cs:tech:categories:eduidcz

Kategorie entit v eduID.cz

Poskytovatelé identit a někteří poskytovatelé služeb jsou řazeni do kategorií entit. Ty lze používat při řízení přístupu ke zdrojům na SP anebo k (ne)uvolňování určitých atributů na straně IdP.

Příslušnost entity k nějaké kategorii je uvedena v metadatech eduID.cz jako entity atribut.

Kategorie IdP

Poskytovatelé identit, kteří jsou součástí eduID.cz, jsou rozděleni do několika kategorií, které odrážejí, o jaký typ organizace se primárně jedná. Kategorie entit jsou přiřazovány operátorem federace a jsou uvedeny níže. Je snahou, aby každá organizace byla právě v jedné kategorii.

Veřejné a soukromé univerzity registrované v eduID.cz
eduPersonAffiliation nabývá hodnot: alum, affiliate, employee, faculty, member, student, staff

označení: http://eduid.cz/uri/idp-group/university

Ústavy Akademie věd České Republiky registrované v eduID.cz
eduPersonAffiliation nabývá hodnot: employee, member

označení: http://eduid.cz/uri/idp-group/avcr

Knihovny registrované v eduID.cz
eduPersonAffiliation nabývá hodnot: affiliate, employee, member

označení: http://eduid.cz/uri/idp-group/library

Nemocnice registrované v eduID.cz
eduPersonAffiliation nabývá hodnot: employee (ověřit), member

označení: http://eduid.cz/uri/idp-group/hospital

Ostatní organizace registrované v eduID.cz
eduPersonAffiliation nabývá hodnot: affiliate, employee, member

označení: http://eduid.cz/uri/idp-group/other

Podtržené hodnoty eduPersonAffiliation označují uživatele, kteří spadají do Reseach & Educaction (R&E) komunity.

Jako první příklad uvádíme filtr, který výčtem specifikuje uživatele, kteří mají mít k službě přístup. Takto napsaný filtr je sice relativně dlouhý, ale snadno pochopitelný a při zavedení nové kategorie instituce se uživatelé z oné nové instituce ke službám nedostanou dříve, než se o tom správce služby rozhodne.

(idp_category='university' and ((affiliate='employee') or (affiliate='faculty') or (affiliate='member') or (affiliate='student') or (affiliate='staff'))) or
(idp_category='avcr' and (affiliate='member')) or
(idp_category='library' and (affiliate='employee')) or
(idp_category='hospital' and (affiliate='employee')) or
(idp_category='other' and (affiliate='employee'))

Alternativní exclude filtr by mohl vypadat např. takto:

not (
  (affiliation=='alum') or
  (idp_category=='library' and (not affiliation=='employee'))
)

Konkrétní implementaci obou filtrů pro Shibboleth SP nabízíme v samostatném dokumentu. Příspěvky v podobě příkladů pro jiné implementace SP uvítáme a rádi uveřejníme.

Kategorie SP i IdP

Kromě označení IdP, ke kterému typu organizace patří, je v eduID.cz několik dalších kategorií sloužících k označení entit příslušejících k projektům. Takovéto označení může mít smysl, když skupina SP potřebuje navíc nějaké atributy, které nejsou běžně ve federaci k dispozici. Označení pak usnadní vyjednávání s jednotlivými IdP.

MEFANET (MEdical FAculties NETwork) je projekt zaměřený na budování a posílení spolupráce lékařských i nelékařských zdravotnických fakult ČR a SR při rozvoji výuky s využitím moderních informačních a komunikačních technologií.

označení: http://eduid.cz/uri/group/mefanet


Příklad označení entity v metadatech

Neuvádějte níže uvedenou definici kategorie ve svých metadatech! Toto je zde uvedeno jen jako příklad. Výše definované kategorie entit přidáváme do metadat my pomocí skriptu, který nejprve všechny tyto elementy odebere, pokud je tam najde. Čili uvedením členství v kategorii si jen přiděláváte práci.

Níže uvedený fragment XML ukazuje, jak je v metadatech eduID.cz vyznačeno, že IdP Českého vysokého učení technického v Praze spadá do kategorie univerzita.

<md:EntityDescriptor entityID="https://idp2.civ.cvut.cz/idp/shibboleth">
  <md:Extensions>
    <mdattr:EntityAttributes>
      <saml:Attribute Name="http://macedir.org/entity-category"
        NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
        <saml:AttributeValue>http://eduid.cz/uri/idp-group/university</saml:AttributeValue>
      </saml:Attribute>
    </mdattr:EntityAttributes>
  </md:Extensions>
  <!-- následují dodatečná metadata entity -->

Entity atribut lze používat podobně jako atribut, který o uživateli pošle IdP. Konkrétní implementaci pro Shibboleth SP nabízíme v samostatném dokumentu.

Last modified:: 2019/05/30 09:43