cs:tech:attributes:edupersonassurance

eduPersonAssurance

Pokud vaši uživatelé přistupují k výpočetním prostředkům superpočítače LUMI, je tento atribut nezbytný!

Definice

Popisuje úroveň ověření uživatele. Vychází z REFEDS Assurance Framework 1.0.

Je možné použít více hodnot.

Podrobné informace na stránkách komunity Internet2.

Kódování

  • SAML2: urn:oid:1.3.6.1.4.1.5923.1.1.1.11

To však na Shibboleth IdP nemusíte doplňovat. Správně byste měli IdP udržovat aktuální a v takovém případě je kódování atributu definováno již v souboru /opt/shibboleth-idp/conf/attributes/eduPerson.xml.

<bean parent="shibboleth.TranscodingProperties">
    <property name="properties">
        <props merge="true">
            <prop key="id">eduPersonAssurance</prop>
            <prop key="transcoder">SAML2StringTranscoder SAML1StringTranscoder</prop>
            <prop key="saml2.name">urn:oid:1.3.6.1.4.1.5923.1.1.1.11</prop>
            <prop key="saml1.name">urn:mace:dir:attribute-def:eduPersonAssurance</prop>
            <prop key="displayName.en">Assurance level</prop>
            <prop key="description.en">Set of URIs that assert compliance with specific standards for identity assurance.</prop>
        </props>
    </property>
</bean>

Ukázka implementace

Následující dva bloky kódu jsou pouhá ukázka implementace a jejich překopírování bez 100% porozumění a doplnění je úplně bezcenné.

Dejte proto pozor, abyste znali realitu své organizace a abyste dané hodnoty uvolňovali podle skutečnosti.

V případě nejasností se neváhejte s prosbou o radu obrátit na info@eduid.cz.

Níže je uvedena ukázka statické definice atributu, která patří do souboru /opt/shibboleth-idp/conf/attribute-resolver.xml. To znamená, že atribut eduPersonAssurance je kompletně definovaný v IdP, není tedy nijak navázaný na adresářový server a jeho hodnota je stejná pro úplně všechny uživatele.

Tento blok patří do kořenového elementu <AttributeResolver> k ostatním definicím atributů:

<!-- eduPersonAssurance -->
<AttributeDefinition xsi:type="Simple" id="eduPersonAssurance">
    <InputDataConnector ref="staticAttributes" attributeNames="eduPersonAssurance" />
</AttributeDefinition>

Tento blok patří do elementu <DacaConnector> s atributem id=„staticAttributes“, kde máte s velkou pravděpodobností definován atribut o obsahující název Vaší organizace. Pokud takový element zatím nemáte, doplňte ho, jinak doplňte pouze statické hodnoty pro atribut eduPersonAssurance.

<DataConnector id="staticAttributes" xsi:type="Static">
 
    <Attribute id="eduPersonAssurance">
        <Value>example_value_1</Value>
        <Value>example_value_2</Value>
    </Attribute>
 
</DataConnector>

Uvolňování atributu

Definice atributu samotného nestačí. Ještě je potřeba nastavit uvolňování atributu v souboru /opt/shibboleth-idp/conf/attribute-filter.xml.

Následující blok kódu způsobí uvolňování atributu eduPersonAssurance pouze do eduGAINu a navíc jen službám, které v metadatech tento atribut uvádějí jako vyžadovaný.

<AttributeFilterPolicy id="edugainassurance">
 
    <PolicyRequirementRule
        xsi:type="InEntityGroup"
        groupID="http://edugain.org/"/>
 
        <!-- eduPersonAssurance -->
        <AttributeRule attributeID="eduPersonAssurance">
            <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/>
        </AttributeRule>
 
</AttributeFilterPolicy>

Poznámka

Tento atribut je aktuálně (září 2022) důležitý, pokud vaši uživatelé chtějí využívat výpočetní zdroje superpočítače LUMI. Aktuální harmonogram pro přístup k LUMI je následující:

  • 1. prosince 2022: IdP by měla uvolňovat tento atribut.
  • 15. ledna 2023: Uživatelé, jejichž IdP tento atribut neuvolňuje, budou při přihlášení informováni.
  • 1. března 2023: Uživatelé, jejichž IdP tento atribut neuvolňuje, se nebudou moci přihlásit.

IdP musí splňovat pravidla (REFEDS Assurance Framework) pro následující hodnoty atributu eduPersonAssurance:

  • https://refeds.org/assurance/ID/unique nebo
  • https://refeds.org/assurance/ID/eppn-unique-no-reassign

a také

  • https://refeds.org/assurance/IAP/medium nebo
  • https://refeds.org/assurance/IAP/high.

Bližší popis výše definovaných hodnot naleznete v dokumentu REFEDS Assurance Framework 1.0.

Ověření

Po úpravě konfigurace můžete otestovat, zda-li jste vše nakonfigurovali správně, na testovací službě MyAccessID na adrese https://myaccessid.devtest.eduteams.org/.

Last modified:: 2023/03/01 13:06