Toto je starší verze dokumentu!
Provoz atributové autority bude k 1. 9. 2018 ukončen. Dotčené služby budou odpojeny, případně migrovány na ProxyIdP.
Technický popis atributové autority je v samostatném dokumentu.
Atributová autorita (AA) v rámci federace identit založené na standardu SAML2 umožnuje ukládání a sdílení dalších atributů o uživatelích. Jsou to atributy, které neposkytuje anebo z principu nemůže poskytovat domovské IdP. Jsou spravovány pomocí systému pro správu identit a řízení přístupu s názvem Perun.
Skupiny mohou tvořit různí uživatelé z libovolných členských organizací eduID.cz. Tyto skupiny lze následně používat k řízení přístupu ke službám.
Příklad: Můžete vytvořit skupinu několika uživatelů z ČVUT v Praze, Masarykovy univerzity a Ústavu fyziky plazmatu AV ČR a všem uživatelům z této skupiny následně přiřadit práva k editaci stránek v systému DokuWiki.
Uživatelské identity z různých organizací (CESNET, Technická univerzita v Liberci, Hostel) je možné sloučit do jedné tzv. spojené identity (více informací o propojení identit nabízí samostatný dokument). Následně je jedno, jakou identitu použijete k přihlášení ke službě (pokud to služba podporuje). Nemusíte si tedy pamatovat, jakou identitu použít při přístupu ke které službě, abyste se dostali ke svým datům.
Příklad: Pokud máte více identit od různých organizací, např. CESNET, TUL a Hostel, po jejich sloučení není důležité, jakou z nich použijete při přístupu ke službě, jestliže služba je pro používání sloučených identit nakonfigurována. Vždy se totiž dostatene ke svým stejným datům, ať použijete libovolnou identitu.
Systém pro správu identit a řízení přístupu s názvem Perun vytváří hierarchickou strukturu uživatelů, které je tak možné řadit do tzv. virtuálních organizací (VO = Virtual Organization), v jejichž rámci je možné tvořit skupiny (groups), které je možné dále dělit na podskupiny (subgroups).
Vytvořené virtuální organizace včetně obsažených skupin a podskupin je pak možné využít pro více než jeden účel, např. různé e-mailové konference apod.
Příklad: Můžete vytvořit VO s názvem Fyzika sdružující fyziky z různých univerzit, ústavů AV ČR atd. V rámci této virtuální organizace můžete vytvořit skupinu Astro, do níž přiřadíte všechny fyziky se zaměřením na astrofyziku. A v této skupině můžete vytvořit podskupinu Admins s částí uživatelů, kteří budou mít práva pro správu webových stránek. Výsledná struktura bude tedy Fyzika (VO) → Astro (group) → Admins (subgroup) nebo v syntaxi Peruna Fyzika:Astro:Admins.
Chcete-li se podívat, jaké atributy jsou o vás uloženy v atributové autoritě, podívejte se na naši testovací službu na adrese https://attributes.eduid.cz/ a po přihlášení hledejte atributy s prefixem perun (např. perunUserId, perunPreferredMail atd.).
Přístup ke službám atributové autority není automatický. Nestačí tedy prosté členství v české akademické federaci identit eduID.cz nebo testovací federaci czTestFed. Výjimku tvoří pouze služby provozované sdružením CESNET v eduID.cz, které mají přístup explicitně povolen.
Chcete-li využívat možností atributové autority pro službu neprovozovanou přímo sdružením CESNET, je nutné požádat o její zpřístupnění. Žádosti zasílejte na e-mailovou adresu operátora federace: info@eduid.cz.
Žádost by měla obsahovat entityID vaší služby, odůvodnění pro přístup k AA, měla být poslána správcem služby a ideálně e-mailem podpsaným důvěryhodným certifikátem.
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz