cs:tech:eduperson

Objektová třída eduPerson

Poznámka

Tento dokument vychází ze stávajícího platného dokumentu Objektová třída eduPerson, nicméně je doplněn o úpravu u hodnot atributu affiliation (eduPersonAffiliation, eduPersonPrimaryAffiliation a eduPersonScopedAffiliation), která vzešla z tzv. „harmonizace atributu affiliation“.

Jak uživatelům přiřazovat jednotlivé hodnoty atributu „affiliation“ a jejich významy, je popsáno vždy na samostatných stránkách – edupersonaffiliation, eduPersonPrimaryAffiliation a edupersonscopedaffiliation.

Tato pravidla platí od 1. ledna 2016.

Úvod

Federativní uspořádání AAI (Authentication and Authorization Infrastructure) si vyžádalo vznik společné sady atributů sloužících k autorizaci uživatele. Sdružení Internet2 proto vyvinulo pro potřebu vzdělávacích institucí objektovou třídu eduPerson. Tato třída představuje rozšíření tříd person, organizationalPerson a inetOrgPerson.

Cílem této stránky je stručně popsat význam jednotlivých atributů a jejich hodnot tak, jak by měly být používány v českém akademickém prostředí. Jedná se o dokument vycházející z aktuálních požadavků. V budoucnu se bude s největší pravděpodobností dále vyvíjet na základě nových potřeb a diskuze v rámci komunity eduID.cz.

Popis objektové třídy eduPerson

Jedná se o pomocnou objektovou třídu. Některé atributy jsou povinné, jiné doporučené. Jejich jména vždy začínají na „eduPerson“.

Seznam atributů

Atribut Popis
eduPersonAffiliation Uživatelská role (student, zaměstnanec, …)
eduPersonEntitlement URI popisující práva k jednotlivým službám
eduPersonOrgUnitDN DN (Distinguished Name) organizační jednotky domovské organizace uživatele
eduPersonPrincipalName Jednoznačný identifikátor osoby
eduPersonScopedAffiliation Uživatelská role v rámci instituce (student@škola, zaměstnanec@práce, …)
eduPersonTargetedID Anonymní uživatelský identifikátor
eduPersonUniqueId Jednoznačný nikdy nerecyklovatelný identifikátor osoby (vyžadován od 1. 1. 2017)

Závěr

Schéma eduPerson je implementováno jako objektová třída v adresářové struktuře LDAP. To však neznamená, že všechny atributy musí být nutně uloženy v LDAP serveru. Obzvláště u atributů eduPersonScopedAffiliation a eduPersonPrincipalName se vzhledem k jejich povaze nabízí možnost jejich generování při odpovědi správce identit (IdP) na autorizační dotaz. Je téměř jisté, že výše popsané atributy nebudou v budoucnu postačovat. Již nyní vyžadují některé služby atribut popisující příslušnost osoby k fakultě.

Last modified:: 2019/08/12 12:55