cs:aa

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:aa [2020/02/14 16:20]
jan.oppolzer@cesnet.cz [Atributová autorita]
— (aktuální)
Řádek 1: Řádek 1:
-====== Atributová autorita ====== 
- 
-<WRAP center alert 100%> 
-**Provoz atributové autority bude k 1. 9. 2018 ukončen. Dotčené služby budou odpojeny, případně migrovány na ProxyIdP.** 
-</​WRAP>​ 
- 
-//​[[cs:​tech:​aa|Technický popis]] atributové autority je v samostatném dokumentu.//​ 
-===== Úvod ===== 
- 
-Atributová autorita (AA) v rámci federace identit založené na standardu SAML2 umožnuje ukládání a sdílení dalších atributů o uživatelích. Jsou to atributy, které neposkytuje anebo z principu nemůže poskytovat domovské IdP. Jsou spravovány pomocí systému pro správu identit a řízení přístupu s názvem [[http://​perun.cesnet.cz/​|Perun]]. 
- 
-==== AA nabízí následující možnosti ==== 
- 
-=== 1. Členství ve skupinách === 
- 
-Skupiny mohou tvořit různí uživatelé z libovolných členských organizací eduID.cz. Tyto skupiny lze následně používat k řízení přístupu ke službám. 
-  ​ 
- ​__Příklad:​__ Můžete vytvořit skupinu několika uživatelů z ČVUT v Praze, Masarykovy univerzity a Ústavu fyziky plazmatu AV ČR a všem uživatelům z této skupiny následně přiřadit práva k editaci stránek v systému DokuWiki. 
- 
-=== 2. Spojování uživatelských identit === 
- 
-Uživatelské identity z různých organizací (CESNET, Technická univerzita v Liberci, Hostel) je možné sloučit do jedné tzv. spojené identity (více informací o [[http://​hostel.eduid.cz/​cs/​id_consolidation.html|propojení identit]] nabízí samostatný dokument). Následně je jedno, jakou identitu použijete k přihlášení ke [[http://​eduid.cz/​cs/​members#​poskytovatele_sluzeb_sp|službě]] (pokud to služba podporuje). Nemusíte si tedy pamatovat, jakou identitu použít při přístupu ke které službě, abyste se dostali ke svým datům. 
-  ​ 
- ​__Příklad:​__ Pokud máte více identit od různých organizací,​ např. CESNET, TUL a Hostel, po jejich sloučení není důležité,​ jakou z nich použijete při přístupu ke službě, jestliže služba je pro používání sloučených identit nakonfigurována. Vždy se totiž dostatene ke svým stejným datům, ať použijete libovolnou identitu. 
- 
-===== Perun ===== 
- 
-Systém pro správu identit a řízení přístupu s názvem [[https://​perun.cesnet.cz|Perun]] vytváří hierarchickou strukturu uživatelů,​ které je tak možné řadit do tzv. virtuálních organizací (VO = Virtual Organization),​ v jejichž rámci je možné tvořit skupiny (groups), které je možné dále dělit na podskupiny (subgroups). 
- 
-Vytvořené virtuální organizace včetně obsažených skupin a podskupin je pak možné využít pro více než jeden účel, např. různé e-mailové konference apod. 
- 
-__Příklad:​__ Můžete vytvořit VO s názvem //Fyzika// sdružující fyziky z různých univerzit, ústavů AV ČR atd. V rámci této virtuální organizace můžete vytvořit skupinu //Astro//, do níž přiřadíte všechny fyziky se zaměřením na astrofyziku. A v této skupině můžete vytvořit podskupinu //Admins// s částí uživatelů,​ kteří budou mít práva pro správu webových stránek. Výsledná struktura bude tedy //Fyzika// (VO) -> //Astro// (group) -> //Admins// (subgroup) nebo v syntaxi Peruna //​Fyzika:​Astro:​Admins//​. 
- 
-Chcete-li se podívat, jaké atributy jsou o vás uloženy v atributové autoritě, podívejte se na naši testovací službu na adrese [[https://​attributes.eduid.cz/​]] a po přihlášení hledejte atributy s prefixem //perun// (např. //​perunUserId//,​ //​perunPreferredMail//​ atd.). 
- 
-===== Přístup k atributové autoritě ===== 
- 
-Přístup ke službám atributové autority není automatický. Nestačí tedy prosté členství v české akademické federaci identit eduID.cz nebo testovací federaci czTestFed. Výjimku tvoří pouze služby provozované sdružením CESNET v eduID.cz, které mají přístup explicitně povolen. 
- 
-Chcete-li využívat možností atributové autority pro službu neprovozovanou přímo sdružením CESNET, je nutné požádat o její zpřístupnění. Žádosti zasílejte na e-mailovou adresu operátora federace: [[info@eduid.cz]]. 
- 
-Žádost by měla obsahovat //​entityID//​ vaší služby, odůvodnění pro přístup k AA, měla být poslána správcem služby a ideálně e-mailem podpsaným důvěryhodným certifikátem. 
  
Poslední úprava:: 2020/02/14 16:20