Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- cs:tech:attributes [2016/04/13 09:30]
jan.tomasek@cesnet.cz [Povinné atributy]
+++ cs:tech:attributes [2019/12/10 14:33]
jan.oppolzer@cesnet.cz [Atributy v eduID.cz]
@@ Řádek 1: / Řádek 1: @@
-====== Použití atributů pro federaci eduID.cz ======
+====== Atributy ======
 Názvy atributů využívaných u IdP a SP se liší od názvů použitých v SAML komunikaci. Znamená to, že na každé straně je potřeba definovat vhodné mapovaní. Toto rozdělení zvyšuje interoperabilitu různých součástí federace, které můžou mít rozdílné názvy pro stejné atributy.
@@ Řádek 15: / Řádek 15: @@
 ===== Povinné atributy =====
-Každý poskytovatel identit musí být schopen povinné atributy poskytovat, ale nemusí je poskytovat
+Každý poskytovatel identit musí být schopen povinné atributy poskytovat. Jedná se o následující:
-všem poskytovatelům služeb. Jedná se o následující:
-  * **eduPersonPrincipalName**
+  * **[[cs:tech:attributes:cn]]**
-    * urn:oid:1.3.6.1.4.1.5923.1.1.1.6
+    * //Definice:// celé jméno včetně diakritiky a bez akademických titulů v pořadí křestní jméno (jména) a příjmení
-    * urn:mace:dir:attribute-def:eduPersonPrincipalName
+    * //Příklad:// Kryštof Šáteček
-  * **eduPersonScopedAffiliation**
+  * **[[cs:tech:attributes:edupersonprincipalname]]**
-    * urn:oid:1.3.6.1.4.1.5923.1.1.1.9
+    * //Definice:// jednoznačný identifikátor osoby v rámci federace
-    * urn:mace:dir:attribute-def:eduPersonScopedAffiliation
+    * //Příklad:// satecek@example.org
-  * **cn** – celé jméno v pořadí křestní jméno (jména) a příjmení bez titulů, např. Kryštof Šáteček
+  * **[[cs:tech:attributes:edupersonscopedaffiliation]]**
-    * urn:oid:2.5.4.3
+    * //Definice:// vztah(y) osoby k organizaci
-    * urn:mace:dir:attribute-def:cn
+    * //Příklad:// member@example.org, employee@example.org, staff@example.org
-  * **givenName** – jméno uživatele
+  * **[[cs:tech:attributes:edupersontargetedid]]**
-    * urn:oid:2.5.4.42
+    * //Definice:// persistentní náhodně vygenerovaný řetězec nenesoucí žádnou informaci o osobě
-    * urn:mace:dir:attribute-def:givenName
+    * //Příklad:// DMSjKwRge9YmZlc3leBnl0npqBs=
-  * **sn** – příjmení uživatele
+  * **[[cs:tech:attributes:edupersonuniqueid]]**
-    * urn:oid:2.5.4.4
+    * //Definice:// jednoznačný, dlouhotrvající, neměnný a nikdy nerecyklovatelný identifikátor osoby v rámci federace
-    * urn:mace:dir:attribute-def:sn
+    * //Příklad:// 89645@example.org
+    * //Poznámka:// souvisí s atributem "unstructuredName" a generuje se jako hodnota_unstructuredName@example.org
-  * **eduPersonTargetedID**
+  * **[[cs:tech:attributes:givenName]]**
-    * urn:oid:1.3.6.1.4.1.5923.1.1.1.10
+    * //Definice:// celé křestní jméno (případně všechna křestní jména) včetně diakritiky
-    * urn:mace:dir:attribute-def:eduPersonTargetedID
+    * //Příklad:// Kryštof
+  * **[[cs:tech:attributes:mail]]**
+    * //Definice:// __ověřená__ adresa elektronické pošty uživatele
+    * //Příklad:// krystof.satecek@example.org
+  * **[[cs:tech:attributes:sn]]**
+    * //Definice:// celé příjmení (případně všechna příjmení) včetně diakritiky
+    * //Příklad:// Šáteček
+  * **[[cs:tech:attributes:unstructuredname]]**
+    * //Definice:// unikátní identifikátor uživatele, který se nikdy nezmění a nikdy nepoužije pro jiného uživatele
+    * //Příklad:// 89645
+    * //Poznámka:// souvisí s eduPersonUniqueId, který ho využívá
 ===== Regulované (doporučené) atributy =====
@@ Řádek 47: / Řádek 59: @@
 Všichni poskytovatele identit, kteří používají regulované atributy,  je používají pouze k níže uvedenému  účelu.
-  * **ou** – označení organizační složky v rámci organizace
+  * **[[cs:tech:attributes:o]]**
-    * urn:oid:2.5.4.11
+    * //Definice:// označení organizace
-    * urn:mace:dir:attribute-def:ou
+    * //Příklad:// CESNET, z. s. p. o.
