Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
cs:tech:attributes [2020/03/24 14:39] – [Atributy] 9ec128d6c1ed31e124c9d0343d1175613f20f405@einfra.cesnet.czcs:tech:attributes [2021/12/15 20:29] (aktuální) – [Doporučené atributy] Jan Oppolzer
Řádek 6: Řádek 6:
  
   * **urn:oid** -- pokud jde o atribut z LDAP třídy, nejvhodnější je zápis pomocí OID,   * **urn:oid** -- pokud jde o atribut z LDAP třídy, nejvhodnější je zápis pomocí OID,
-  * **urn:mace** -- v ostatních případech je možné použít identifikátor z namespace //urn:mace// a to buď ze standardizovaného podstromu, tak i z vlastního podstromu explicitně přiděleného organizaci, +  * **urn:mace** -- v ostatních případech je možné použít identifikátor z namespace //urn:mace// a to buď ze standardizovaného podstromu, nebo z vlastního podstromu explicitně přiděleného organizaci, 
-  * **URL** -- nejvhodnější způsob pojmenování vlastních atributů je použití URL, kde hostname je z domény patřící dané organizaci.+  * **URL** -- nejvhodnější způsob pojmenování vlastních atributů je pomocí URL při použití domény patřící dané organizaci.
  
 Podrobné informace o konvencích v pojmenovávání atributů najdete na [[https://wiki.shibboleth.net/confluence/display/CONCEPT/SAMLAttributeNaming|Shibboleth Wiki]]. Podrobné informace o konvencích v pojmenovávání atributů najdete na [[https://wiki.shibboleth.net/confluence/display/CONCEPT/SAMLAttributeNaming|Shibboleth Wiki]].
  
-===== Povinné atributy ===== +===== Objektová třída eduPerson =====
-  +
-Každý poskytovatel identit musí být schopen povinné atributy poskytovat. Jedná se o následující: +
  
-  * **[[cs:tech:attributes:cn]]** +Federativní uspořádání //AAI// (Authentication and Authorization Infrastructure) si vyžádalo vznik společné sady atributů sloužících k autentizaci a autorizaci uživatele. Sdružení [[https://www.internet2.edu|Internet2]] proto vyvinulo pro potřebu vzdělávacích institucí objektovou třídu //eduPerson//. Tato třída edstavuje rozšíření tříd //person//, //organizationalPerson// a //inetOrgPerson//.
-    * //Definice:// celé jméno včetně diakritiky a bez akademických titulů v pořadí křestní jméno (jména) a íjmení +
-    * //Příklad:// Kryštof Šáteček+
  
-  * **[[cs:tech:attributes:edupersonprincipalname]]** +  * [[https://wiki.refeds.org/display/STAN/eduPerson|Domovská stránka eduPerson]] 
-    * //Definice:// jednoznačný identifikátor osoby v rámci federace +  [[http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201602.html|Specifikace eduPerson]] 
-    //Příklad:// satecek@example.org+  [[https://wiki.refeds.org/display/STAN/eduPerson+LDIF+Files|LDIF data]]
  
-  * **[[cs:tech:attributes:edupersonscopedaffiliation]]**  +Cílem této sekce webu je stručně popsat význam jednotlivých atributů a jejich hodnot tak, jak by měly být používány v českém akademickém prostředíJedná se o dokument vycházející z aktuálních požadavkůV budoucnu se bude s největší pravděpodobností dále vyvíjet na základě nových potřeb a diskuze v rámci komunity eduID.cz.
-    * //Definice:// vztah(y) osoby k organizaci +
-    * //Příklad:// member@example.org, employee@example.org, staff@example.org+
  
-  * **[[cs:tech:attributes:edupersontargetedid]]** +Schéma //eduPerson// je implementováno jako objektová třída v adresářové struktuře LDAP. To však neznamená, že všechny atributy musí být nutně uloženy v LDAP serveru. Obzvláště u atributů //eduPersonScopedAffiliation// //eduPersonPrincipalName// se vzhledem k jejich povaze nabízí možnost jejich generování při odpovědi poskytovatele identit (IdP) na autorizační dotaz.
-    * //Definice:// persistentní náhodně vygenerovaný řetězec nenesoucí žádnou informaci o osobě +
-    * //Příklad:// <nowiki>https://idp.example.org/idp/shibboleth!https://sp.example.org/shibboleth!DMSjKwRge9YmZlc3leBnl0npqBs=</nowiki>+
  
-  * **[[cs:tech:attributes:edupersonuniqueid]]** +===== Povinné atributy ===== 
-    * //Definice:// jednoznačný, dlouhotrvající, neměnný a nikdy nerecyklovatelný identifikátor osoby v rámci federace +  
-    * //Příklad:// 89645@example.org +Každý poskytovatel identit musí být schopen povinné atributy poskytovatJedná se o následující
-    * //Poznámka:// souvisí s atributem "unstructuredName" a generuje se jako hodnota_unstructuredName@example.org +
- +
-  * **[[cs:tech:attributes:givenName]]** +
-    * //Definice:// celé křestní jméno (případně všechna křestní jména) včetně diakritiky +
-    * //Příklad:// Kryštof +
- +
-  * **[[cs:tech:attributes:mail]]** +
-    * //Definice:// __ověřená__ adresa elektronické pošty uživatele +
-    * //Příklad:// krystof.satecek@example.org +
- +
-  * **[[cs:tech:attributes:sn]]** +
-    * //Definice:// celé příjmení (případně všechna příjmení) včetně diakritiky +
-    * //Příklad:// Šáteček+
  
