„HREF attribútum specifikáció” változatai közötti eltérés

Innen: KIFÜ Wiki
(létrehozás, még nincs kész)
 
a („HREF attribútum specifikáció” levédve: FedOp felelősség ([Szerkesztés=csak adminisztrátoroknak engedélyezett] (határozatlan) [Átnevezés=csak adminisztrátoroknak engedélyezett] (határozatlan)))
 
(162 közbenső módosítás, amit 5 másik szerkesztő végzett, nincs mutatva)
1. sor: 1. sor:
{{TODO|A szócikk még csak vázlat!}}
+
== A specifikáció célja ==
 +
A föderációban az IdP SAML attribútumokban ad meg adatokat a felhasználóról az SP-nek. Ahhoz, hogy az adatokban hordozott információ átadása pontos legyen, fontos, hogy a használt attribútumokat a két fél ugyanúgy értelmezze.
 +
 
 +
Az attribútumok pontos meghatározása az attribútumok sémájában található. A specifikációban az alábbi sémákat használtuk fel:
 +
* ''person'', ''organizationalPerson'' (X.521)
 +
* ''inetOrgPerson'' (RFC2798)
 +
* ''eduPerson'' (http://middleware.internet2.edu/eduperson/)
 +
* ''SCHAC'' (http://www.terena.org/activities/tf-emc2/schacreleases.html)
 +
* ''niifPerson'', ''niifEduPerson'' ([[NIIFSchema]])
 +
 
 +
A fenti dokumentumokban definiált attribútumoknak a föderációban való ''értelmezését'' határozza meg az Attribútum Specifikáció. Ez néhány esetben valamivel szűkebb, mint az eredeti definíció, azért, hogy az információt az SP-k pontosabban értelmezhessék.
 +
 
 +
A specifikációban felsoroltakon túl az IdP-k tetszőleges attribútumot megvalósíthatnak és kiadhatnak ''bilaterális megállapodás'' alapján.
 +
== Attribútumok használata ==
 +
=== Meghatározások ===
 +
* '''Implementáció''' (megvalósítás): egy IdP abban az esetben ''implementál'' egy attribútumot, ha az attribútumban hordozott információ a föderációs specifikációnak megfelelő szemantikai és formai követelmények szerint a rendelkezésére áll. Ez jelentheti azt, hogy a felhasználói adatbázisban a felhasználó bejegyzése tartalmazza ezt az attribútumot, de az attribútum más módon is előállhat (pl. statikusan vagy más attribútumokból dinamikusan generálva). Az implementáció részleteivel kapcsolatban a föderáció nem fogalmaz meg megkötést
 +
* '''Attribútum kiadás''': az attribútum átadása néhány (vagy a föderációban található összes) SP-nek.
 +
 
 +
=== Implementációs szintek ===
 +
* '''Kötelező''': az attribútumot kötelező az IdP-nek implementálni. (Nem kötelező kiadnia.)
 +
* '''Ajánlott''': az attribútumot ajánlott az IdP-nek implementálni, de ez néhány intézménynél lehetetlen vagy nehézségekbe ütközhet
 +
* '''Opcionális''': az attribútumot az IdP a saját döntése szerint megvalósíthatja.
 +
:: Fontos kiemelni, hogy amennyiben egy IdP implementál egy opcionális attribútumot, azt '''a specifikáció szerint KÖTELEZŐ megtennie''', azaz követve a specifikáció szemantikai és szintaktikai előírásait.
 +
 
 +
=== SP attribútum-igények ===
 +
Az SP-k a [[Resource Registry]]-ben, és ezen keresztül a [[Metadata|metadata]] állományban jelezhetik, hogy egy attribútum számukra megkövetelt (required) vagy ajánlott (desired).
 +
* '''Megkövetelt''': az alkalmazás működéséhez elengedhetetlen az attribútum
 +
:: pl. <code>eduPersonPrincipalName</code> olyan alkalmazásokhoz, amelyek nincsenek felkészítve átlátszatlan (opaque) azonosítók kezelésére
 +
* '''Ajánlott''': az alkalmazás működését megkönnyíti az attribútum
 +
:: pl. a <code>cn</code> attribútum átadásakor az alkalmazás nem kéri be a felhasználó teljes nevét regisztrációkor
 +
 
 +
=== Hibakezelés ===
 +
Abban az esetben, ha egy IdP nem adja ki egy vagy több az SP számára elengedhetetlen attribútumot, az SP-nek KÖTELEZŐ a felhasználónak hibaüzenetet adnia. (Ugyanis egy SP csak abban az esetben jelölhet meg egy attribútumot ''megkövetelt attribútumnak'', ha ez az alkalmazás működéséhez elengedhetetlen, minden egyéb esetben ''ajánlott''-nak kell megjelölnie.) Azonban ez a hibaüzenet lehetséges, hogy a felhasználó számára nehezen értelmezhető (pl: ''Authorization Required'').
 +
 
 +
Ezért az IdP-k számára AJÁNLOTT kiadni azokat az attribútumokat, amelyeket az SP-k ''megkövetelt''-nek jelölnek meg.
  
 
== Attribútumok listája ==
 
== Attribútumok listája ==
  
 +
=== Lista ===
 +
==== Kötelező attribútumok ====
 +
{| {{prettytable}}
 +
|eduPersonTargetedID
 +
|-
 +
|eduPersonScopedAffiliation
 +
|-
 +
|schacHomeOrganizationType
 +
|-
 +
|eduPersonPrincipalName
 +
|}
 +
==== Ajánlott attribútumok ====
 +
{| {{prettytable}}
 +
|displayName
 +
|-
 +
|mail
 +
|-
 +
|eduPersonEntitlement
 +
|-
 +
|}
 +
 +
=== Állandó felhasználói azonosítók ===
 +
Bizonyos alkalmazások esetén szükséges alkalmazás-specifikus adatokat is tárolni. Ilyen példa lehet egy webes naptárnál a felhasználóhoz kötődő bejegyzések, vagy egy wikinél a felhasználó szerkesztései. Ezeket az alkalmazások valamilyen helyi adatbázisban tárolják, a kulcs a felhasználó és az adatbázis bejegyzés között pedig egy '''állandó azonosító'''.
 +
 +
Az állandó azonosítók lehetnek:
 +
* '''statikusak''': a felhasználó létrehozásakor megadott adattal megegyezők
 +
* '''számítottak''': a felhasználó valamelyik (vagy több) attribútumából algoritmikusan - általában hash eljárással - generáltak
 +
* '''tároltak''': ezek általában olyan azonosítók, amelyet az IdP egy adatbázisban elsődleges kulcsként használ, azaz
 +
** a felhasználói attribútumok változása esetén is állandó marad
 +
** egyediségük biztosított
 +
 +
Az azonosítók az alábbi tulajdonságokkal rendelkezhetnek:
 +
* '''állandóság''': az IdP-nek gondoskodnia kell arról, hogy a kiosztott azonosító a felhasználó intézménynél töltött életciklusa során állandó legyen.
 +
:: Amennyiben egy állandó(nak szánt) azonosító mégis megváltozik, az nagyon nehéz helyzetbe hozhatja mind a felhasználót, mind az alkalmazás üzemeltetőt. Erre megoldás lehet a SAML2 NameID Mapping, azonban ezt jelenleg a föderációban használt szoftverek csak részlegesen vagy egyáltalán nem támogatják.
 +
* '''nem osztható ki újra''' (''non-reassignable''): az IdP-nek gondoskodnia kell arról, hogy egy felhasználó azonosítóját később nem osztja ki másik felhasználónak.
 +
:: Ennek algoritmikus biztosítása bizonyos esetekben nehézségekbe ütközhet (pl. hash ütközések, illetve bizonyos IdP-k kézzel osztanak azonosítókat), ezért jelen specifikáció csak azt követeli meg, hogy azonosító a gyakorlatban ne tegye lehetővé, hogy az alkalmazás oldalán a felhasználók összekeveredjenek. Különböző IdP-ktől jövő felhasználók azonosítói abban az esetben nem ütközhetnek, ha az azonosítónak része valamilyen, az IdP-re jellemző adat ([[Scope|scope]] vagy [[entityID]]).
 +
* '''nem átlátszó''' (''opaque''): az ilyen azonosítók nem jellemzők a felhasználóra, az értékéből nem lehet következtetni a felhasználó személyére (pl. e-mail címére)
 +
:: Nem minden azonosító rendelkezik ilyen tulajdonsággal, azonban intézmények között adatvédelmi szempontból kifejezetten kívánatos, hogy egy azonosító ne legyen jellemző a felhasználó személyére. A nem átlátszó azonosítót nem célszerű a felhasználók felé megjeleníteni.
 +
* '''célzott''' (''targeted''): az ilyen azonosítók minden SP-nél különbözőek, s így az SP-k - az IdP közreműködése nélkül - nem képesek profilt készíteni egy felhasználóról, ami adatvédelmi szempontból kívánatos.
 +
:: Nem minden azonosító rendelkezik ilyen tulajdonsággal.
 +
 +
Az állandó azonosító kiadható attribútumként, illetve a SAML Assertion NameID mezőjében. Bizonyos SP implementációk (pl. a Shibboleth 2.x) képesek arra, hogy az alkalmazás részére elfedjék azt, hogy az azonosító pontosan milyen attribútumban vagy NameID-ben érkezett, pl. úgy, hogy az azonosítót a REMOTE_USER változóban adják ki az alkalmazás számára.
 +
 +
====NameID formátumok - melyiket válasszam?====
 +
A föderáció elvárja, hogy az IdP-k támogassák mind a tranziens NameID formátumot, mind a célzott, átlátszatlan azonosítót (melyek lehetnek tároltak vagy számítottak). A tárolt azonosítót célszerű SAML2 perszistens NameID-ként kiadni, a számított azonosító azonban csak az eduPersonTargetedID attribútumban adható ki, mivel nem rendelkezik a perszisztens NameID szemantikájával.
 +
 +
A Shibboleth IdP implementáció esetén a számított azonosítókról a tárolt azonosítókra való áttérés nem változtatja meg a kiadott azonosítókat, ezért az SP-k számára ez az áttérés transzparens.
 +
 +
Ha SP-t üzemeltetünk, akkor célszerű már az üzemeltetés kezdetén eldönteni, hogy melyik formátum mellett tesszük le a voksunkat (ez elsősorban az SP által védett alkalmazás képességeitől függ), mert menet közben átállni körülményes, sok energiát igényel. A problémára reméljük könnyebb lesz a megfelelő választ megtalálni az alábbi kérdés átgondolásával: '''Szükséges-e az SP számára, hogy egy-egy felhasználójához tartozzon egy-egy állandó azonosító?'''
 +
 +
1. Ha nem, akkor egyértelmű a választás: tranziens formátumot kell használni.
 +
 +
2. Ha igen, és nem szükséges, hogy az állandó azonosító a felhasználóra jellemző legyen, ill. az SP mögötti alkalmazás felkészült ilyen azonosító fogadására ( az alkalmazás szempontjából mindegy, hogy milyen úton, tehát eduPersonTargetedID attribútumként, vagy perzisztens NameID-ként érkezik az érték az SP-hez ), akkor az SP-nek ''Nem kell meghatároznia, hogy milyen NameID formátumot támogat'', hiszen ezesetben
 +
: a) Ha az IdP nem támogatja a tárolt azonosítókat, akkor a tranziens NameID mellé az eduPersonTargetedID attribútumban ki fogja adni a számított (és célzott) azonosítót.
 +
: b) Ha az IdP támogatja a tárolt azonosítókat, akkor azt perzisztens NameID-ként fogja kiadni (illetve, ha az SP kéri az eduPersonTargetedID attribútumot, az IdP képes ugyanezt a tárolt értéket ilyen formában is kiadni).
 +
: Az alkalmazáshoz mindkét esetben ugyanaz az érték jut el, mint felhasználói azonosító.
 +
 +
3. Ugyanaz, mint a 2., kivéve, hogy magasabb szintű felhasználókezelést (például SAML NameID menedzsmentet) is szeretne az SP használni, akkor kizárólag perzisztens NameID-t kell kérnie. A HREF föderáció jelenleg nem rendelkezik a magasabb szintű SAML protokollokról, ezért ezek használata kizárólag az adott SP és IdP közötti megállapodáson alapulhat.
 +
 +
4.  Ha szükséges, hogy az állandó azonosító a felhasználóra jellemző legyen, őt egyértelműen azonosítsa, akkor a választás tranziens NameID, amely mellé meg kell követelni az eduPersonPrincipalName kiadását.
 +
 +
A HREF föderációban az IdP-k részéről elvárt, hogy a fenti 1-2. megoldásokat támogassák. A 3-4. esetében minden további nélkül előfordulhat, hogy az IdP és SP közötti kommunikáció hibát jelez, mert valamelyik fél nem támogatja a másik fél által megkövetelt / biztosított azonosító formátumot...
 +
 +
{{INFO| Egy SP a [[Resource Registry]]-ben jelezheti, hogy milyen NameID formátumokat támogat. Ha kizárólag perzisztens NameID formátumot támogat, akkor vagy kap az IdP-től ilyet, vagy hiba lép fel a válasz feldolgozása során.}}
 +
 +
==== eduPersonTargetedID ====
 +
{{AttributeDef|name=eduPersonTargetedID
 +
|URI=urn:mace:dir:attribute-def:eduPersonTargetedID
 +
|OID=1.3.6.1.4.1.5923.1.1.1.10
 +
|description='''Nem átlátszó''', '''célzott''' azonosító, amely '''nem osztható ki újra'''
 +
|semantics=Lásd: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTargetedID , ill. a fenti megjegyzést az implementációs szinttel kapcsolatban.
 +
 +
Az SP a kapott értéket fel kell, hogy dolgozza, nem adhatja XML formátumban tovább az alkalmazásnak. A benne szereplő ún. qualifier-ek közül az IdP azonosítóját (<code>NameQualifier</code>) és természetesen magát az azonosítót ''kötelező'' szerepeltetni az alkalmazás számára átadott azonosítóban. Javasolt az egyes mezőket '!' karakterrel elválasztani egymástól.
 +
 +
Az IdP-nek biztosítania kell, hogy egy felhasználó számára kiosztott azonosító valóban perzisztens legyen, tehát gondoskodnia kell az attribútum-értékek biztos tárolásáról - például egy megfelelő mentési tervvel üzemeltetett relációs adatbázisban.
 +
 +
Az eduPersonTargetedID '''nem osztható ki újra'''.
 +
 +
|implementation=mandatory
 +
|syntax=Az attribútum értékének a SAML2 szabványban definiált NameID formátumúnak kell lennie; az azonosító (nem számítva az XML attribútumokat) legfeljebb 256 karakterből állhat.
 +
|example=
 +
Az IdP ilyen formában adja ki az azonosítót:
 +
<saml2:NameID xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
 +
    Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
 +
    NameQualifier="https://idp.example.org/idp/shibboleth"
 +
    SPNameQualifier="https://sp.example.org/shibboleth">
 +
84e411ea-7daa-4a57-bbf6-b5cc52981b73
 +
</saml2:NameID>
 +
Az alkalmazás ilyen formában kapja meg az azonosítót:
 +
https://idp.example.org/idp/shibboleth!https://sp.example.org/shibboleth!84e411ea-7daa-4a57-bbf6-b5cc52981b73
 +
}}
 +
 +
==== eduPersonPrincipalName ====
 
{{AttributeDef|name=eduPersonPrincipalName
 
{{AttributeDef|name=eduPersonPrincipalName
 
|URI=urn:mace:dir:attribute-def:eduPersonPrincipalName
 
|URI=urn:mace:dir:attribute-def:eduPersonPrincipalName
 
|OID=1.3.6.1.4.1.5923.1.1.1.6
 
|OID=1.3.6.1.4.1.5923.1.1.1.6
|description=Állandó egyedi azonosító
+
|description='''Állandó''', '''nem célzott''', '''nem újra kiosztható''' egyedi azonosító
|implementation=recommended
+
|implementation=mandatory
 +
|assurer=institution
 
|semantics=
 
|semantics=
<egyedi_lokális_azonosító>@<internet_domain>
+
Formátum: <egyedi_lokális_azonosító>@<scope>
  
 
Ahol
 
Ahol
 
* '''<egyedi_lokális_azonosító>''': tetszőleges állandó azonosító, amely az intézményen belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító ('''uid''') használata, azonban bármilyen más azonosító használható
 
* '''<egyedi_lokális_azonosító>''': tetszőleges állandó azonosító, amely az intézményen belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító ('''uid''') használata, azonban bármilyen más azonosító használható
* '''<internet_domain>''': az intézmény bejegyzett DNS domain neve. Kötelezően megegyezik a '''homeOrganization''' attribútumban található értékkel.
+
* '''<scope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll.
 +
 
 +
'''Megjegyzés''': az '''eduPersonPrincipalName''' érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-mail címével. Intézményen belüli használata javasolt, intézményen kívül célszerű nem átlátszó, célzott azonosítót használni.
 +
 
 +
Az eduPersonPrincipalName a föderációban '''nem osztható ki újra'''.
 +
 
 +
Bizonyos alkalmazások nem támogatják a különleges karaktereket az azonosítókban, ezért a föderációban az eduPersonPrincipalName kizárólag alfanumerikus karaktereket, pont ('.'), kötőjel ('-') és alulvonás ('_') karaktereket tartalmazhat.
 +
|example=gipsz.jakab@example.org
 +
}}
 +
 
 +
==== niifPersonOrgID ====
 +
{{AttributeDef|name=niifPersonOrgID
 +
|URI=urn:mace:dir:attribute-def:eduPersonPrincipalName
 +
|OID=1.3.6.1.4.1.11914.0.1.154
 +
|description=Állandó egyedi azonosító intézményen belüli, ill. e-learning használatra
 +
|implementation=optional
 +
|semantics=
 +
Bizonyos esetekben adatvédelmi szempontok miatt szükség lehet arra, hogy a felhasználó intézményen belüli azonosítója (pl. Neptun kódja) és az egyéb alkalmazásokban használt <code>uid</code> különböző legyen.
 +
 
 +
Ezen attribútum intézmények közötti átadása csak abban az esetben javasolt, ha e-learning rendszerek miatt meg kell osztani a tanulmányi azonosítót.
 +
}}
 +
==== schacPersonalUniqueCode ====
 +
{{AttributeDef|name=schacPersonalUniqueCode
 +
|OID=1.3.6.1.4.1.25178.1.2.14
 +
|description=Állandó egyedi azonosító interföderációs környezetben való használatra
 +
|example=<code>urn:schac:personalUniqueCode:hu:bme.hu:Neptun:gmx3f0</code>
 +
|implementation=optional
 +
|numOfValues=multi
 +
}}
 +
 
 +
=== Felhasználói tulajdonságokat leíró attribútumok ===
 +
 
 +
==== sn ====
 +
{{AttributeDef|name=sn
 +
|URI=urn:mace:dir:attribute-def:sn
 +
|OID=2.5.4.4
 +
|implementation=optional
 +
|description=A felhasználó vezetékneve
 +
|semantics=A felhasználó vezetékneve. Amennyiben több vezetékneve van a felhasználónak, akkor ezeket egyetlen értékben kell tárolni.
 +
|example=
 +
* Gipsz
 +
* Gipszné Kiss
 +
}}
 +
==== givenName ====
 +
{{AttributeDef|name=givenName
 +
|implementation=optional
 +
|OID=2.5.4.42
 +
|URI=urn:mace:dir:attribute-def:givenName
 +
|description=A felhasználó keresztneve
 +
|semantics=Amennyiben több keresztneve van a felhasználónak, ezeket egyetlen értékben kell tárolni.
 +
|example=
 +
* Jakab
 +
* Mária Lujza
 +
}}
 +
==== displayName ====
 +
{{AttributeDef|name=displayName
 +
|URI=urn:mace:dir:attribute-def:displayname
 +
|OID=2.16.840.1.113730.3.1.241
 +
|implementation=recommended
 +
|description=A felhasználó megjelenítendő neve
 +
|semantics=A felhasználó neve abban a formában, ahogy a felhasználó, vagy a felhasználó intézménye meg kívánja jeleníteni.
 +
|example=Gipsz Jakab Aladár
 +
}}
 +
 
 +
==== mail ====
 +
{{AttributeDef|name=mail
 +
|URI=urn:mace:dir:attribute-def:mail
 +
|OID=0.9.2342.19200300.100.1.3
 +
|implementation=recommended
 +
|numOfValues=multi
 +
|description=A felhasználó email címe
 +
|values=Létező e-mail cím
 +
|syntax=Lásd: [http://www.faqs.org/rfcs/rfc2822.html RFC 2822]
 +
|example=gipsz.jakab@example.org
 +
|semantics=A felhasználó értesítési e-mail címe. Az így átadott email címről az intézmény biztosítja, hogy
 +
* azt az intézmény biztosítja a felhasználó részére (pl neptunkod@intemzeny.hu)
 +
* vagy az intézmény a cím rögzítésekor ellenőrizte, hogy az a felhasználó tulajdonában van (pl egy megerősítő levél kiküldésével).
 +
 
 +
Az attribútumban ellenőrizetlen, felhasználó által megadott email címet átadni tilos.
 +
}}
 +
 
 +
==== preferredLanguage ====
 +
{{AttributeDef|name=preferredLanguage
 +
|OID=2.16.840.1.113730.3.1.39
 +
|URI=urn:mace:dir:attribute-def:preferredLanguage
 +
|implementation=optional
 +
|values=RFC 2068 Language Tags szekcióban meghatározott formátumú nyelvkódok
 +
|example=hu
 +
|description=Előnyben részesített nyelv
 +
|semantics=A felhasználó által elsődlegesen használni kívánt, általa előnyben részesített nyelv
 +
}}
 +
 
 +
==== schacDateOfBirth ====
 +
{{AttributeDef|name=schacDateOfBirth
 +
|OID=1.3.6.1.4.1.25178.1.2.3
 +
|description=A felhasználó születési dátuma
 +
|implementation=optional
 +
|example=19700101
 +
|values=YYYYMMDD (RFC 3339 'full-date') formátumú dátum
 +
}}
 +
 
 +
==== schacYearOfBirth ====
 +
{{AttributeDef|name=schacYearOfBirth
 +
|OID=1.3.6.1.4.1.25178.1.0.2.3
 +
|description=A felhasználó születési éve (amennyiben csak az évre van szükség, egyébként ajánlott a [[#schacDateOfBirth | schacDateOfBirth]] használata)
 +
|implementation=optional
 +
|values=YYYY formátumú év
 +
|example=1970
 +
}}
 +
 
 +
==== schacPersonalTitle ====
 +
{{AttributeDef|name=schacPersonalTitle
 +
|OID=1.3.6.1.4.1.25178.1.2.8
 +
|implementation=optional
 +
|description=A felhasználó személyes megszólítása.
 +
|semantics=A felhasználó nevéhez kapcsolódó megszólítás, mely a teljes név elé fűzhető. A címtárban tárolható a [[NIIFSchema#niifPersonPrefix|niifPersonPrefix]] attribútumban is.
 +
|example=
 +
* Dr.
 +
* Prof.
 +
}}
 +
 
 +
==== niifPersonMothersName ====
 +
{{AttributeDef|name=niifPersonMothersName
 +
|OID=1.3.6.1.4.1.11914.0.1.157
 +
|implementation=optional
 +
|description=Felhasználó anyja neve
 +
|example=Kőkori Vilma
 +
|semantics=A felhasználó anyjának születési neve a felhasználó hivatalos irataiban.
 +
}}
 +
 
 +
==== niifPersonResidentalAddress ====
 +
{{AttributeDef|name=niifPersonResidentalAddress
 +
|OID=1.3.6.1.4.1.11914.0.1.159
 +
|description=A felhasználó állandó lakcíme
 +
|implementation=optional
 +
|example=1111 Budapest, Villányi út 155.
 +
}}
 +
 
 +
==== homePostalAddress ====
 +
{{AttributeDef|name=homePostalAddress
 +
|OID=0.9.2342.19200300.100.1.39
 +
|description=A felhasználó ideiglenes lakcíme
 +
|numOfValues=multi
 +
|implementation=optional
 +
|example=1111 Budapest, Villányi út 155.
 +
}}
 +
 
 +
==== telephoneNumber ====
 +
{{AttributeDef|name=telephoneNumber
 +
|OID=2.5.4.20
 +
|description=A felhasználó vezetékes telefonszáma
 +
|values=A telefonszámot az [https://www.comnap.aq/interoperability/ITU-T-REC-E.123-2001-02.pdf ITU-T E.123 szabvány] szerint kell tárolni. A melléket a <code>/</code> jellel elválasztva jelölhető.
 +
|numOfValues=multi
 +
|implementation=optional
 +
|example=
 +
* +36 1 123 1234
 +
* +36 1 123 1234 / 102
 +
}}
 +
 
 +
==== mobile ====
 +
{{AttributeDef|name=mobile
 +
|OID=0.9.2342.19200300.100.1.41
 +
|description=A felhasználó mobilszáma
 +
|values= A telefonszámot az [https://www.comnap.aq/interoperability/ITU-T-REC-E.123-2001-02.pdf ITU-T E.123 szabvány] szerint kell tárolni.
 +
|numOfValues=multi
 +
|example= +36 30 123 1234
 +
|implementation=optional
 +
}}
  
'''Megjegyzés''': az '''eduPersonPrincipalName''' érzékeny személyes adat.  
+
==== eduPersonNickName ====
|example=1234@domain.hu
+
{{AttributeDef|name=eduPersonNickName
 +
|OID=1.3.6.1.4.1.5923.1.1.1.2
 +
|description=A felhasználó beceneve
 +
|implementation=optional
 +
|assurer=user
 +
|example=
 +
*gipszj
 +
*the.man.who.was.bored.to.death.by.some.american.smartguys
 +
|semantics=Az a becenév, amelyet a felhasználó általában használ (pl. online fórumokon). Nem egyedi, a hossza és a tartalma sem kötött, nem állandó, ezért az alkalmazásnak mindenképpen ellenőriznie kell, mielőtt - esetleg - lokális felhasználónévként figyelembe veszi.
 
}}
 
}}
  
 +
==== cn ====
 +
{{AttributeDef|name=cn
 +
|OID=2.5.4.3
 +
|description=A felhasználó teljes neve
 +
|semantics=A felhasználó vezetéknevének és keresztnevének valamilyen módon történő, szóközzel elválasztott összefűzése. Használata intézményenként és országonként eltérő. Jellemző, hogy több értékben különböző módokon előállított értékeket is tartalmaz.
 +
 +
'''Helyette a [[#displayName|displayName]] használata javasolt.'''
 +
|implementation=optional
 +
|numOfValues=multi
 +
|example=
 +
* Gipsz Jakab
 +
* Kovács Áron;Kovacs Aron;Aron Kovacs
 +
}}
 +
 +
==== jpegPhoto ====
 +
{{AttributeDef|name=jpegPhoto
 +
|OID=0.9.2342.19200300.100.1.60
 +
|implementation=optional
 +
|description=Kis méretű fotó a felhasználóról JPEG formátumban
 +
|sematics=
 +
* Maximális méret: 320x320 pixel, 32 kB (???)
 +
}}
 +
==== labeledUri ====
 +
{{AttributeDef|name=labeledUri
 +
|OID=1.3.6.1.4.1.250.1.57
 +
|description=Felhasználóhoz tartozó URI-k
 +
|semantics=A felhasználó által megadott, vagy rá valamilyen formában jellemző URI-k (gyakran URL-ek) gyűjteménye, mint pl. a személyes honlapjának címe. Minden azonosítóhoz opcionálisan kapcsolható szöveges leírás.
 +
|values=Az URL-t urlencode-olva kell tárolni (RFC 2079).
 +
|implementation=optional
 +
|numOfValues=multi
 +
|example=
 +
*http://example.com/%7Euser/foo Foo page
 +
*ftp://ftp.example.com
 +
}}
 +
 +
=== Felhasználó és az intézmény viszonyát leíró attribútumok ===
 +
 +
==== eduPersonScopedAffiliation ====
 
{{AttributeDef|name=eduPersonScopedAffiliation
 
{{AttributeDef|name=eduPersonScopedAffiliation
 
|URI=urn:mace:dir:attribute-def:eduPersonScopedAffiliation
 
|URI=urn:mace:dir:attribute-def:eduPersonScopedAffiliation
 
|OID=1.3.6.1.4.1.5923.1.1.1.9
 
|OID=1.3.6.1.4.1.5923.1.1.1.9
|description=Felhasználó viszonya az intézményhez (scope-os változat)
+
|description=Felhasználó és intézmény közti viszony leírása
 
|implementation=mandatory
 
|implementation=mandatory
 
|semantics=
 
|semantics=
'''<viszony>@<internet_domain>'''
+
'''<viszony>@<scope>'''
|example=affiliate@domain.hu
+
 
 +
* '''<viszony>''': a felhasználó és az intézmény közti viszony leírására az alábbi értékek választhatók
 +
** ''student'': intézmény hallgatója
 +
** ''faculty'': oktatási tevékenységet végez az intézményben
 +
** ''staff'': nem oktatási tevékenységet végző alkalmazott (pl. a rendszergazda és a kertész is)
 +
** ''employee'': alkalmazott (használata intézmények között nem javasolt)
 +
** ''member'': azok a felhasználók, amelyek azáltal, hogy azonosította őket az IdP, rendelkeznek intézményhez kötődő általános jogosultságokkal. Jellemzően ide sorolhatók a ''student'', ''faculty'', ''staff'' viszonnyal rendelkezők.
 +
** ''affiliate'': az intézmény azonosítja őket, de nem rendelkeznek általános jogosultságokkal
 +
** ''alum'': öregdiák
 +
** ''library-walk-in'': könyvtári tag
 +
{{NOTE | lehetséges, hogy a föderációban használható értékek körét a későbbiekben szűkíteni fogjuk}}
 +
* '''<scope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll.
 +
 
 +
Lásd még: http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201310.html#eduPersonAffiliation
 +
 
 +
[[EduPersonAffiliation|Egy lehetséges vizuális ábrázolás]], azonban a halmazok pontos meghatározása az intézmény feladata.
 +
|assurer=inst
 +
|values=A következő értékek egyike: {student,faculty,staff,employee,member,affiliate,alum,library-walk-in}, valamint a [[Scope|scope]]
 +
|example=  
 +
* Hallgatók: ''student@example.org;member@example.org''
 +
* Oktatók: ''faculty@example.org;employee@example.org;member@example.org''
 +
* Nem alkalmazott oktató-hallgatók: ''student@example.org;faculty@example.org;member@example.org''
 
|numOfValues=multi
 
|numOfValues=multi
 
}}
 
}}
  
{{AttributeDef|name=homeOrganization
+
==== eduPersonEntitlement ====
|implementation=mandatory
+
{{AttributeDef|name=eduPersonEntitlement
|description=Az intézmény DNS domain neve
+
|URI=urn:mace:dir:attribute-def:eduPersonEntitlement
|example=bme.hu
+
|OID=1.3.6.1.4.1.5923.1.1.1.7
 +
|implementation=recommended
 +
|semantics=Azon erőforrások listája, melyet a felhasználó használhat. Sok erőforrást minden felhasználó elérhet, néhányat csak korlátozott kör - ez utóbbi esetben válik fontossá ez az attribútum
 +
 
 +
{{INFO|Az eduPersonEntitlement attribútumnak csak azon értékeit szabad kiadni az SP-nek, amelyek rá vonatkoznak. Ennek meghatározása kézi adminisztráció esetén igen nehéz lehet, ezért erre célszerű valamilyen adminisztrációs felületet használni. (Sajnos jelenleg nem létezik ilyen alkalmazás.)}}
 +
|description=A felhasználó által jogosan használt erőforrás(ok)
 +
|assurer=inst
 +
|example=urn:geant:niif.hu:niif:entitlement:vhoadmin
 +
|numOfValues=multi
 
}}
 
}}
  
{{AttributeDef|name=homeOrganizationType
+
 
 +
 
 +
 
 +
 
 +
==== schacHomeOrganizationType ====
 +
{{AttributeDef|name=schacHomeOrganizationType
 +
|URI=urn:mace:dir:attribute-def:schacHomeOrganizationType
 +
|OID=1.3.6.1.4.1.25178.1.2.10
 +
|values=urn:schac:homeOrganizationType:hu:{university,nren,library,vho,school,business,other,test}
 
|implementation=mandatory
 
|implementation=mandatory
 
|description=Az intézmény jellege
 
|description=Az intézmény jellege
 +
|semantics=
 +
* '''university''': Az Oktatási Minisztérium által elismert felsőoktatási intézmények (egyetemek és főiskolák)
 +
* '''nren''': Nemzeti kutatási és felsőoktatási kutatói hálózat szolgáltatója
 +
* '''library''': Könyvtárak
 +
* '''vho''':  Virtuális azonosító szervezet egyének föderációs azonosítása céljára
 +
* '''school''': Általános és középiskolák
 +
* '''business''': Ipari vagy kereskedelmi intézmények
 +
* '''other''': Egyéb
 +
* '''test''': Teszt felhasználóról van szó
 +
|numOfValues=single
 +
|assurer=inst
 +
|syntax=URN
 
}}
 
}}
  
{{AttributeDef|name=eduPersonEntitlement
+
==== ou ====
|implementation=recommended
+
{{AttributeDef|name=ou
|description=A felhasználó által jogosan használt erőforrás(ok)
+
|URI=urn:mace:dir:attribute-def:ou
 +
|OID=2.5.4.11
 +
|implementation=optional
 +
|description=Az intézményen belüli egység teljes neve (organizationalUnit)
 +
|semantics=Azon egység (tanszék, intézet, könyvtár, stb) neve, amelyhez a felhasználó tartozik.
 +
|example=Automatizálási és alkalmazott informatikai tanszék
 
}}
 
}}
  
{{AttributeDef|name=mail
+
==== eduPersonOrgUnitDN ====
|implementation=recommended
+
{{AttributeDef|name=eduPersonOrgUnitDN
|description=A felhasználó email címe
+
|URI=urn:mace:dir:attribute-def:eduPersonOrgUnitDN
 +
|OID=1.3.6.1.4.1.5923.1.1.1.4
 +
|implementation=optional
 +
|description=A felhasználóhoz tartozó szervezeti egység azonosítója
 +
|semantics=A felhasználóhoz tartozó szervezeti egység (pl. tanszék, intézet, könyvtár, ...) intézményen belüli egyedi, esetleg hierarchikusan képzett azonosítója.
 +
Amennyiben az adott felhasználó több egységhez is besorolható, ez az attribútum több értéket is tartalmazhat.
 +
|syntax=DN
 +
|numOfValues=multi
 +
|assurer=inst
 +
|example=
 +
* ou=VIK,ou=Units,o=BME,c=hu
 +
* ou=AAIT,ou=VIK,ou=Units,o=BME,c=hu
 +
* ou=MIT,ou=VIK,ou=Units,o=BME,c=hu
 
}}
 
}}
  
{{AttributeDef|name=cn
+
==== eduPersonPrimaryOrgUnitDN ====
|implementation=recommended
+
{{AttributeDef|name=eduPersonPrimaryOrgUnitDN
|description=A felhasználó teljes neve
+
|URI=urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN
 +
|OID=1.3.6.1.4.1.5923.1.1.1.8
 +
|description=A felhasználóhoz hozzárendelhető elsődleges szervezeti egység azonosítója.
 +
|semantics=Az [[#eduPersonOrgUnitDN]]-ben tárolt egység-azonosítók közül azon elem, amelyhez a felhasználó elsődlegesen köthető.
 +
|values=Egy olyan azonosító, mely szerepel az [[#eduPersonOrgUnitDN]] értékei között.
 +
|syntax=DN
 +
|implementation=optional
 +
|assurer=inst
 +
|example=ou=AAIT,ou=VIK,ou=Units,o=BME,c=hu
 
}}
 
}}
  
{{AttributeDef|name=sn
+
=== Oktatásban használt attribútumok ===
 +
==== niifEduPersonAttendedCourse ====
 +
{{AttributeDef|name=niifPersonAttendedCourse
 +
|URI=urn:geant:niif.hu:dir:attribute-def:niifEduPersonAttendedCourse
 +
|OID=1.3.6.1.4.1.11914.0.1.164
 +
|description=Felhasználó által hallgatott tárgy kódja
 +
|semantics=Azon tantárgyak kódja, amelyet a felhasználó az adott félévben hallgat.
 +
 
 +
Oktatási intézmény esetén JAVASOLT az attribútumot implementálni és az intézményen belüli SP-k számára kiadni. Adatvédelmi szempontból JAVASOLT az értékeket úgy szűrni, hogy az SP csak a számára releváns tárgyak kódját kapja meg.
 +
|numOfValues=multi
 +
|implementation=optional
 +
|values=A tanulmányi rendszerben meghatározott tantárgykódok
 +
|assurer=inst
 +
|example=
 +
*VIMM1234
 +
*VIMA4321
 +
}}
 +
==== niifEduPersonArchiveCourse ====
 +
{{AttributeDef|name=niifEduPersonArchiveCourse
 +
|OID=1.3.6.1.4.1.11914.0.1.171
 
|implementation=optional
 
|implementation=optional
|description=A felhasználó vezetékneve
+
|description=A felhasználó által valaha hallgatott kurzusok
 +
|values=A tanulmányi rendszerben meghatározott tantárgykódok
 +
|semantics=Azon tantárgyak kódja, amelyet a felhasználó valaha hallgatott az adott intézményben.
 +
|numOfValues=multi
 +
|assurer=inst
 
}}
 
}}
  
 +
==== niifEduPersonHeldCourse ====
 +
{{AttributeDef|name=niifEduPersonHeldCourse
 +
|OID=1.3.6.1.4.1.11914.0.1.172
 +
|implementation=optional
 +
|description=A felhasználó által aktuálisan oktatott tárgyak
 +
|values=A tanulmányi rendszerben meghatározott tantárgykódok
 +
|semantics=Azon tantárgyak kódja, amelyet a felhasználó az adott félévben (esetleg előző félévben) oktatott.
 +
|assurer=inst
 +
|numOfValues=multi
 +
}}
  
{{AttributeDef|name=givenName
+
==== niifEduPersonMajor ====
 +
{{AttributeDef|name=niifEduPersonMajor
 +
|OID=1.3.6.1.4.1.11914.0.1.162
 +
|description=A hallgató főszakja
 +
|semantics=A hallgató főszakja - a [[http://web.mab.hu/joomla/index.php?option=com_content&view=article&id=87&Itemid=623&lang=hu mab.hu ]] oldalán található lista alapján
 
|implementation=optional
 
|implementation=optional
|description=A felhasználó keresztneve
+
|numOfValues=multi
 +
|assurer=inst
 +
|example=
 +
* műszaki informatikus mérnök
 +
* elméleti fizikus
 
}}
 
}}
  
{{AttributeDef|name=organization
+
==== niifEduPersonFaculty ====
 +
{{AttributeDef|name=niifEduPersonFaculty
 +
|OID=1.3.6.1.4.1.11914.0.1.160
 +
|description=Kar neve
 +
|semantics=Teljes neve annak a karnak, amelyhez a hallgató tartozik
 
|implementation=optional
 
|implementation=optional
|description=Az intézmény teljes neve
+
|numOfValues=multi
 +
|assurer=inst
 +
|example=Villamosmérnöki és Informatikai Kar
 
}}
 
}}
  
 
+
==== niifEduPersonFacultyDN ====
{{AttributeDef|name=organizationalUnit
+
{{AttributeDef|name=niifEduPersonFacultyDN
 +
|OID=1.3.6.1.4.1.11914.0.1.161
 +
|description=A hallgató karának DN-je
 +
|semantics=Annak a karnak a DN-je, amelyhez a hallgató tartozik. Ajánlott a kezdőpont alatt található <code>ou=Units</code> alá tenni az egyes karokat (lásd [[#eduPersonOrgUnitDN]])
 
|implementation=optional
 
|implementation=optional
|description=Az intézményen belüli egység teljes neve
+
|syntax=DN
 +
|numOfValues=multi
 +
|assurer=inst
 +
|example= ou=VIK,ou=Units,o=BME,c=hu
 
}}
 
}}
 +
==== niifEduPersonStudentCategory ====
 +
{{AttributeDef|name=niifEduPersonStudentCategory
 +
|OID=1.3.6.1.4.1.11914.0.1.174
 +
|description=Tanuló/hallgató képzési szintjének meghatározása
 +
|semantics=A hallgató képzési szintjének pontosabb meghatározása (az [[#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] kiegészítése)
 +
* '''bachelor''': bachelor képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)
 +
* '''master''': master képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)
 +
* '''doctor''': doktori képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)
 +
* '''exchange-student''': vendéghallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)
 +
* '''qualifying-studies''': előkészítős hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: member)
 +
* '''open-university''': nyílt egyetemi képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: affiliate)
  
{{AttributeDef|name=preferredLanguage
+
Ha egy hallgató nem sorolható be egyik kategóriába sem (pl. nem bolognai rendszer szerint tanul), akkor az attribútum ne kapjon értéket!
 
|implementation=optional
 
|implementation=optional
|description=A felhasználó által előnyben részesített nyelv
+
|syntax=Directory String
 +
|numOfValues=multi
 +
|assurer=inst
 
}}
 
}}
 
[[Kategória: Csonkok]]
 

A lap jelenlegi, 2021. március 29., 12:28-kori változata

A specifikáció célja

A föderációban az IdP SAML attribútumokban ad meg adatokat a felhasználóról az SP-nek. Ahhoz, hogy az adatokban hordozott információ átadása pontos legyen, fontos, hogy a használt attribútumokat a két fél ugyanúgy értelmezze.

Az attribútumok pontos meghatározása az attribútumok sémájában található. A specifikációban az alábbi sémákat használtuk fel:

A fenti dokumentumokban definiált attribútumoknak a föderációban való értelmezését határozza meg az Attribútum Specifikáció. Ez néhány esetben valamivel szűkebb, mint az eredeti definíció, azért, hogy az információt az SP-k pontosabban értelmezhessék.

A specifikációban felsoroltakon túl az IdP-k tetszőleges attribútumot megvalósíthatnak és kiadhatnak bilaterális megállapodás alapján.

Attribútumok használata

Meghatározások

  • Implementáció (megvalósítás): egy IdP abban az esetben implementál egy attribútumot, ha az attribútumban hordozott információ a föderációs specifikációnak megfelelő szemantikai és formai követelmények szerint a rendelkezésére áll. Ez jelentheti azt, hogy a felhasználói adatbázisban a felhasználó bejegyzése tartalmazza ezt az attribútumot, de az attribútum más módon is előállhat (pl. statikusan vagy más attribútumokból dinamikusan generálva). Az implementáció részleteivel kapcsolatban a föderáció nem fogalmaz meg megkötést
  • Attribútum kiadás: az attribútum átadása néhány (vagy a föderációban található összes) SP-nek.

Implementációs szintek

  • Kötelező: az attribútumot kötelező az IdP-nek implementálni. (Nem kötelező kiadnia.)
  • Ajánlott: az attribútumot ajánlott az IdP-nek implementálni, de ez néhány intézménynél lehetetlen vagy nehézségekbe ütközhet
  • Opcionális: az attribútumot az IdP a saját döntése szerint megvalósíthatja.
Fontos kiemelni, hogy amennyiben egy IdP implementál egy opcionális attribútumot, azt a specifikáció szerint KÖTELEZŐ megtennie, azaz követve a specifikáció szemantikai és szintaktikai előírásait.

SP attribútum-igények

Az SP-k a Resource Registry-ben, és ezen keresztül a metadata állományban jelezhetik, hogy egy attribútum számukra megkövetelt (required) vagy ajánlott (desired).

  • Megkövetelt: az alkalmazás működéséhez elengedhetetlen az attribútum
pl. eduPersonPrincipalName olyan alkalmazásokhoz, amelyek nincsenek felkészítve átlátszatlan (opaque) azonosítók kezelésére
  • Ajánlott: az alkalmazás működését megkönnyíti az attribútum
pl. a cn attribútum átadásakor az alkalmazás nem kéri be a felhasználó teljes nevét regisztrációkor

Hibakezelés

Abban az esetben, ha egy IdP nem adja ki egy vagy több az SP számára elengedhetetlen attribútumot, az SP-nek KÖTELEZŐ a felhasználónak hibaüzenetet adnia. (Ugyanis egy SP csak abban az esetben jelölhet meg egy attribútumot megkövetelt attribútumnak, ha ez az alkalmazás működéséhez elengedhetetlen, minden egyéb esetben ajánlott-nak kell megjelölnie.) Azonban ez a hibaüzenet lehetséges, hogy a felhasználó számára nehezen értelmezhető (pl: Authorization Required).

Ezért az IdP-k számára AJÁNLOTT kiadni azokat az attribútumokat, amelyeket az SP-k megkövetelt-nek jelölnek meg.

Attribútumok listája

Lista

Kötelező attribútumok

eduPersonTargetedID
eduPersonScopedAffiliation
schacHomeOrganizationType
eduPersonPrincipalName

Ajánlott attribútumok

displayName
mail
eduPersonEntitlement

Állandó felhasználói azonosítók

Bizonyos alkalmazások esetén szükséges alkalmazás-specifikus adatokat is tárolni. Ilyen példa lehet egy webes naptárnál a felhasználóhoz kötődő bejegyzések, vagy egy wikinél a felhasználó szerkesztései. Ezeket az alkalmazások valamilyen helyi adatbázisban tárolják, a kulcs a felhasználó és az adatbázis bejegyzés között pedig egy állandó azonosító.

Az állandó azonosítók lehetnek:

  • statikusak: a felhasználó létrehozásakor megadott adattal megegyezők
  • számítottak: a felhasználó valamelyik (vagy több) attribútumából algoritmikusan - általában hash eljárással - generáltak
  • tároltak: ezek általában olyan azonosítók, amelyet az IdP egy adatbázisban elsődleges kulcsként használ, azaz
    • a felhasználói attribútumok változása esetén is állandó marad
    • egyediségük biztosított

Az azonosítók az alábbi tulajdonságokkal rendelkezhetnek:

  • állandóság: az IdP-nek gondoskodnia kell arról, hogy a kiosztott azonosító a felhasználó intézménynél töltött életciklusa során állandó legyen.
Amennyiben egy állandó(nak szánt) azonosító mégis megváltozik, az nagyon nehéz helyzetbe hozhatja mind a felhasználót, mind az alkalmazás üzemeltetőt. Erre megoldás lehet a SAML2 NameID Mapping, azonban ezt jelenleg a föderációban használt szoftverek csak részlegesen vagy egyáltalán nem támogatják.
  • nem osztható ki újra (non-reassignable): az IdP-nek gondoskodnia kell arról, hogy egy felhasználó azonosítóját később nem osztja ki másik felhasználónak.
Ennek algoritmikus biztosítása bizonyos esetekben nehézségekbe ütközhet (pl. hash ütközések, illetve bizonyos IdP-k kézzel osztanak azonosítókat), ezért jelen specifikáció csak azt követeli meg, hogy azonosító a gyakorlatban ne tegye lehetővé, hogy az alkalmazás oldalán a felhasználók összekeveredjenek. Különböző IdP-ktől jövő felhasználók azonosítói abban az esetben nem ütközhetnek, ha az azonosítónak része valamilyen, az IdP-re jellemző adat (scope vagy entityID).
  • nem átlátszó (opaque): az ilyen azonosítók nem jellemzők a felhasználóra, az értékéből nem lehet következtetni a felhasználó személyére (pl. e-mail címére)
Nem minden azonosító rendelkezik ilyen tulajdonsággal, azonban intézmények között adatvédelmi szempontból kifejezetten kívánatos, hogy egy azonosító ne legyen jellemző a felhasználó személyére. A nem átlátszó azonosítót nem célszerű a felhasználók felé megjeleníteni.
  • célzott (targeted): az ilyen azonosítók minden SP-nél különbözőek, s így az SP-k - az IdP közreműködése nélkül - nem képesek profilt készíteni egy felhasználóról, ami adatvédelmi szempontból kívánatos.
Nem minden azonosító rendelkezik ilyen tulajdonsággal.

Az állandó azonosító kiadható attribútumként, illetve a SAML Assertion NameID mezőjében. Bizonyos SP implementációk (pl. a Shibboleth 2.x) képesek arra, hogy az alkalmazás részére elfedjék azt, hogy az azonosító pontosan milyen attribútumban vagy NameID-ben érkezett, pl. úgy, hogy az azonosítót a REMOTE_USER változóban adják ki az alkalmazás számára.

NameID formátumok - melyiket válasszam?

A föderáció elvárja, hogy az IdP-k támogassák mind a tranziens NameID formátumot, mind a célzott, átlátszatlan azonosítót (melyek lehetnek tároltak vagy számítottak). A tárolt azonosítót célszerű SAML2 perszistens NameID-ként kiadni, a számított azonosító azonban csak az eduPersonTargetedID attribútumban adható ki, mivel nem rendelkezik a perszisztens NameID szemantikájával.

A Shibboleth IdP implementáció esetén a számított azonosítókról a tárolt azonosítókra való áttérés nem változtatja meg a kiadott azonosítókat, ezért az SP-k számára ez az áttérés transzparens.

Ha SP-t üzemeltetünk, akkor célszerű már az üzemeltetés kezdetén eldönteni, hogy melyik formátum mellett tesszük le a voksunkat (ez elsősorban az SP által védett alkalmazás képességeitől függ), mert menet közben átállni körülményes, sok energiát igényel. A problémára reméljük könnyebb lesz a megfelelő választ megtalálni az alábbi kérdés átgondolásával: Szükséges-e az SP számára, hogy egy-egy felhasználójához tartozzon egy-egy állandó azonosító?

1. Ha nem, akkor egyértelmű a választás: tranziens formátumot kell használni.

2. Ha igen, és nem szükséges, hogy az állandó azonosító a felhasználóra jellemző legyen, ill. az SP mögötti alkalmazás felkészült ilyen azonosító fogadására ( az alkalmazás szempontjából mindegy, hogy milyen úton, tehát eduPersonTargetedID attribútumként, vagy perzisztens NameID-ként érkezik az érték az SP-hez ), akkor az SP-nek Nem kell meghatároznia, hogy milyen NameID formátumot támogat, hiszen ezesetben

a) Ha az IdP nem támogatja a tárolt azonosítókat, akkor a tranziens NameID mellé az eduPersonTargetedID attribútumban ki fogja adni a számított (és célzott) azonosítót.
b) Ha az IdP támogatja a tárolt azonosítókat, akkor azt perzisztens NameID-ként fogja kiadni (illetve, ha az SP kéri az eduPersonTargetedID attribútumot, az IdP képes ugyanezt a tárolt értéket ilyen formában is kiadni).
Az alkalmazáshoz mindkét esetben ugyanaz az érték jut el, mint felhasználói azonosító.

3. Ugyanaz, mint a 2., kivéve, hogy magasabb szintű felhasználókezelést (például SAML NameID menedzsmentet) is szeretne az SP használni, akkor kizárólag perzisztens NameID-t kell kérnie. A HREF föderáció jelenleg nem rendelkezik a magasabb szintű SAML protokollokról, ezért ezek használata kizárólag az adott SP és IdP közötti megállapodáson alapulhat.

4. Ha szükséges, hogy az állandó azonosító a felhasználóra jellemző legyen, őt egyértelműen azonosítsa, akkor a választás tranziens NameID, amely mellé meg kell követelni az eduPersonPrincipalName kiadását.

A HREF föderációban az IdP-k részéről elvárt, hogy a fenti 1-2. megoldásokat támogassák. A 3-4. esetében minden további nélkül előfordulhat, hogy az IdP és SP közötti kommunikáció hibát jelez, mert valamelyik fél nem támogatja a másik fél által megkövetelt / biztosított azonosító formátumot...


Info.png Megjegyzés
Egy SP a Resource Registry-ben jelezheti, hogy milyen NameID formátumokat támogat. Ha kizárólag perzisztens NameID formátumot támogat, akkor vagy kap az IdP-től ilyet, vagy hiba lép fel a válasz feldolgozása során.

eduPersonTargetedID

eduPersonTargetedID
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonTargetedID
OID: 1.3.6.1.4.1.5923.1.1.1.10
Rövid leírás Nem átlátszó, célzott azonosító, amely nem osztható ki újra
Implementáció kötelező
Részletes leírás Lásd: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTargetedID , ill. a fenti megjegyzést az implementációs szinttel kapcsolatban.

Az SP a kapott értéket fel kell, hogy dolgozza, nem adhatja XML formátumban tovább az alkalmazásnak. A benne szereplő ún. qualifier-ek közül az IdP azonosítóját (NameQualifier) és természetesen magát az azonosítót kötelező szerepeltetni az alkalmazás számára átadott azonosítóban. Javasolt az egyes mezőket '!' karakterrel elválasztani egymástól.

Az IdP-nek biztosítania kell, hogy egy felhasználó számára kiosztott azonosító valóban perzisztens legyen, tehát gondoskodnia kell az attribútum-értékek biztos tárolásáról - például egy megfelelő mentési tervvel üzemeltetett relációs adatbázisban.

Az eduPersonTargetedID nem osztható ki újra.

Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Az attribútum értékének a SAML2 szabványban definiált NameID formátumúnak kell lennie; az azonosító (nem számítva az XML attribútumokat) legfeljebb 256 karakterből állhat.
Adatgazda nem definiált
Példa Az IdP ilyen formában adja ki az azonosítót: 
<saml2:NameID xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
   Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
   NameQualifier="https://idp.example.org/idp/shibboleth"
   SPNameQualifier="https://sp.example.org/shibboleth">
84e411ea-7daa-4a57-bbf6-b5cc52981b73
</saml2:NameID>

Az alkalmazás ilyen formában kapja meg az azonosítót: 

https://idp.example.org/idp/shibboleth!https://sp.example.org/shibboleth!84e411ea-7daa-4a57-bbf6-b5cc52981b73


eduPersonPrincipalName

eduPersonPrincipalName
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonPrincipalName
OID: 1.3.6.1.4.1.5923.1.1.1.6
Rövid leírás Állandó, nem célzott, nem újra kiosztható egyedi azonosító
Implementáció kötelező
Részletes leírás Formátum: <egyedi_lokális_azonosító>@<scope>

Ahol

  • <egyedi_lokális_azonosító>: tetszőleges állandó azonosító, amely az intézményen belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító (uid) használata, azonban bármilyen más azonosító használható
  • <scope>: helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll.

Megjegyzés: az eduPersonPrincipalName érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-mail címével. Intézményen belüli használata javasolt, intézményen kívül célszerű nem átlátszó, célzott azonosítót használni.

Az eduPersonPrincipalName a föderációban nem osztható ki újra.

Bizonyos alkalmazások nem támogatják a különleges karaktereket az azonosítókban, ezért a föderációban az eduPersonPrincipalName kizárólag alfanumerikus karaktereket, pont ('.'), kötőjel ('-') és alulvonás ('_') karaktereket tartalmazhat.

Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda intézmény
Példa gipsz.jakab@example.org


niifPersonOrgID

niifPersonOrgID
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonPrincipalName
OID: 1.3.6.1.4.1.11914.0.1.154
Rövid leírás Állandó egyedi azonosító intézményen belüli, ill. e-learning használatra
Implementáció opcionális
Részletes leírás Bizonyos esetekben adatvédelmi szempontok miatt szükség lehet arra, hogy a felhasználó intézményen belüli azonosítója (pl. Neptun kódja) és az egyéb alkalmazásokban használt uid különböző legyen.

Ezen attribútum intézmények közötti átadása csak abban az esetben javasolt, ha e-learning rendszerek miatt meg kell osztani a tanulmányi azonosítót.

Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa -

schacPersonalUniqueCode

schacPersonalUniqueCode
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.25178.1.2.14
Rövid leírás Állandó egyedi azonosító interföderációs környezetben való használatra
Implementáció opcionális
Részletes leírás -
Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika Directory String
Adatgazda nem definiált
Példa urn:schac:personalUniqueCode:hu:bme.hu:Neptun:gmx3f0


Felhasználói tulajdonságokat leíró attribútumok

sn

sn
Elnevezés URI: urn:mace:dir:attribute-def:sn
OID: 2.5.4.4
Rövid leírás A felhasználó vezetékneve
Implementáció opcionális
Részletes leírás A felhasználó vezetékneve. Amennyiben több vezetékneve van a felhasználónak, akkor ezeket egyetlen értékben kell tárolni.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa
  • Gipsz
  • Gipszné Kiss

givenName

givenName
Elnevezés URI: urn:mace:dir:attribute-def:givenName
OID: 2.5.4.42
Rövid leírás A felhasználó keresztneve
Implementáció opcionális
Részletes leírás Amennyiben több keresztneve van a felhasználónak, ezeket egyetlen értékben kell tárolni.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa
  • Jakab
  • Mária Lujza

displayName

displayName
Elnevezés URI: urn:mace:dir:attribute-def:displayname
OID: 2.16.840.1.113730.3.1.241
Rövid leírás A felhasználó megjelenítendő neve
Implementáció ajánlott
Részletes leírás A felhasználó neve abban a formában, ahogy a felhasználó, vagy a felhasználó intézménye meg kívánja jeleníteni.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa Gipsz Jakab Aladár


mail

mail
Elnevezés URI: urn:mace:dir:attribute-def:mail
OID: 0.9.2342.19200300.100.1.3
Rövid leírás A felhasználó email címe
Implementáció ajánlott
Részletes leírás A felhasználó értesítési e-mail címe. Az így átadott email címről az intézmény biztosítja, hogy
  • azt az intézmény biztosítja a felhasználó részére (pl neptunkod@intemzeny.hu)
  • vagy az intézmény a cím rögzítésekor ellenőrizte, hogy az a felhasználó tulajdonában van (pl egy megerősítő levél kiküldésével).

Az attribútumban ellenőrizetlen, felhasználó által megadott email címet átadni tilos.

Lehetséges értékek Létező e-mail cím
Értékek száma multi
Szintaktika Lásd: RFC 2822
Adatgazda nem definiált
Példa gipsz.jakab@example.org


preferredLanguage

preferredLanguage
Elnevezés URI: urn:mace:dir:attribute-def:preferredLanguage
OID: 2.16.840.1.113730.3.1.39
Rövid leírás Előnyben részesített nyelv
Implementáció opcionális
Részletes leírás A felhasználó által elsődlegesen használni kívánt, általa előnyben részesített nyelv
Lehetséges értékek RFC 2068 Language Tags szekcióban meghatározott formátumú nyelvkódok
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa hu


schacDateOfBirth

schacDateOfBirth
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.25178.1.2.3
Rövid leírás A felhasználó születési dátuma
Implementáció opcionális
Részletes leírás -
Lehetséges értékek YYYYMMDD (RFC 3339 'full-date') formátumú dátum
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa 19700101


schacYearOfBirth

schacYearOfBirth
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.25178.1.0.2.3
Rövid leírás A felhasználó születési éve (amennyiben csak az évre van szükség, egyébként ajánlott a schacDateOfBirth használata)
Implementáció opcionális
Részletes leírás -
Lehetséges értékek YYYY formátumú év
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa 1970


schacPersonalTitle

schacPersonalTitle
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.25178.1.2.8
Rövid leírás A felhasználó személyes megszólítása.
Implementáció opcionális
Részletes leírás A felhasználó nevéhez kapcsolódó megszólítás, mely a teljes név elé fűzhető. A címtárban tárolható a niifPersonPrefix attribútumban is.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa
  • Dr.
  • Prof.


niifPersonMothersName

niifPersonMothersName
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.11914.0.1.157
Rövid leírás Felhasználó anyja neve
Implementáció opcionális
Részletes leírás A felhasználó anyjának születési neve a felhasználó hivatalos irataiban.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa Kőkori Vilma


niifPersonResidentalAddress

niifPersonResidentalAddress
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.11914.0.1.159
Rövid leírás A felhasználó állandó lakcíme
Implementáció opcionális
Részletes leírás -
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa 1111 Budapest, Villányi út 155.


homePostalAddress

homePostalAddress
Elnevezés URI: nincs megadva
OID: 0.9.2342.19200300.100.1.39
Rövid leírás A felhasználó ideiglenes lakcíme
Implementáció opcionális
Részletes leírás -
Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika Directory String
Adatgazda nem definiált
Példa 1111 Budapest, Villányi út 155.


telephoneNumber

telephoneNumber
Elnevezés URI: nincs megadva
OID: 2.5.4.20
Rövid leírás A felhasználó vezetékes telefonszáma
Implementáció opcionális
Részletes leírás -
Lehetséges értékek A telefonszámot az ITU-T E.123 szabvány szerint kell tárolni. A melléket a / jellel elválasztva jelölhető.
Értékek száma multi
Szintaktika Directory String
Adatgazda nem definiált
Példa
  • +36 1 123 1234
  • +36 1 123 1234 / 102


mobile

mobile
Elnevezés URI: nincs megadva
OID: 0.9.2342.19200300.100.1.41
Rövid leírás A felhasználó mobilszáma
Implementáció opcionális
Részletes leírás -
Lehetséges értékek A telefonszámot az ITU-T E.123 szabvány szerint kell tárolni.
Értékek száma multi
Szintaktika Directory String
Adatgazda nem definiált
Példa +36 30 123 1234


eduPersonNickName

eduPersonNickName
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.5923.1.1.1.2
Rövid leírás A felhasználó beceneve
Implementáció opcionális
Részletes leírás Az a becenév, amelyet a felhasználó általában használ (pl. online fórumokon). Nem egyedi, a hossza és a tartalma sem kötött, nem állandó, ezért az alkalmazásnak mindenképpen ellenőriznie kell, mielőtt - esetleg - lokális felhasználónévként figyelembe veszi.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda felhasználó
Példa
  • gipszj
  • the.man.who.was.bored.to.death.by.some.american.smartguys


cn

cn
Elnevezés URI: nincs megadva
OID: 2.5.4.3
Rövid leírás A felhasználó teljes neve
Implementáció opcionális
Részletes leírás A felhasználó vezetéknevének és keresztnevének valamilyen módon történő, szóközzel elválasztott összefűzése. Használata intézményenként és országonként eltérő. Jellemző, hogy több értékben különböző módokon előállított értékeket is tartalmaz.

