Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:tech:attributes [2020/01/07 06:57] – 9ec128d6c1ed31e124c9d0343d1175613f20f405@einfra.cesnet.cz | cs:tech:attributes [2021/12/15 19:29] (aktuální) – [Doporučené atributy] Jan Oppolzer | ||
---|---|---|---|
Řádek 3: | Řádek 3: | ||
Názvy atributů využívaných u IdP a SP se liší od názvů použitých v SAML komunikaci. Znamená to, že na každé straně je potřeba definovat vhodné mapovaní. Toto rozdělení zvyšuje interoperabilitu různých součástí federace, které můžou mít rozdílné názvy pro stejné atributy. | Názvy atributů využívaných u IdP a SP se liší od názvů použitých v SAML komunikaci. Znamená to, že na každé straně je potřeba definovat vhodné mapovaní. Toto rozdělení zvyšuje interoperabilitu různých součástí federace, které můžou mít rozdílné názvy pro stejné atributy. | ||
- | Existuje několik způsobů kodování atributu v SAML komunikaci. Pokaždé jde o [[http:// | + | Existuje několik způsobů kodování atributu v SAML komunikaci. Pokaždé jde o [[https:// |
- | * **urn:oid** - pokud jde o atribut z LDAP třídy, nejvhodnější je zápis pomocí OID, např. atribut mail se da zapsat jako // | + | * **urn: |
- | * **urn: | + | * **urn: |
- | * **URL** - nejvhodnější způsob pojmenování vlastních atributů je použití | + | * **URL** |
- | Podrobné informace o konvencích v pojmenovávání atributů najdete na [[https:// | + | Podrobné informace o konvencích v pojmenovávání atributů najdete na [[https:// |
- | ===== Povinné atributy | + | ===== Objektová třída eduPerson |
- | + | ||
- | Každý poskytovatel identit musí být schopen povinné atributy poskytovat. Jedná se o následující: | + | |
- | * **[[cs:tech:attributes: | + | Federativní uspořádání //AAI// (Authentication and Authorization Infrastructure) si vyžádalo vznik společné sady atributů sloužících k autentizaci a autorizaci uživatele. Sdružení |
- | * //Definice:// celé jméno včetně diakritiky a bez akademických titulů v pořadí křestní jméno (jména) a příjmení | + | |
- | * //Příklad:// Kryštof Šáteček | + | |
- | | + | * [[https:// |
- | * //Definice:// jednoznačný identifikátor osoby v rámci federace | + | * [[http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201602.html|Specifikace eduPerson]] |
- | * //Příklad:// satecek@example.org | + | * [[https://wiki.refeds.org/ |
- | * **[[cs: | + | Cílem této sekce webu je stručně popsat význam jednotlivých atributů a jejich hodnot tak, jak by měly být používány v českém akademickém prostředí. Jedná se o dokument vycházející z aktuálních požadavků. V budoucnu se bude s největší pravděpodobností dále vyvíjet na základě nových potřeb a diskuze v rámci komunity eduID.cz. |
- | * // | + | |
- | * //Příklad:// member@example.org, employee@example.org, staff@example.org | + | |
- | * **[[cs: | + | Schéma |
- | * //Definice:// persistentní náhodně vygenerovaný | + | |
- | * //Příklad:// < | + | |
- | * **[[cs: | + | ===== Povinné atributy ===== |
- | * // | + | |
- | * // | + | Každý poskytovatel identit musí být schopen povinné atributy poskytovat. Jedná |
- | * // | + | |
- | + | ||
- | * **[[cs: | + | |
- | * // | + | |
- | * // | + | |
- | + | ||
- | * **[[cs: | + | |
- | * // | + | |
- | * // | + | |
- | + | ||
- | * **[[cs: | + | |
- | * // | + | |
- | * //Příklad:// Šáteček | + | |
- | * **[[cs: | + | * [[cs: |
- | * //Definice:// unikátní identifikátor uživatele, který se nikdy nezmění a nikdy nepoužije pro jiného uživatele | + | |
- | * //Příklad:// 89645 | + | |
- | * //Poznámka:// souvisí s eduPersonUniqueId, | + | |
+ | | ||
+ | * [[cs:tech: | ||
+ | * [[cs:tech: | ||
+ | * [[cs:tech: | ||
+ | * [[cs: | ||
+ | * [[cs: | ||
+ | * [[cs: | ||
- | ===== Regulované (doporučené) atributy ===== | + | ===== Doporučené atributy ===== |
- | Všichni poskytovatele | + | Každý poskytovatel |
- | * **[[cs: | + | * [[cs: |
- | * //Definice:// označení organizace | + | |
- | * //Příklad:// CESNET, z. s. p. o. | + | |
+ | | ||
+ | * [[cs:tech: | ||
+ | * [[cs:tech: | ||
- | * **[[cs: | + | ===== Erasmus+ atributy ===== |
- | * // | + | |
- | * // | + | |
- | Výše uvedené atributy slouží pro prezentační účely a nejsou vhodné pro autorizaci. | + | Program Erasmus+, který má zjednodušit výjezdy studentů na zahraniční univerzity (" |
- | * **[[cs:tech: | + | Seznam atributů vyžadovaných pro Erasmus+ naleznete na [[https://wiki.geant.org/display/SM/ |
- | * //Definice:// řízení přístupu k vyjmenovaným službám | + | |
- | * // | + | |
- | * **[[cs: | ||
- | * // | ||
- | * // | ||
- | |||
- | * **[[cs: | ||
- | * // | ||
- | * // | ||
- | |||
- | * **[[cs: | ||
- | * // | ||
- | * // | ||
===== TCS atributy ===== | ===== TCS atributy ===== | ||
- | * **[[cs:tech: | + | Atributy potřebné pro službu |
- | * //Definice:// ověřené e-mailové adresy konkrétního uživatele | + | |
- | * // | + | |
- | + | ||
- | * **[[cs: | + | |
- | * // | + | |
- | * // | + | |
- | + | ||
- | * **[[cs:tech: | + | |
- | * //Definice:// řízení přístupu k vyjmenovaným službám | + | |
- | * // | + | |
- | + | ||
- | * **[[cs: | + | |
- | * // | + | |
- | * // | + | |
===== Lokální atributy ===== | ===== Lokální atributy ===== | ||
Řádek 118: | Řádek 78: | ||
Pro autorizaci je vhodné používat zejména atribut // | Pro autorizaci je vhodné používat zejména atribut // | ||
- | vztah uživatele k organizaci, např. | + | vztah uživatele k organizaci, např. |
autorizaci identifikaci IdP. | autorizaci identifikaci IdP. | ||
Řádek 135: | Řádek 95: | ||
zajištuje na jedné straně soukromí (není znám jeho login a tedy identifikace) a současně je pro konkrétní | zajištuje na jedné straně soukromí (není znám jeho login a tedy identifikace) a současně je pro konkrétní | ||
SP vždy stejně identifikován a SP tak může poskytovat službu uchovávání dat, ať už skutečných dat uživatele | SP vždy stejně identifikován a SP tak může poskytovat službu uchovávání dat, ať už skutečných dat uživatele | ||
- | anebo jen nějaké jeho nastavení. Nezbytná implementace není, u řady služeb bude ale vyžadováno uvolňování | + | anebo jen nějaké jeho nastavení. Nezbytná implementace není, u řady služeb bude ale vyžadováno uvolňování |