cs:tech:eduperson

Objektová třída eduPerson

Poznámka

Tento dokument vychází ze stávajícího platného dokumentu Objektová třída eduPerson, nicméně je doplněn o úpravu u hodnot atributu affiliation (eduPersonAffiliation, eduPersonPrimaryAffiliation a eduPersonScopedAffiliation), která vzešla z tzv. „harmonizace atributu affiliation“.

Jak uživatelům přiřazovat jednotlivé hodnoty atributu „affiliation“ a jejich významy, je popsáno vždy na samostatných stránkách – eduPersonAffiliation, eduPersonPrimaryAffiliation a eduPersonScopedAffiliation.

Tato pravidla platí od 1. ledna 2016.

Úvod

Federativní uspořádání AAI (Authentication and Authorization Infrastructure) si vyžádalo vznik společné sady atributů sloužících k autorizaci uživatele. Sdružení Internet2 proto vyvinulo pro potřebu vzdělávacích institucí objektovou třídu eduPerson. Tato třída představuje rozšíření tříd person, organizationalPerson a inetOrgPerson.

Cílem této stránky je stručně popsat význam jednotlivých atributů a jejich hodnot tak, jak by měly být používány v českém akademickém prostředí. Jedná se o dokument vycházející z aktuálních požadavků. V budoucnu se bude s největší pravděpodobností dále vyvíjet na základě nových potřeb a diskuze v rámci komunity eduID.cz.

Popis objektové třídy eduPerson

Jedná se o pomocnou objektovou třídu. Některé atributy jsou povinné, jiné doporučené. Jejich jména vždy začínají na „eduPerson“.

Seznam atributů

Atribut Popis
eduPersonAffiliation Uživatelská role (student, zaměstnanec, …)
eduPersonEntitlement URI popisující práva k jednotlivým službám
eduPersonNickname Přezdívka uživatele
eduPersonOrgDN DN (Distinguished Name) domovské organizace uživatele
eduPersonOrgUnitDN DN (Distinguished Name) organizační jednotky domovské organizace uživatele
eduPersonPrimaryAffiliation Primární uživatelská role (student, zaměstnanec, …)
eduPersonPrimaryOrgUnitDN DN (Distinguished Name) primární organizační jednotky uživatele
eduPersonPrincipalName Jednoznačný identifikátor osoby
eduPersonScopedAffiliation Uživatelská role v rámci instituce (student@škola, zaměstnanec@práce, …)
eduPersonTargetedID Anonymní uživatelský identifikátor
eduPersonUniqueId Jednoznačný nikdy nerecyklovatelný identifikátor osoby (vyžadován od 1. 1. 2017)

Závěr

Schéma eduPerson je implementováno jako objektová třída v adresářové struktuře LDAP. To však neznamená, že všechny atributy musí být nutně uloženy v LDAP serveru. Obzvláště u atributů eduPersonScopedAffiliation a eduPersonPrincipalName se vzhledem k jejich povaze nabízí možnost jejich generování při odpovědi správce identit (IdP) na autorizační dotaz. Je téměř jisté, že výše popsané atributy nebudou v budoucnu postačovat. Již nyní vyžadují některé služby atribut popisující příslušnost osoby k fakultě.

Poslední úprava:: 2017/02/10 07:02