-  * **[[cs:tech:attributes:unstructuredname]]** +  * [[cs:tech:attributes:cn]] 
-    //Definice:// unikátní identifikátor uživatele, který se nikdy nezmění a nikdy nepoužije pro jiného uživatele +  [[cs:tech:attributes:edupersonaffiliation]] 
-    //Příklad:// 89645 +  * [[cs:tech:attributes:edupersonprincipalname]] 
-    //Poznámka:// souvisí s eduPersonUniqueId, který ho využívá+  [[cs:tech:attributes:edupersonscopedaffiliation]] 
 +  [[cs:tech:attributes:edupersontargetedid]] 
 +  [[cs:tech:attributes:edupersonuniqueid]] 
 +  [[cs:tech:attributes:givenname]] 
 +  [[cs:tech:attributes:mail]] 
 +  * [[cs:tech:attributes:schachomeorganization]] 
 +  * [[cs:tech:attributes:sn]] 
 +  * [[cs:tech:attributes:unstructuredname]]
  
 ===== Doporučené atributy ===== ===== Doporučené atributy =====
    
-Všichni poskytovatele identit, kteří používají regulované atributy,  je používají pouze k níže uvedenému  účelu.+Každý poskytovatel identit by měl důrazně zvážit implementaci doporučených atributůJedná se o následující:
  
-  * **[[cs:tech:attributes:o]]** +  * [[cs:tech:attributes:displayname]] 
-    //Definice:// označení organizace +  [[cs:tech:attributes:edupersonentitlement]] 
-    //Příklad:// CESNET, z. s. p. o.+  * [[cs:tech:attributes:o]] 
 +  [[cs:tech:attributes:ou]] 
 +  [[cs:tech:attributes:pairwiseid]] 
 +  [[cs:tech:attributes:subjectid]]
  
-  * **[[cs:tech:attributes:ou]]** +===== Erasmus+ atributy =====
-    * //Definice:// označení organizační složky v rámci organizace +
-    * //Příklad:// Oddělení síťové identity+
  
-še uvedené atributy slouží pro prezentační účely a nejsou vhodné pro autorizaci+Program Erasmus+, který má zjednodušit výjezdy studentů na zahraniční univerzity ("Erasmus without Paper"), vyžaduje nad rámec výše uvedených atributů i jeden specifický atribut — [[cs:tech:attributes:schacpersonaluniquecode]].
  
-  * **[[cs:tech:attributes:edupersonentitlement]]** +Seznam atributů vyžadovaných pro Erasmus+ naleznete na [[https://wiki.geant.org/display/SM/Attributes+required+from+Higher+Education+Institutions|wiki sdružení GÉANT]].
-    * //Definice:// řízení přístupu k vyjmenovaným službám +
-    * //Příklad:// urn:mace:terena.org:tcs:escience-user+
  
-  * **[[cs:tech:attributes:czedupersonstudysubject]]** 
-    * //Definice:// kód studijního oboru dle [[https://is.cuni.cz/studium/ciselniky/index.php?STACK_SAVE_modul=ciselniky&func_count=0&RETURN_FROM_SP=0&ORIGINAL_SP_VALUE=0&STACK_SAVE_return=akce_cis_v_vyber_kf_table&menu=cis_v_vyber_kf&KEY=Az1&id_ciselnik=201&menu=cis_v_data_kf&order_reset=1|číselníku MŠMT]] 
-    * //Příklad:// 2601T017 (kód pro studijní obor //Bezdrátové komunikace//) 
- 
-  * **[[cs:tech:attributes:czedupersonstudyprogramme]]** 
-    * //Definice:// kód studijního programu dle [[https://is.cuni.cz/studium/ciselniky/index.php?STACK_SAVE_modul=ciselniky&func_count=0&RETURN_FROM_SP=0&ORIGINAL_SP_VALUE=0&STACK_SAVE_return=akce_cis_v_vyber_kf_table&menu=cis_v_vyber_kf&KEY=Az1&id_ciselnik=200&menu=cis_v_data_kf&order_reset=1|číselníku MŠMT]] 
-    * //Příklad:// B2643 (kód pro studijní program //Elektrotechnika, elektronika, komunikační a řídicí technika//) 
- 
-  * **[[cs:tech:attributes:edupersonorgunitdn]]** 
-    * //Definice:// DN popisující organizační jednotku, k níž má osoba formální vztah 
-    * //Příklad:// ou=k135,o=fel,dc=cvut,dc=cz 
  
 ===== TCS atributy ===== ===== TCS atributy =====
Řádek 104: Řádek 78:
    
 Pro autorizaci je vhodné používat zejména atribut //eduPersonScopedAffiliation//, který vystihuje  Pro autorizaci je vhodné používat zejména atribut //eduPersonScopedAffiliation//, který vystihuje 
-vztah uživatele k organizaci, např. memberexample.org. Naopak je nevhodné používat k +vztah uživatele k organizaci, např. ''member@example.org''. Naopak je nevhodné používat k 
 autorizaci identifikaci IdP.  autorizaci identifikaci IdP. 
  
Řádek 121: Řádek 95:
 zajištuje na jedné straně soukromí (není znám jeho login a tedy identifikace) a současně je pro konkrétní  zajištuje na jedné straně soukromí (není znám jeho login a tedy identifikace) a současně je pro konkrétní 
 SP vždy stejně identifikován a SP tak může poskytovat službu uchovávání dat, ať už skutečných dat uživatele  SP vždy stejně identifikován a SP tak může poskytovat službu uchovávání dat, ať už skutečných dat uživatele 
-anebo jen nějaké jeho nastavení. Nezbytná implementace není, u řady služeb bude ale vyžadováno uvolňování EPPN.+anebo jen nějaké jeho nastavení. Nezbytná implementace není, u řady služeb bude ale vyžadováno uvolňování //eduPersonPrincipalName// nebo //eduPersonUniqueId//.