cs:tech:attributes:subjectid

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
Následující verze Obě strany příští revize
cs:tech:attributes:subjectid [2020/02/11 13:47]
jan.oppolzer@cesnet.cz [Poznámka]
cs:tech:attributes:subjectid [2020/02/12 12:52]
jan.oppolzer@cesnet.cz [Poznámka]
Řádek 26: Řádek 26:
  
 Hodnotu doporučuji získat jako hash z atributu [[unstructuredname]] kombinovaným se solí pro persistentní NameID a následně přidat "​scope"​. Hodnotu doporučuji získat jako hash z atributu [[unstructuredname]] kombinovaným se solí pro persistentní NameID a následně přidat "​scope"​.
 +
 +<code xml>
 +<​AttributeDefinition xsi:​type="​ScriptedAttribute"​ id="​subjectIdHash"​ dependencyOnly="​true">​
 +    <​InputAttributeDefinition ref="​unstructuredName"/>​
 +    <​Script><​![CDATA[
 +        var digestUtils = Java.type("​org.apache.commons.codec.digest.DigestUtils"​);​
 +        var saltedHash = digestUtils.sha256Hex(unstructuredName.getValues().get(0) + "​%{idp.persistentId.salt}"​);​
 +        subjectIdHash.addValue(saltedHash);​
 +    ]]></​Script>​
 +</​AttributeDefinition>​
 +
 +<​AttributeDefinition xsi:​type="​Scoped"​ id="​samlSubjectID"​ scope="​%{idp.scope}">​
 +    <​InputAttributeDefinition ref="​subjectIdHash"/>​
 +</​AttributeDefinition>​
 +</​code>​
 +
 +FIXME: Pro zjednodušení implementace na IdP, ale i využití na SP, by šlo atribut generovat jako "​unstructuredName"​@scope,​ bez hashování atd. Nicméně hash by byl lepší — ten atribut by se vůbec neměl zobrazovat uživatelům v uApprove a neměl by být hezký, aby to nesvádělo k jeho zobrazování + bude pak netransparentní a nepůjde tedy poznat, kdo to je.
  
Poslední úprava:: 2022/03/02 10:40