Toto je starší verze dokumentu!
Toto je pouze návrh na zavedení atributu pairwise-id ze dne 11. 2. 2020. Atribut zatím není povinný a o jeho zavedení budu informovat prostřednictvím poštovních konferencí eduid@eduid.cz a cifer@cesnet.cz.
Pseudoidentifikátor, který obsahuje „scope“ organizace (scoped), není očividně svázán se konkrétním uživatelem (opaque), je nepřenositelný na jiného uživatele (not reassignable) a cílený na jednu službu (targeted).
Popis vlastností naleznete na wiki Shibbolethu.
NQ4VOTLQJFDHM32BKZHUMWCVFNAUCMSE@example.org
Určený jako náhrada za zastaralé identifikátory jako eduPersonTargetedID a SAML 2.0 persistentní NameID z důvodu jejich problémů s velikostí písmen a také implementační komplexitou.
Hodnotu doporučuji získat jako pro současný atribut eduPersonTargetedID / SAML 2.0 persistentní NameID. Pokud jste hodnoty ukládali do databáze (měli jste to tak dělat, protože nyní nebudete mít problémy), můžete snadno migrovat na BASE32 enkódování i jiný algoritmus. Nejprve se v databázi zjistí, jestli identifikátor existuje. Pokud ano, použije se. Pokud ne, vygeneruje se nový, uloží se do databáze a pak se použije.
Hodnoty salt, algorithm, encoding a „zdrojový atribut“ v elementu <DataConnector>
se berou z conf/saml-nameid.properties.
<AttributeDefinition xsi:type="Scoped" id="samlPairwiseID" scope="%{idp.scope}"> <InputDataConnector ref="myStoredId" attributeNames="storedId"/> </AttributeDefinition> <DataConnector id="myStoredId" xsi:type="StoredId" generatedAttributeID="storedId" salt="%{idp.persistentId.salt}" algorithm="%{idp.persistentId.algorithm:SHA}" encoding="%{idp.persistentId.encoding:BASE32}" queryTimeout="0"> <InputAttributeDefinition ref="%{idp.persistentId.sourceAttribute}"/> <BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection> </DataConnector>
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz