cs:tech:attributes:edupersonuniqueid

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
Následující verze Obě strany příští revize
cs:tech:attributes:edupersonuniqueid [2019/08/12 12:57]
jop@cesnet.cz [Poznámka]
cs:tech:attributes:edupersonuniqueid [2020/04/15 16:25]
jan.oppolzer@cesnet.cz [Máte-li atribut unstructuredName]
Řádek 12: Řádek 12:
 **Jednoznačný,​ dlouhotrvající,​ neměnný a __nikdy nerecyklovatelný__ identifikátor** osoby v rámci federace. Použitelný jako hlavní identifikátor nebo jako unikátní externí klíč. **Jednoznačný,​ dlouhotrvající,​ neměnný a __nikdy nerecyklovatelný__ identifikátor** osoby v rámci federace. Použitelný jako hlavní identifikátor nebo jako unikátní externí klíč.
  
-Má tvar "​identifikátor@doména"​. Doménou se rozumí administrativní doména domovské organizace osoby. Znak "​@"​ tvoří oddělovač dvou částí identifikátoru. Část vlevo od oddělovače tvoří identifikátor v rámci domény, pravá část potom označuje doménu.+Má tvar "​identifikátor@doména"​. Doménou se rozumí administrativní doména domovské organizace osoby. Znak "​@"​ tvoří oddělovač dvou částí identifikátoru. Část vlevo od oddělovače tvoří identifikátor v rámci domény, pravá část potom označuje doménu. ​//Jedná se tedy o atribut, který smí mít pouze jednu hodnotu!//
  
 Podrobné [[http://​software.internet2.edu/​eduperson/​internet2-mace-dir-eduperson-201602.html#​eduPersonUniqueId|informace]] na stránkách komunity [[http://​www.internet2.edu/​|Internet2]]. Podrobné [[http://​software.internet2.edu/​eduperson/​internet2-mace-dir-eduperson-201602.html#​eduPersonUniqueId|informace]] na stránkách komunity [[http://​www.internet2.edu/​|Internet2]].
Řádek 32: Řádek 32:
 a **ukládat do databáze**,​ abyste zajistili jeho nerecyklovatelnost a jedinečnost. Dotyčnou databázi pečlivě zálohujte, abyste o identifikátory nepřišli. a **ukládat do databáze**,​ abyste zajistili jeho nerecyklovatelnost a jedinečnost. Dotyčnou databázi pečlivě zálohujte, abyste o identifikátory nepřišli.
  
-V žádném případě **nedoporučujeme** tento identifikátor **vypočítávat** (např. MD5/SHA hash) na IdP **bez následného uložení do databáze**! Tím se v podstatě dostáváme do situace jako jsme nyní s [[cs:​tech:​edupersonprincipalname]],​ které se na některých organizacích recykluje. ​+V žádném případě **nedoporučujeme** tento identifikátor **vypočítávat** (např. MD5/SHA hash) na IdP **bez následného uložení do databáze**! Tím se v podstatě dostáváme do situace jako jsme nyní s [[cs:tech:attributes:​edupersonprincipalname]],​ které se na některých organizacích recykluje. ​
  
 Identifikátor je nutné ukládat do databáze (//​ideálně jako další uživatelský atribut v LDAP/AD//). Pokud máte ve svém IdM licenci podle počtu uživatelských záznamů, musíte vlastními silami zařídit, že jednou přiřazený identifikátor již nikdy nedostane nikdo jiný. Dále musíte implementovat mechanizmy, které zajistí, že se po případné změně uživatelského jména nezmění tento identifikátor. Identifikátor je nutné ukládat do databáze (//​ideálně jako další uživatelský atribut v LDAP/AD//). Pokud máte ve svém IdM licenci podle počtu uživatelských záznamů, musíte vlastními silami zařídit, že jednou přiřazený identifikátor již nikdy nedostane nikdo jiný. Dále musíte implementovat mechanizmy, které zajistí, že se po případné změně uživatelského jména nezmění tento identifikátor.
Řádek 56: Řádek 56:
 </​code>​ </​code>​
  
-Pak již jen zbývá v ''/​opt/​shibboleth-idp/​conf/​attribute-filter.xml''​ doplnit uvolňování tohoto atributu pro entity z federací ​eduID.cz ​a czTestFed:+Pak již jen zbývá v ''/​opt/​shibboleth-idp/​conf/​attribute-filter.xml''​ doplnit uvolňování tohoto atributu pro entity z federace ​eduID.cz:
  
 <code xml> <code xml>
-<!-- eduID.cz ​& czTestFed federations ​--> +<!-- eduID.cz --> 
-<​AttributeFilterPolicy id="eduidcz_cztestfed">+<​AttributeFilterPolicy id="eduidcz">
     ​     ​
-    <​PolicyRequirementRule ​xsi:​type="​OR">​ +    <​PolicyRequirementRule 
-        ​<​Rule ​xsi:​type="​InEntityGroup"​ groupID="​https://​eduid.cz/​metadata"​ /+        xsi:​type="​InEntityGroup"​ 
-        <Rule xsi:​type="​InEntityGroup"​ groupID="​urn:​mace:​cesnet.cz:​cztestfed"​ /> +        ​groupID="​https://​eduid.cz/​metadata"​ />
-    </​PolicyRequirementRule>+
  
     <​AttributeRule attributeID="​eduPersonUniqueId">​     <​AttributeRule attributeID="​eduPersonUniqueId">​
Poslední úprava:: 2022/02/17 14:42