Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:tech:categories:rs [2017/02/28 08:31] jop@cesnet.cz uživatelský/é identifikátor/jméno/e-mail -> identifikátor/jméno/e-mail uživatele |
cs:tech:categories:rs [2017/02/28 08:41] jop@cesnet.cz [Přehled] shall (not) -> musí (nesmí) |
||
---|---|---|---|
Řádek 18: | Řádek 18: | ||
Výzkumné a vzdělávací federace jsou vyzvány, aby používaly skupinou REFEDS definou kategorii entit //Research & Scholarship// pomocí níž zajistí snadné uvolňování atributů pro poskytovatele služeb splňující požadavky uvedené níže. | Výzkumné a vzdělávací federace jsou vyzvány, aby používaly skupinou REFEDS definou kategorii entit //Research & Scholarship// pomocí níž zajistí snadné uvolňování atributů pro poskytovatele služeb splňující požadavky uvedené níže. | ||
- | Klíčová slova "MUSÍ" (//MUST//), "NESMÍ" (//MUST NOT//), "POŽADOVANÝ" (//REQUIRED//), "MĚL BY" (//SHALL//), "NEMĚL BY" (//SHALL NOT//), "MĚL BY" (//SHOULD//), "NEMĚL BY" (//SHOULD NOT//), "DOPORUČENÝ" (//RECOMENDED//), "SMÍ" (//MAY//) a "VOLITELNÝ" (//OPTIONAL//) v tomto dokumentu by měla být interpretována jak je popsáno v RFC 2119 [[https://tools.ietf.org/html/rfc2119|[RFC2119]]]. | + | Klíčová slova "MUSÍ" (//MUST//), "NESMÍ" (//MUST NOT//), "POŽADOVANÝ" (//REQUIRED//), "MUSÍ" (//SHALL//), "NESMÍ" (//SHALL NOT//), "MĚL BY" (//SHOULD//), "NEMĚL BY" (//SHOULD NOT//), "DOPORUČENÝ" (//RECOMENDED//), "SMÍ" (//MAY//) a "VOLITELNÝ" (//OPTIONAL//) v tomto dokumentu by měla být interpretována jak je popsáno v RFC 2119 [[https://tools.ietf.org/html/rfc2119|[RFC2119]]]. |
Tato definice je sepsána v souladu se specifikací [[https://tools.ietf.org/html/draft-young-entity-category|Entity Category SAML Entity Metadata Attribute Types]] [EntityCatTypes]. Tato specifikace může být rozšířena o doporučení na další formulace specifické pro tento protokol podle vyžadovaných okolností. | Tato definice je sepsána v souladu se specifikací [[https://tools.ietf.org/html/draft-young-entity-category|Entity Category SAML Entity Metadata Attribute Types]] [EntityCatTypes]. Tato specifikace může být rozšířena o doporučení na další formulace specifické pro tento protokol podle vyžadovaných okolností. | ||
Řádek 127: | Řádek 127: | ||
Poskytovatel identity deklaruje podporu R&S kategorie v metadatech uvedením entity atributu. Takový poskytovatel identity musí (//MUST//) pro značnou část svých uživatelů uvolňovat všechny požadované atributy ze "[[#skupina_atributu|Skupiny atributů]]" a to všem poskytovatelům služeb z R&S kategorie. Uvolňování atributů musí být buď plně automatické nebo dosaženo pomocí uživatelského souhlasu [např. "uApprove"], případně oznámení uživateli, avšak bez jakéhokoliv administrativního zásahu kteroukoli stranou. | Poskytovatel identity deklaruje podporu R&S kategorie v metadatech uvedením entity atributu. Takový poskytovatel identity musí (//MUST//) pro značnou část svých uživatelů uvolňovat všechny požadované atributy ze "[[#skupina_atributu|Skupiny atributů]]" a to všem poskytovatelům služeb z R&S kategorie. Uvolňování atributů musí být buď plně automatické nebo dosaženo pomocí uživatelského souhlasu [např. "uApprove"], případně oznámení uživateli, avšak bez jakéhokoliv administrativního zásahu kteroukoli stranou. | ||
- | Poskytovatel identity, který z libovolného důvodu neuvolňuje všechny požadované uživatelské údaje ze [[#skupina_atributů|skupiny atributů]] pro kategorii R&S, by neměl (//SHALL NOT//) deklarovat podporu pro kategorii R&S v metadatech. Výjimky, limitující uvolňování atributů konkrétnímu poskytovateli služeb z kategorie R&S, mohou být dovoleny v případě bezpečnostní události nebo dalších osamocených okolností. | + | Poskytovatel identity, který z libovolného důvodu neuvolňuje všechny požadované uživatelské údaje ze [[#skupina_atributů|skupiny atributů]] pro kategorii R&S, nesmí (//SHALL NOT//) deklarovat podporu pro kategorii R&S v metadatech. Výjimky, limitující uvolňování atributů konkrétnímu poskytovateli služeb z kategorie R&S, mohou být dovoleny v případě bezpečnostní události nebo dalších osamocených okolností. |
Trvalý, nerecyklovatelný a necílený identifikátor je vyžadovaný (//REQUIRED//). Pokud konfigurace poskytovatele identity zajišťuje nerecyklovatelnost atributu ''eduPersonPrincipalName'' a organizace v dobré víře věří, že to tak zůstane, je atribut ''eduPersonPrincipalName'' dostatečný. V ostatních případech musí (//MUST//) poskytovatel identity uvolňovat atribut ''eduPersonTargetedID'' (který je z definice nerecyklovatelný) společně s atributem ''eduPersonPrincipalName''. V každém případě se doporučuje uvolňovat oba dva atributy. | Trvalý, nerecyklovatelný a necílený identifikátor je vyžadovaný (//REQUIRED//). Pokud konfigurace poskytovatele identity zajišťuje nerecyklovatelnost atributu ''eduPersonPrincipalName'' a organizace v dobré víře věří, že to tak zůstane, je atribut ''eduPersonPrincipalName'' dostatečný. V ostatních případech musí (//MUST//) poskytovatel identity uvolňovat atribut ''eduPersonTargetedID'' (který je z definice nerecyklovatelný) společně s atributem ''eduPersonPrincipalName''. V každém případě se doporučuje uvolňovat oba dva atributy. |