Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
cs:tech:attributes:edupersonuniqueid [2020/03/30 14:40] jan.oppolzer@cesnet.cz [Definice] |
cs:tech:attributes:edupersonuniqueid [2022/02/17 14:42] (aktuální) Jan Oppolzer [eduPersonUniqueId] |
||
|---|---|---|---|
| Řádek 3: | Řádek 3: | ||
| <color #ae2724> | <color #ae2724> | ||
| - | **Atribut //eduPersonUniqueId// bude od 1. ledna 2017 patřit mezi vyžadované atributy a některé služby ve federaci //eduID.cz// (např. datová úložiště CESNETu) budou tento atribut vyžadovat. Bez tohoto atributu dotyčné služby nebudou funkční.** | + | **Atribut //eduPersonUniqueId// od 1. ledna 2017 patří mezi vyžadované atributy a některé služby ve federaci //eduID.cz// (např. datová úložiště CESNETu) tento atribut vyžadují a nebudou bez něj fungovat.** |
| </color> | </color> | ||
| Řádek 13: | Řádek 13: | ||
| Má tvar "identifikátor@doména". Doménou se rozumí administrativní doména domovské organizace osoby. Znak "@" tvoří oddělovač dvou částí identifikátoru. Část vlevo od oddělovače tvoří identifikátor v rámci domény, pravá část potom označuje doménu. //Jedná se tedy o atribut, který smí mít pouze jednu hodnotu!// | Má tvar "identifikátor@doména". Doménou se rozumí administrativní doména domovské organizace osoby. Znak "@" tvoří oddělovač dvou částí identifikátoru. Část vlevo od oddělovače tvoří identifikátor v rámci domény, pravá část potom označuje doménu. //Jedná se tedy o atribut, který smí mít pouze jednu hodnotu!// | ||
| + | |||
| + | **Jsou povoleny pouze alfanumerické znaky (a-z, A-Z, 0-9).** | ||
| Podrobné [[http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201602.html#eduPersonUniqueId|informace]] na stránkách komunity [[http://www.internet2.edu/|Internet2]]. | Podrobné [[http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201602.html#eduPersonUniqueId|informace]] na stránkách komunity [[http://www.internet2.edu/|Internet2]]. | ||
| Řádek 32: | Řádek 34: | ||
| a **ukládat do databáze**, abyste zajistili jeho nerecyklovatelnost a jedinečnost. Dotyčnou databázi pečlivě zálohujte, abyste o identifikátory nepřišli. | a **ukládat do databáze**, abyste zajistili jeho nerecyklovatelnost a jedinečnost. Dotyčnou databázi pečlivě zálohujte, abyste o identifikátory nepřišli. | ||
| - | V žádném případě **nedoporučujeme** tento identifikátor **vypočítávat** (např. MD5/SHA hash) na IdP **bez následného uložení do databáze**! Tím se v podstatě dostáváme do situace jako jsme nyní s [[cs:tech:edupersonprincipalname]], které se na některých organizacích recykluje. | + | V žádném případě **nedoporučujeme** tento identifikátor **vypočítávat** (např. MD5/SHA hash) na IdP **bez následného uložení do databáze**! Tím se v podstatě dostáváme do situace jako jsme nyní s [[cs:tech:attributes:edupersonprincipalname]], které se na některých organizacích recykluje. |
| Identifikátor je nutné ukládat do databáze (//ideálně jako další uživatelský atribut v LDAP/AD//). Pokud máte ve svém IdM licenci podle počtu uživatelských záznamů, musíte vlastními silami zařídit, že jednou přiřazený identifikátor již nikdy nedostane nikdo jiný. Dále musíte implementovat mechanizmy, které zajistí, že se po případné změně uživatelského jména nezmění tento identifikátor. | Identifikátor je nutné ukládat do databáze (//ideálně jako další uživatelský atribut v LDAP/AD//). Pokud máte ve svém IdM licenci podle počtu uživatelských záznamů, musíte vlastními silami zařídit, že jednou přiřazený identifikátor již nikdy nedostane nikdo jiný. Dále musíte implementovat mechanizmy, které zajistí, že se po případné změně uživatelského jména nezmění tento identifikátor. | ||
| Řádek 56: | Řádek 58: | ||
| </code> | </code> | ||
| - | Pak již jen zbývá v ''/opt/shibboleth-idp/conf/attribute-filter.xml'' doplnit uvolňování tohoto atributu pro entity z federací eduID.cz a czTestFed: | + | Pak již jen zbývá v ''/opt/shibboleth-idp/conf/attribute-filter.xml'' doplnit uvolňování tohoto atributu pro entity z federace eduID.cz: |
| <code xml> | <code xml> | ||
| - | <!-- eduID.cz & czTestFed federations --> | + | <!-- eduID.cz --> |
| - | <AttributeFilterPolicy id="eduidcz_cztestfed"> | + | <AttributeFilterPolicy id="eduidcz"> |
| | | ||
| - | <PolicyRequirementRule xsi:type="OR"> | + | <PolicyRequirementRule |
| - | <Rule xsi:type="InEntityGroup" groupID="https://eduid.cz/metadata" /> | + | xsi:type="InEntityGroup" |
| - | <Rule xsi:type="InEntityGroup" groupID="urn:mace:cesnet.cz:cztestfed" /> | + | groupID="https://eduid.cz/metadata" /> |
| - | </PolicyRequirementRule> | + | |
| <AttributeRule attributeID="eduPersonUniqueId"> | <AttributeRule attributeID="eduPersonUniqueId"> | ||
| Řádek 94: | Řádek 95: | ||
| ===== Poznámka ===== | ===== Poznámka ===== | ||
| + | |||
| + | <WRAP alert> | ||
| + | **Hodnota před symbolem zavináč smí obsahovat pouze malá a velká písmena bez diakritiky a číslice!** | ||
| + | </WRAP> | ||
| Tento identifikátor slouží jako //lepší// náhrada za atribut [[cs:tech:attributes:edupersonprincipalname]], který je sice jednoznačný v rámci federace, ale může (i když to **nedoporučujeme**) dojít k jeho recyklování a to zejména u organizací s velkým počtem uživatelů a jejich fluktuací (např. univerzity). | Tento identifikátor slouží jako //lepší// náhrada za atribut [[cs:tech:attributes:edupersonprincipalname]], který je sice jednoznačný v rámci federace, ale může (i když to **nedoporučujeme**) dojít k jeho recyklování a to zejména u organizací s velkým počtem uživatelů a jejich fluktuací (např. univerzity). | ||
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz