Pokud vaši uživatelé přistupují k výpočetním prostředkům superpočítače LUMI, je tento atribut nezbytný!
Popisuje úroveň ověření uživatele. Vychází z REFEDS Assurance Framework 1.0.
Je možné použít více hodnot.
To však na Shibboleth IdP nemusíte doplňovat. Správně byste měli IdP udržovat aktuální a v takovém případě je kódování atributu definováno již v souboru /opt/shibboleth-idp/conf/attributes/eduPerson.xml.
<bean parent="shibboleth.TranscodingProperties"> <property name="properties"> <props merge="true"> <prop key="id">eduPersonAssurance</prop> <prop key="transcoder">SAML2StringTranscoder SAML1StringTranscoder</prop> <prop key="saml2.name">urn:oid:1.3.6.1.4.1.5923.1.1.1.11</prop> <prop key="saml1.name">urn:mace:dir:attribute-def:eduPersonAssurance</prop> <prop key="displayName.en">Assurance level</prop> <prop key="description.en">Set of URIs that assert compliance with specific standards for identity assurance.</prop> </props> </property> </bean>
Následující dva bloky kódu jsou pouhá ukázka implementace a jejich překopírování bez 100% porozumění a doplnění je úplně bezcenné.
Dejte proto pozor, abyste znali realitu své organizace a abyste dané hodnoty uvolňovali podle skutečnosti.
V případě nejasností se neváhejte s prosbou o radu obrátit na info@eduid.cz.
Níže je uvedena ukázka statické definice atributu, která patří do souboru /opt/shibboleth-idp/conf/attribute-resolver.xml. To znamená, že atribut eduPersonAssurance je kompletně definovaný v IdP, není tedy nijak navázaný na adresářový server a jeho hodnota je stejná pro úplně všechny uživatele.
Tento blok patří do kořenového elementu <AttributeResolver> k ostatním definicím atributů:
<!-- eduPersonAssurance --> <AttributeDefinition xsi:type="Simple" id="eduPersonAssurance"> <InputDataConnector ref="staticAttributes" attributeNames="eduPersonAssurance" /> </AttributeDefinition>
Tento blok patří do elementu <DacaConnector> s atributem id=„staticAttributes“, kde máte s velkou pravděpodobností definován atribut o obsahující název Vaší organizace. Pokud takový element zatím nemáte, doplňte ho, jinak doplňte pouze statické hodnoty pro atribut eduPersonAssurance.
<DataConnector id="staticAttributes" xsi:type="Static"> <Attribute id="eduPersonAssurance"> <Value>example_value_1</Value> <Value>example_value_2</Value> </Attribute> </DataConnector>
Definice atributu samotného nestačí. Ještě je potřeba nastavit uvolňování atributu v souboru /opt/shibboleth-idp/conf/attribute-filter.xml.
Následující blok kódu způsobí uvolňování atributu eduPersonAssurance pouze do eduGAINu a navíc jen službám, které v metadatech tento atribut uvádějí jako vyžadovaný.
<AttributeFilterPolicy id="edugainassurance"> <PolicyRequirementRule xsi:type="InEntityGroup" groupID="http://edugain.org/"/> <!-- eduPersonAssurance --> <AttributeRule attributeID="eduPersonAssurance"> <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="true"/> </AttributeRule> </AttributeFilterPolicy>
Tento atribut je aktuálně (září 2022) důležitý, pokud vaši uživatelé chtějí využívat výpočetní zdroje superpočítače LUMI. Aktuální harmonogram pro přístup k LUMI je následující:
IdP musí splňovat pravidla (REFEDS Assurance Framework) pro následující hodnoty atributu eduPersonAssurance:
https://refeds.org/assurance/ID/unique nebohttps://refeds.org/assurance/ID/eppn-unique-no-reassigna také
https://refeds.org/assurance/IAP/medium nebohttps://refeds.org/assurance/IAP/high.Bližší popis výše definovaných hodnot naleznete v dokumentu REFEDS Assurance Framework 1.0.
Po úpravě konfigurace můžete otestovat, zda-li jste vše nakonfigurovali správně, na testovací službě MyAccessID na adrese https://myaccessid.devtest.eduteams.org/.
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz