| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze |
| cs:tech:attributes [2020/03/24 14:46] – [Atributy] 9ec128d6c1ed31e124c9d0343d1175613f20f405@einfra.cesnet.cz | cs:tech:attributes [2021/12/15 20:29] (aktuální) – [Doporučené atributy] Jan Oppolzer |
|---|
| Každý poskytovatel identit musí být schopen povinné atributy poskytovat. Jedná se o následující: | Každý poskytovatel identit musí být schopen povinné atributy poskytovat. Jedná se o následující: |
| |
| * **[[cs:tech:attributes:cn]]** | * [[cs:tech:attributes:cn]] |
| * //Definice:// celé jméno včetně diakritiky a bez akademických titulů v pořadí křestní jméno (jména) a příjmení | * [[cs:tech:attributes:edupersonaffiliation]] |
| * //Příklad:// Kryštof Šáteček | * [[cs:tech:attributes:edupersonprincipalname]] |
| | * [[cs:tech:attributes:edupersonscopedaffiliation]] |
| * **[[cs:tech:attributes:edupersonprincipalname]]** | * [[cs:tech:attributes:edupersontargetedid]] |
| * //Definice:// jednoznačný identifikátor osoby v rámci federace | * [[cs:tech:attributes:edupersonuniqueid]] |
| * //Příklad:// satecek@example.org | * [[cs:tech:attributes:givenname]] |
| | * [[cs:tech:attributes:mail]] |
| * **[[cs:tech:attributes:edupersonscopedaffiliation]]** | * [[cs:tech:attributes:schachomeorganization]] |
| * //Definice:// vztah(y) osoby k organizaci | * [[cs:tech:attributes:sn]] |
| * //Příklad:// member@example.org, employee@example.org, staff@example.org | * [[cs:tech:attributes:unstructuredname]] |
| | |
| * **[[cs:tech:attributes:edupersontargetedid]]** | |
| * //Definice:// persistentní náhodně vygenerovaný řetězec nenesoucí žádnou informaci o osobě | |
| * //Příklad:// <nowiki>https://idp.example.org/idp/shibboleth!https://sp.example.org/shibboleth!DMSjKwRge9YmZlc3leBnl0npqBs=</nowiki> | |
| | |
| * **[[cs:tech:attributes:edupersonuniqueid]]** | |
| * //Definice:// jednoznačný, dlouhotrvající, neměnný a nikdy nerecyklovatelný identifikátor osoby v rámci federace | |
| * //Příklad:// 89645@example.org | |
| * //Poznámka:// souvisí s atributem "unstructuredName" a generuje se jako hodnota_unstructuredName@example.org | |
| | |
| * **[[cs:tech:attributes:givenName]]** | |
| * //Definice:// celé křestní jméno (případně všechna křestní jména) včetně diakritiky | |
| * //Příklad:// Kryštof | |
| | |
| * **[[cs:tech:attributes:mail]]** | |
| * //Definice:// __ověřená__ adresa elektronické pošty uživatele | |
| * //Příklad:// krystof.satecek@example.org | |
| | |
| * **[[cs:tech:attributes:sn]]** | |
| * //Definice:// celé příjmení (případně všechna příjmení) včetně diakritiky | |
| * //Příklad:// Šáteček | |
| | |
| * **[[cs:tech:attributes:unstructuredname]]** | |
| * //Definice:// unikátní identifikátor uživatele, který se nikdy nezmění a nikdy nepoužije pro jiného uživatele | |
| * //Příklad:// 89645 | |
| * //Poznámka:// souvisí s eduPersonUniqueId, který ho využívá | |
| |
| ===== Doporučené atributy ===== | ===== Doporučené atributy ===== |
| | |
| Všichni poskytovatele identit, kteří používají regulované atributy, je používají pouze k níže uvedenému účelu. | Každý poskytovatel identit by měl důrazně zvážit implementaci doporučených atributů. Jedná se o následující: |
| |
| * **[[cs:tech:attributes:o]]** | * [[cs:tech:attributes:displayname]] |
| * //Definice:// označení organizace | * [[cs:tech:attributes:edupersonentitlement]] |
| * //Příklad:// CESNET, z. s. p. o. | * [[cs:tech:attributes:o]] |
| | * [[cs:tech:attributes:ou]] |
| | * [[cs:tech:attributes:pairwiseid]] |
| | * [[cs:tech:attributes:subjectid]] |
| |
| * **[[cs:tech:attributes:ou]]** | ===== Erasmus+ atributy ===== |
| * //Definice:// označení organizační složky v rámci organizace | |
| * //Příklad:// Oddělení síťové identity | |
| |
| Výše uvedené atributy slouží pro prezentační účely a nejsou vhodné pro autorizaci. | Program Erasmus+, který má zjednodušit výjezdy studentů na zahraniční univerzity ("Erasmus without Paper"), vyžaduje nad rámec výše uvedených atributů i jeden specifický atribut — [[cs:tech:attributes:schacpersonaluniquecode]]. |
| |
| * **[[cs:tech:attributes:edupersonentitlement]]** | Seznam atributů vyžadovaných pro Erasmus+ naleznete na [[https://wiki.geant.org/display/SM/Attributes+required+from+Higher+Education+Institutions|wiki sdružení GÉANT]]. |
| * //Definice:// řízení přístupu k vyjmenovaným službám | |
| * //Příklad:// urn:mace:terena.org:tcs:escience-user | |
| |
| * **[[cs:tech:attributes:czedupersonstudysubject]]** | |
| * //Definice:// kód studijního oboru dle [[https://is.cuni.cz/studium/ciselniky/index.php?STACK_SAVE_modul=ciselniky&func_count=0&RETURN_FROM_SP=0&ORIGINAL_SP_VALUE=0&STACK_SAVE_return=akce_cis_v_vyber_kf_table&menu=cis_v_vyber_kf&KEY=Az1&id_ciselnik=201&menu=cis_v_data_kf&order_reset=1|číselníku MŠMT]] | |
| * //Příklad:// 2601T017 (kód pro studijní obor //Bezdrátové komunikace//) | |
| |
| * **[[cs:tech:attributes:czedupersonstudyprogramme]]** | |
| * //Definice:// kód studijního programu dle [[https://is.cuni.cz/studium/ciselniky/index.php?STACK_SAVE_modul=ciselniky&func_count=0&RETURN_FROM_SP=0&ORIGINAL_SP_VALUE=0&STACK_SAVE_return=akce_cis_v_vyber_kf_table&menu=cis_v_vyber_kf&KEY=Az1&id_ciselnik=200&menu=cis_v_data_kf&order_reset=1|číselníku MŠMT]] | |
| * //Příklad:// B2643 (kód pro studijní program //Elektrotechnika, elektronika, komunikační a řídicí technika//) | |
| |
| * **[[cs:tech:attributes:edupersonorgunitdn]]** | |
| * //Definice:// DN popisující organizační jednotku, k níž má osoba formální vztah | |
| * //Příklad:// ou=k135,o=fel,dc=cvut,dc=cz | |
| |
| ===== TCS atributy ===== | ===== TCS atributy ===== |
| | |
| Pro autorizaci je vhodné používat zejména atribut //eduPersonScopedAffiliation//, který vystihuje | Pro autorizaci je vhodné používat zejména atribut //eduPersonScopedAffiliation//, který vystihuje |
| vztah uživatele k organizaci, např. memberexample.org. Naopak je nevhodné používat k | vztah uživatele k organizaci, např. ''member@example.org''. Naopak je nevhodné používat k |
| autorizaci identifikaci IdP. | autorizaci identifikaci IdP. |
| |
| zajištuje na jedné straně soukromí (není znám jeho login a tedy identifikace) a současně je pro konkrétní | zajištuje na jedné straně soukromí (není znám jeho login a tedy identifikace) a současně je pro konkrétní |
| SP vždy stejně identifikován a SP tak může poskytovat službu uchovávání dat, ať už skutečných dat uživatele | SP vždy stejně identifikován a SP tak může poskytovat službu uchovávání dat, ať už skutečných dat uživatele |
| anebo jen nějaké jeho nastavení. Nezbytná implementace není, u řady služeb bude ale vyžadováno uvolňování EPPN. | anebo jen nějaké jeho nastavení. Nezbytná implementace není, u řady služeb bude ale vyžadováno uvolňování //eduPersonPrincipalName// nebo //eduPersonUniqueId//. |