-  * **o** – označení organizace
+  * **[[cs:tech:attributes:ou]]**
-    * urn:oid:2.5.4.10
+    * //Definice:// označení organizační složky v rámci organizace
-    * urn:mace:dir:attribute-def:o
+    * //Příklad:// Oddělení síťové identity
-  * **mail** – adresa elektronické pošty uživatele
-    * urn:oid:0.9.2342.19200300.100.1.3
-    * urn:mace:dir:attribute-def:mail
 Výše uvedené atributy slouží pro prezentační účely a nejsou vhodné pro autorizaci.
-  * **eduPersonEntitlement** – atribut pro řízení přístupu k vyjmenovaným službám
+  * **[[cs:tech:attributes:edupersonentitlement]]**
-    * urn:oid:1.3.6.1.4.1.5923.1.1.1.7
+    * //Definice:// řízení přístupu k vyjmenovaným službám
-    * urn:mace:dir:attribute-def:eduPersonEntitlement
+    * //Příklad:// urn:mace:terena.org:tcs:escience-user
+  * **[[cs:tech:attributes:czedupersonstudysubject]]**
+    * //Definice:// kód studijního oboru dle [[https://is.cuni.cz/studium/ciselniky/index.php?STACK_SAVE_modul=ciselniky&func_count=0&RETURN_FROM_SP=0&ORIGINAL_SP_VALUE=0&STACK_SAVE_return=akce_cis_v_vyber_kf_table&menu=cis_v_vyber_kf&KEY=Az1&id_ciselnik=201&menu=cis_v_data_kf&order_reset=1|číselníku MŠMT]]
+    * //Příklad:// 2601T017 (kód pro studijní obor //Bezdrátové komunikace//)
+  * **[[cs:tech:attributes:czedupersonstudyprogramme]]**
+    * //Definice:// kód studijního programu dle [[https://is.cuni.cz/studium/ciselniky/index.php?STACK_SAVE_modul=ciselniky&func_count=0&RETURN_FROM_SP=0&ORIGINAL_SP_VALUE=0&STACK_SAVE_return=akce_cis_v_vyber_kf_table&menu=cis_v_vyber_kf&KEY=Az1&id_ciselnik=200&menu=cis_v_data_kf&order_reset=1|číselníku MŠMT]]
+    * //Příklad:// B2643 (kód pro studijní program //Elektrotechnika, elektronika, komunikační a řídicí technika//)
+  * **[[cs:tech:attributes:edupersonorgunitdn]]**
+    * //Definice:// DN popisující organizační jednotku, k níž má osoba formální vztah
+    * //Příklad:// ou=k135,o=fel,dc=cvut,dc=cz
+===== TCS atributy =====
+  * **[[cs:tech:attributes:authmail]]**
+    * //Definice:// ověřené e-mailové adresy konkrétního uživatele
+    * //Příklad:// krystof.satecek@example.org
-  * **czEduPersonStudySubject** – studijní obor dle [[https://is.cuni.cz/studium/ciselniky/index.php?STACK_SAVE_modul=ciselniky&func_count=0&RETURN_FROM_SP=0&ORIGINAL_SP_VALUE=0&STACK_SAVE_return=akce_cis_v_vyber_kf_table&menu=cis_v_vyber_kf&KEY=Az1&id_ciselnik=201&menu=cis_v_data_kf&order_reset=1|číselníku MŠMT]]
+  * **[[cs:tech:attributes:commonnameascii]]**
-    * urn:mace:dir:attribute-def:czEduPersonStudySubject
+    * //Definice:// celé jméno v pořadí křestní jméno (jména) a příjmení bez titulů a diakritiky
+    * //Příklad:// Krystof Satecek
-  * **czEduPersonStudyProgramme** – studijní program dle [[https://is.cuni.cz/studium/ciselniky/index.php?STACK_SAVE_modul=ciselniky&func_count=0&RETURN_FROM_SP=0&ORIGINAL_SP_VALUE=0&STACK_SAVE_return=akce_cis_v_vyber_kf_table&menu=cis_v_vyber_kf&KEY=Az1&id_ciselnik=200&menu=cis_v_data_kf&order_reset=1|číselníku MŠMT]]
+  * **[[cs:tech:attributes:edupersonentitlement]]**
-    * urn:mace:dir:attribute-def:czEduPersonStudyProgramme
+    * //Definice:// řízení přístupu k vyjmenovaným službám
+    * //Příklad:// urn:mace:terena.org:tcs:escience-user
-  * **eduPersonOrgUnitDN**
+  * **[[cs:tech:attributes:telephonenumber]]**
-    * urn:oid:1.3.6.1.4.1.5923.1.1.1.4
+    * //Definice:// telefonní číslo uživatele
-    * urn:mace:dir:attribute-def:eduPersonOrgUnitDN
+    * //Příklad:// +420123456789
 ===== Lokální atributy =====
@@ Řádek 92: / Řádek 120: @@
 Pro autorizaci je vhodné používat zejména atribut //eduPersonScopedAffiliation//, který vystihuje
-vztah uživatele k organizaci, např. member@organizace.cz. Naopak je nevhodné používat k
+vztah uživatele k organizaci, např. memberexample.org. Naopak je nevhodné používat k
 autorizaci identifikaci IdP.

Rozdíly

Rychlé odkazy

Kontakt

Service desk