Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:tech:attributes [2016/11/08 11:27] jop@cesnet.cz nová specifikace |
cs:tech:attributes [2020/01/07 07:57] jan.oppolzer@cesnet.cz |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | ====== Použití atributů pro federaci eduID.cz ====== | + | ====== Atributy ====== |
Názvy atributů využívaných u IdP a SP se liší od názvů použitých v SAML komunikaci. Znamená to, že na každé straně je potřeba definovat vhodné mapovaní. Toto rozdělení zvyšuje interoperabilitu různých součástí federace, které můžou mít rozdílné názvy pro stejné atributy. | Názvy atributů využívaných u IdP a SP se liší od názvů použitých v SAML komunikaci. Znamená to, že na každé straně je potřeba definovat vhodné mapovaní. Toto rozdělení zvyšuje interoperabilitu různých součástí federace, které můžou mít rozdílné názvy pro stejné atributy. | ||
Řádek 10: | Řádek 10: | ||
Podrobné informace o konvencích v pojmenovávání atributů najdete na [[https://wiki.shibboleth.net/confluence/display/SHIB2/SAMLAttributeNaming|Shibboleth Wiki]]. | Podrobné informace o konvencích v pojmenovávání atributů najdete na [[https://wiki.shibboleth.net/confluence/display/SHIB2/SAMLAttributeNaming|Shibboleth Wiki]]. | ||
- | |||
- | |||
===== Povinné atributy ===== | ===== Povinné atributy ===== | ||
Řádek 23: | Řádek 21: | ||
* **[[cs:tech:attributes:edupersonprincipalname]]** | * **[[cs:tech:attributes:edupersonprincipalname]]** | ||
* //Definice:// jednoznačný identifikátor osoby v rámci federace | * //Definice:// jednoznačný identifikátor osoby v rámci federace | ||
- | * //Příklad:// satecek@organizace.cz | + | * //Příklad:// satecek@example.org |
* **[[cs:tech:attributes:edupersonscopedaffiliation]]** | * **[[cs:tech:attributes:edupersonscopedaffiliation]]** | ||
* //Definice:// vztah(y) osoby k organizaci | * //Definice:// vztah(y) osoby k organizaci | ||
- | * //Příklad:// member@organizace.cz, employee@organizace.cz, staff@organizace.cz | + | * //Příklad:// member@example.org, employee@example.org, staff@example.org |
* **[[cs:tech:attributes:edupersontargetedid]]** | * **[[cs:tech:attributes:edupersontargetedid]]** | ||
* //Definice:// persistentní náhodně vygenerovaný řetězec nenesoucí žádnou informaci o osobě | * //Definice:// persistentní náhodně vygenerovaný řetězec nenesoucí žádnou informaci o osobě | ||
- | * //Příklad:// DMSjKwRge9YmZlc3leBnl0npqBs= | + | * //Příklad:// <nowiki>https://idp.example.org/idp/shibboleth!https://sp.example.org/shibboleth!DMSjKwRge9YmZlc3leBnl0npqBs=</nowiki> |
* **[[cs:tech:attributes:edupersonuniqueid]]** | * **[[cs:tech:attributes:edupersonuniqueid]]** | ||
* //Definice:// jednoznačný, dlouhotrvající, neměnný a nikdy nerecyklovatelný identifikátor osoby v rámci federace | * //Definice:// jednoznačný, dlouhotrvající, neměnný a nikdy nerecyklovatelný identifikátor osoby v rámci federace | ||
- | * //Příklad:// 89645@organizace.cz | + | * //Příklad:// 89645@example.org |
- | * //Poznámka:// souvisí s atributem "unstructuredName" a generuje se jako hodnota_unstructuredName@organizace.cz | + | * //Poznámka:// souvisí s atributem "unstructuredName" a generuje se jako hodnota_unstructuredName@example.org |
* **[[cs:tech:attributes:givenName]]** | * **[[cs:tech:attributes:givenName]]** | ||
Řádek 44: | Řádek 42: | ||
* **[[cs:tech:attributes:mail]]** | * **[[cs:tech:attributes:mail]]** | ||
* //Definice:// __ověřená__ adresa elektronické pošty uživatele | * //Definice:// __ověřená__ adresa elektronické pošty uživatele | ||
- | * //Příklad:// krystof.satecek@organizace.cz | + | * //Příklad:// krystof.satecek@example.org |
* **[[cs:tech:attributes:sn]]** | * **[[cs:tech:attributes:sn]]** | ||
Řádek 89: | Řádek 87: | ||
* **[[cs:tech:attributes:authmail]]** | * **[[cs:tech:attributes:authmail]]** | ||
* //Definice:// ověřené e-mailové adresy konkrétního uživatele | * //Definice:// ověřené e-mailové adresy konkrétního uživatele | ||
- | * //Příklad:// krystof.satecek@organizace.cz | + | * //Příklad:// krystof.satecek@example.org |
* **[[cs:tech:attributes:commonnameascii]]** | * **[[cs:tech:attributes:commonnameascii]]** | ||
Řádek 120: | Řádek 118: | ||
Pro autorizaci je vhodné používat zejména atribut //eduPersonScopedAffiliation//, který vystihuje | Pro autorizaci je vhodné používat zejména atribut //eduPersonScopedAffiliation//, který vystihuje | ||
- | vztah uživatele k organizaci, např. member@organizace.cz. Naopak je nevhodné používat k | + | vztah uživatele k organizaci, např. memberexample.org. Naopak je nevhodné používat k |
autorizaci identifikaci IdP. | autorizaci identifikaci IdP. | ||
Řádek 138: | Řádek 136: | ||
SP vždy stejně identifikován a SP tak může poskytovat službu uchovávání dat, ať už skutečných dat uživatele | SP vždy stejně identifikován a SP tak může poskytovat službu uchovávání dat, ať už skutečných dat uživatele | ||
anebo jen nějaké jeho nastavení. Nezbytná implementace není, u řady služeb bude ale vyžadováno uvolňování EPPN. | anebo jen nějaké jeho nastavení. Nezbytná implementace není, u řady služeb bude ale vyžadováno uvolňování EPPN. | ||
- |