cs:tech:eduperson-old

Objektová třída eduPerson

Úvod

Federativní uspořádání AAI (Authentication and Authorization Infrastructure) si vyžádalo vznik společné sady atributů sloužících k autorizaci uživatele. Sdružení Internet2 proto vyvinulo pro potřebu vzdělávacích institucí objektovou třídu eduPerson. Tato třída představuje rozšíření tříd person, organizationalPerson a inetOrgPerson.

Cílem této zprávy je stručně popsat význam jednotlivých atributů a jejich hodnot tak, jak by měly být používány v českém akademickém prostředí. Jedná se o pracovní dokument, vycházející z aktuálních požadavků. V budoucnu se bude s největší pravděpodobností dále vyvíjet na základě nových potřeb a diskuze v rámci akademické komunity.

Popis objektové třídy eduPerson

Jedná se o pomocnou objektovou třídu. Všechny atributy jsou nepovinné a jejich jména začínají „eduPerson“.

Seznam atributů:

  • eduPersonAffiliation
  • eduPersonEntitlement
  • eduPersonNickname
  • eduPersonOrgDN
  • eduPersonOrgUnitDN
  • eduPersonPrimaryAffiliation
  • eduPersonPrincipalName
  • eduPersonPrimaryOrgUnitDN
  • eduPersonScopedAffiliation
  • eduPersonTargetedID

Význam jednotlivých atributů

eduPersonAffiliation

Definice

Popisuje vztah(y) osoby k organizaci. Může mít více hodnot.

Povolené hodnoty

faculty, student, staff, alum, member, affiliate, employee

Poznámky

Význam jednotlivých hodnot je následující:

  • faculty - učitel (akademický pracovník i učící doktorand)
  • student - student
  • staff - ostatní personál (mimo učitelů)
  • alum - absolvent
  • member - každý, kdo má právní vztah k organizaci, tedy zaměstnanci i studenti
  • affiliate - externí uživatel
  • employee - každý zaměstnanec

Hodnoty je možné kombinovat, čímž získáme poměrně podrobný popis jednotlivých kategorií:

  • učitel - faculty+employee+member
  • ostatní personál - staff+employee+member
  • řádný student - student+member
  • učící doktorand - student+faculty+member
  • student na výměnném pobytu - student
  • příležitostný učitel bez smlouvy - faculty+affiliate
Příklad

eduPersonAffiliation: faculty

eduPersonEntitlement

Definice

URI (URN nebo URL) popisující práva k jednotlivým službám. Může mít více hodnot.

Poznámky

Slouží k specifikaci konkrétních služeb, na které má uživatel nárok u daného poskytovatele. Jeho hodnoty jsou dány dohodou mezi poskytovatelem služby a poskytovatelem identity, nebo mezi více institucemi tvořícími federaci. Identity provider tedy v tomto případě rozhoduje o nároku „svých uživatelů“ :na službu poskytovanou service providerem.

Příklady

eduPersonEntitlement: http://xstor.com/contracts/HEd123 eduPersonEntitlement: urn:mace:washington.edu:printer

eduPersonNickname

Definice

Přezdívka. Může mít více hodnot.

Poznámky

Jedná se o jednoslovné neformální jméno - přezdívku.

Příklad

eduPersonNickname: Spike

eduPersonOrgDN

Definice

DN (distinguished name) objektu v adresářové struktuře, který popisuje organizaci, k níž má osoba formální vztah.

Poznámky

Slouží k vyhledání více informací o organizaci, typicky kontaktních údajů.

Příklad

eduPersonOrgDN: o=fel,dc=cvut,dc=cz

eduPersonOrgUnitDN

Definice

DN (distinguished name) objektu v adresářové struktuře, který popisuje organizační jednotku (například katedru), k níž má osoba formální vztah. Může mít více hodnot.

Poznámky

Slouží k vyhledání více informací o organizační jednotce, typicky kontaktních údajů.

Příklad

eduPersonOrgUnitDN:ou=k135,o=fel,dc=cvut,dc=cz

eduPersonPrimaryAffiliation

Definice

Popisuje hlavní vztah osoby k organizaci.

Povolené hodnoty

faculty, student, staff, alum, member, affiliate, employee

Poznámky

Význam jednotlivých hodnot je stejný jako u atributu eduPersonAffiliation. Pokud má osoba více vztahů k organizaci, rozhoduje každá organizace sama o tom, který ze vztahů je hlavní. Hodnota atributu musí být zároveň jednou z hodnot atributu eduPersonAffiliation.

Příklad

eduPersonPrimaryAffiliation: student

eduPersonPrimaryOrgUnitDN

DN (distinguish name) objektu v adresářové struktuře, který popisuje organizační jednotku (například katedru), k níž má osoba hlavní vztah v rámci organizace.

Poznámky

Slouží k vyhledání více informací o organizační jednotce. Pokud má osoba vztah k více organizacačním jednotkám, rozhoduje každá organizace sama o tom, který ze vztahů je hlavní. Hodnota atributu musí být zároveň jednou z hodnot atributu eduPersonOrgUnitDN

Příklad

eduPersonPrimaryOrgUnitDN:ou=k135,o=fel,dc=cvut,dc=cz

eduPersonPrincipalName

Definice

Jednoznačný identifikátor osoby v rámci federace. Má tvar „uživatelské_jméno@doména“. Doménou se rozumí administrativní doména domovské organizace osoby. Znak „@“ tvoří oddělovač dvou částí identifikátoru. Část vlevo od oddělovače tvoří identifikátor v rámci domény, pravá část potom označuje doménu.

Poznámky

Atribut může mít stejnou hodnotu jako e-mailová adresa, ale jedná se o něco zcela jiného.

Příklad

eduPersonPrincipalName: novakj99@cvut.cz

eduPersonScopedAffiliation

Definice

Popisuje vztah(y) osoby k organizaci. Může mít více hodnot. Hodnota se skládá ze dvou částí oddělených znakem „@“. Levá část má jednu z hodnot povolených pro atribut eduPersonAffiliation. Pravá strana má shodnou hodnotu s pravou stranou atributu eduPersonPrincipalName, tedy název administrativní domény.

Povolené hodnoty

Část vlevo od znaku „@“ může mít jednu z hodnot povolených pro atribut eduPersonAffiliation. Pravá část označuje doménu.

Příklad

eduPersonScopedAffiliation: student@cvut.cz

eduPersonTargetedID

Definice

Jedná se o persistentní náhodně vygenerovaný řetězec, který nenese žádnou informaci o osobě. Samostatná hodnota se generuje psudonáhodně pro každý vztah uživatel-služba, případně uživatel-skupina služeb.

Poznámky

Atribut umožňuje personalizaci služby při zachování osobní anonymity.

Závěr

Schéma eduPerson je implementováno jako objektová třída v adresářové struktuře LDAPu. To však neznamená, že všechny atributy musí být nutně v LDAPu uloženy. Obvzláště u atributů eduPersonScopedAffiliation a eduPersonPrincipalName se vzhledem k jejich povaze nabízí jejich generování při odpovědi správce identit na autorizační dotaz. Je téměř jisté, že výše popsané atributy, nebudou v budoucnu postačovat. Již nyní vyžadují některé služby atribut popisující příslušnost osoby k fakultě. Další informací, jejíž potřebu si lze v budoucnu představit je obor studia. Tyto, a případné další atributy, jejichž potřeba se v budoucnu projeví, budou součástí připravovaného schématu czEduPerson.

Poslední úprava:: 2017/02/10 07:02