Toto je starší verze dokumentu!
Poskytovatelé identit a někteří poskytovatelé služeb jsou řazeni do kategorií entit. Ty lze používat při řízení přístupu ke zdrojům na SP anebo k (ne)uvolňování určitých atributů na straně IdP.
Příslušnost entity k nějaké kategorii je uvedena v metadatech eduID.cz jako entity atribut.
Poskytovatelé identit, kteří jsou součástí eduID.cz, jsou rozděleni do několika kategorií, které odrážejí, o jaký typ organizace se primárně jedná. Kategorie entit jsou přiřazovány operátorem federace a jsou uvedeny níže. Je snahou, aby každá organizace byla právě v jedné kategorii.
Veřejné a soukromé univerzity registrované v eduID.cz
označení: |
Ústavy Akademie věd České Republiky registrované v eduID.cz
označení: |
Knihovny registrované v eduID.cz
označení: |
Nemocnice registrované v eduID.cz
označení: |
Ostatní organizace registrované v eduID.cz
označení: |
Podtržené hodnoty eduPersonAffiliation označují uživatele, kteří spadají do Reseach & Educaction (R&E) komunity.
Jako první příklad uvádíme filtr, který výčtem specifikuje uživatele, kteří mají mít k službě přístup. Takto napsaný filtr je sice relativně dlouhý, ale snadno pochopitelný a při zavedení nové kategorie instituce se uživatelé z oné nové instituce ke službám nedostanou dříve, než se o tom správce služby rozhodne.
(idp_category='university' and ((affiliate='employee') or (affiliate='faculty') or (affiliate='member') or (affiliate='student') or (affiliate='staff'))) or (idp_category='avcr' and (affiliate='member')) or (idp_category='library' and (affiliate='employee')) or (idp_category='hospital' and (affiliate='employee')) or (idp_category='other' and (affiliate='employee'))
Alternativní exclude filtr by mohl vypadat např. takto:
not ( (affiliation=='alum') or (idp_category=='library' and (not affiliation=='employee')) )
Konkrétní implementaci obou filtrů pro Shibboleth SP nabízíme v samostatném dokumentu. Příspěvky v podobě příkladů pro jiné implementace SP uvítáme a rádi uveřejníme.
Kromě označení IdP, ke kterému typu organizace patří, je v eduID.cz několik dalších kategorií sloužících k označení entit příslušejících k projektům. Takovéto označení může mít smysl, když skupina SP potřebuje navíc nějaké atributy, které nejsou běžně ve federaci k dispozici. Označení pak usnadní vyjednávání s jednotlivými IdP.
MEFANET (MEdical FAculties NETwork) je projekt zaměřený na budování a posílení spolupráce lékařských i nelékařských zdravotnických fakult ČR a SR při rozvoji výuky s využitím moderních informačních a komunikačních technologií.
označení: |
Níže uvedený fragment XML ukazuje, jak je v metadatech eduID.cz vyznačeno, že IdP Českého vysokého učení technického v Praze spadá do kategorie univerzita.
<md:EntityDescriptor entityID="https://idp2.civ.cvut.cz/idp/shibboleth"> <md:Extensions> <mdattr:EntityAttributes> <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml:AttributeValue>http://eduid.cz/uri/idp-group/university</saml:AttributeValue> </saml:Attribute> </mdattr:EntityAttributes> </md:Extensions> <!-- následují dodatečná metadata entity -->
Entity atribut lze používat podobně jako atribut, který o uživateli pošle IdP. Konkrétní implementaci pro Shibboleth SP nabízíme v samostatném dokumentu.
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz