | |||
- | Uživatelské identity z různých organizací (CESNET, Technická univerzita v Liberci, Hostel) je možné sloučit do jedné tzv. spojené identity (více informací o [[http://hostel.eduid.cz/cs/id_consolidation.html|propojení identit]] nabízí samostatný dokument). Následně je jedno, jakou identitu použijete k přihlášení ke [[http://eduid.cz/cs/members#poskytovatele_sluzeb_sp|službě]] (pokud to služba podporuje). Nemusíte si tedy pamatovat, jakou identitu použít při přístupu ke které službě, abyste se dostali ke svým datům. | ||
- | | ||
- | __Příklad:__ Pokud máte více identit od různých organizací, např. CESNET, TUL a Hostel, po jejich sloučení není důležité, jakou z nich použijete při přístupu ke službě, jestliže služba je pro používání sloučených identit nakonfigurována. Vždy se totiž dostatene ke svým stejným datům, ať použijete libovolnou identitu. | ||
- | |||
- | ===== Perun ===== | ||
- | |||
- | Systém pro správu identit a řízení přístupu s názvem [[https://perun.cesnet.cz|Perun]] vytváří hierarchickou strukturu uživatelů, které je tak možné řadit do tzv. virtuálních organizací (VO = Virtual Organization), v jejichž rámci je možné tvořit skupiny (groups), které je možné dále dělit na podskupiny (subgroups). | ||
- | |||
- | Vytvořené virtuální organizace včetně obsažených skupin a podskupin je pak možné využít pro více než jeden účel, např. různé e-mailové konference apod. | ||
- | |||
- | __Příklad:__ Můžete vytvořit VO s názvem //Fyzika// sdružující fyziky z různých univerzit, ústavů AV ČR atd. V rámci této virtuální organizace můžete vytvořit skupinu //Astro//, do níž přiřadíte všechny fyziky se zaměřením na astrofyziku. A v této skupině můžete vytvořit podskupinu //Admins// s částí uživatelů, kteří budou mít práva pro správu webových stránek. Výsledná struktura bude tedy //Fyzika// (VO) -> //Astro// (group) -> //Admins// (subgroup) nebo v syntaxi Peruna //Fyzika:Astro:Admins//. | ||
- | |||
- | Chcete-li se podívat, jaké atributy jsou o vás uloženy v atributové autoritě, podívejte se na naši testovací službu na adrese [[https://attributes.eduid.cz/]] a po přihlášení hledejte atributy s prefixem //perun// (např. //perunUserId//, //perunPreferredMail// atd.). | ||
- | |||
- | ===== Přístup k atributové autoritě ===== | ||
- | |||
- | Přístup ke službám atributové autority není automatický. Nestačí tedy prosté členství v české akademické federaci identit eduID.cz nebo testovací federaci czTestFed. Výjimku tvoří pouze služby provozované sdružením CESNET v eduID.cz, které mají přístup explicitně povolen. | ||
- | |||
- | Chcete-li využívat možností atributové autority pro službu neprovozovanou přímo sdružením CESNET, je nutné požádat o její zpřístupnění. Žádosti zasílejte na e-mailovou adresu operátora federace: [[info@eduid.cz]]. | ||
- | |||
- | Žádost by měla obsahovat //entityID// vaší služby, odůvodnění pro přístup k AA, měla být poslána správcem služby a ideálně e-mailem podpsaným důvěryhodným certifikátem. | ||