Helyette a displayName használata javasolt.

Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika Directory String
Adatgazda nem definiált
Példa
  • Gipsz Jakab
  • Kovács Áron;Kovacs Aron;Aron Kovacs


jpegPhoto

jpegPhoto
Elnevezés URI: nincs megadva
OID: 0.9.2342.19200300.100.1.60
Rövid leírás Kis méretű fotó a felhasználóról JPEG formátumban
Implementáció opcionális
Részletes leírás -
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa -

labeledUri

labeledUri
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.250.1.57
Rövid leírás Felhasználóhoz tartozó URI-k
Implementáció opcionális
Részletes leírás A felhasználó által megadott, vagy rá valamilyen formában jellemző URI-k (gyakran URL-ek) gyűjteménye, mint pl. a személyes honlapjának címe. Minden azonosítóhoz opcionálisan kapcsolható szöveges leírás.
Lehetséges értékek Az URL-t urlencode-olva kell tárolni (RFC 2079).
Értékek száma multi
Szintaktika Directory String
Adatgazda nem definiált
Példa


Felhasználó és az intézmény viszonyát leíró attribútumok

eduPersonScopedAffiliation

eduPersonScopedAffiliation
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonScopedAffiliation
OID: 1.3.6.1.4.1.5923.1.1.1.9
Rövid leírás Felhasználó és intézmény közti viszony leírása
Implementáció kötelező
Részletes leírás <viszony>@<scope>
  • <viszony>: a felhasználó és az intézmény közti viszony leírására az alábbi értékek választhatók
    • student: intézmény hallgatója
    • faculty: oktatási tevékenységet végez az intézményben
    • staff: nem oktatási tevékenységet végző alkalmazott (pl. a rendszergazda és a kertész is)
    • employee: alkalmazott (használata intézmények között nem javasolt)
    • member: azok a felhasználók, amelyek azáltal, hogy azonosította őket az IdP, rendelkeznek intézményhez kötődő általános jogosultságokkal. Jellemzően ide sorolhatók a student, faculty, staff viszonnyal rendelkezők.
    • affiliate: az intézmény azonosítja őket, de nem rendelkeznek általános jogosultságokkal
    • alum: öregdiák
    • library-walk-in: könyvtári tag
Megj: lehetséges, hogy a föderációban használható értékek körét a későbbiekben szűkíteni fogjuk
  • <scope>: helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll.

Lásd még: http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201310.html#eduPersonAffiliation

Egy lehetséges vizuális ábrázolás, azonban a halmazok pontos meghatározása az intézmény feladata.

Lehetséges értékek A következő értékek egyike: {student,faculty,staff,employee,member,affiliate,alum,library-walk-in}, valamint a scope
Értékek száma multi
Szintaktika Directory String
Adatgazda intézmény
Példa
  • Hallgatók: student@example.org;member@example.org
  • Oktatók: faculty@example.org;employee@example.org;member@example.org
  • Nem alkalmazott oktató-hallgatók: student@example.org;faculty@example.org;member@example.org


eduPersonEntitlement

eduPersonEntitlement
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonEntitlement
OID: 1.3.6.1.4.1.5923.1.1.1.7
Rövid leírás A felhasználó által jogosan használt erőforrás(ok)
Implementáció ajánlott
Részletes leírás Azon erőforrások listája, melyet a felhasználó használhat. Sok erőforrást minden felhasználó elérhet, néhányat csak korlátozott kör - ez utóbbi esetben válik fontossá ez az attribútum


Info.png Megjegyzés
Az eduPersonEntitlement attribútumnak csak azon értékeit szabad kiadni az SP-nek, amelyek rá vonatkoznak. Ennek meghatározása kézi adminisztráció esetén igen nehéz lehet, ezért erre célszerű valamilyen adminisztrációs felületet használni. (Sajnos jelenleg nem létezik ilyen alkalmazás.)
Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika Directory String
Adatgazda intézmény
Példa urn:geant:niif.hu:niif:entitlement:vhoadmin




schacHomeOrganizationType

schacHomeOrganizationType
Elnevezés URI: urn:mace:dir:attribute-def:schacHomeOrganizationType
OID: 1.3.6.1.4.1.25178.1.2.10
Rövid leírás Az intézmény jellege
Implementáció kötelező
Részletes leírás
  • university: Az Oktatási Minisztérium által elismert felsőoktatási intézmények (egyetemek és főiskolák)
  • nren: Nemzeti kutatási és felsőoktatási kutatói hálózat szolgáltatója
  • library: Könyvtárak
  • vho: Virtuális azonosító szervezet egyének föderációs azonosítása céljára
  • school: Általános és középiskolák
  • business: Ipari vagy kereskedelmi intézmények
  • other: Egyéb
  • test: Teszt felhasználóról van szó
Lehetséges értékek urn:schac:homeOrganizationType:hu:{university,nren,library,vho,school,business,other,test}
Értékek száma single
Szintaktika URN
Adatgazda intézmény
Példa -


ou

ou
Elnevezés URI: urn:mace:dir:attribute-def:ou
OID: 2.5.4.11
Rövid leírás Az intézményen belüli egység teljes neve (organizationalUnit)
Implementáció opcionális
Részletes leírás Azon egység (tanszék, intézet, könyvtár, stb) neve, amelyhez a felhasználó tartozik.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa Automatizálási és alkalmazott informatikai tanszék


eduPersonOrgUnitDN

eduPersonOrgUnitDN
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonOrgUnitDN
OID: 1.3.6.1.4.1.5923.1.1.1.4
Rövid leírás A felhasználóhoz tartozó szervezeti egység azonosítója
Implementáció opcionális
Részletes leírás A felhasználóhoz tartozó szervezeti egység (pl. tanszék, intézet, könyvtár, ...) intézményen belüli egyedi, esetleg hierarchikusan képzett azonosítója.

Amennyiben az adott felhasználó több egységhez is besorolható, ez az attribútum több értéket is tartalmazhat.

Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika DN
Adatgazda intézmény
Példa
  • ou=VIK,ou=Units,o=BME,c=hu
  • ou=AAIT,ou=VIK,ou=Units,o=BME,c=hu
  • ou=MIT,ou=VIK,ou=Units,o=BME,c=hu


eduPersonPrimaryOrgUnitDN

eduPersonPrimaryOrgUnitDN
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN
OID: 1.3.6.1.4.1.5923.1.1.1.8
Rövid leírás A felhasználóhoz hozzárendelhető elsődleges szervezeti egység azonosítója.
Implementáció opcionális
Részletes leírás Az #eduPersonOrgUnitDN-ben tárolt egység-azonosítók közül azon elem, amelyhez a felhasználó elsődlegesen köthető.
Lehetséges értékek Egy olyan azonosító, mely szerepel az #eduPersonOrgUnitDN értékei között.
Értékek száma single
Szintaktika DN
Adatgazda intézmény
Példa ou=AAIT,ou=VIK,ou=Units,o=BME,c=hu


Oktatásban használt attribútumok

niifEduPersonAttendedCourse

niifPersonAttendedCourse
Elnevezés URI: urn:geant:niif.hu:dir:attribute-def:niifEduPersonAttendedCourse
OID: 1.3.6.1.4.1.11914.0.1.164
Rövid leírás Felhasználó által hallgatott tárgy kódja
Implementáció opcionális
Részletes leírás Azon tantárgyak kódja, amelyet a felhasználó az adott félévben hallgat.

Oktatási intézmény esetén JAVASOLT az attribútumot implementálni és az intézményen belüli SP-k számára kiadni. Adatvédelmi szempontból JAVASOLT az értékeket úgy szűrni, hogy az SP csak a számára releváns tárgyak kódját kapja meg.

Lehetséges értékek A tanulmányi rendszerben meghatározott tantárgykódok
Értékek száma multi
Szintaktika Directory String
Adatgazda intézmény
Példa
  • VIMM1234
  • VIMA4321

niifEduPersonArchiveCourse

niifEduPersonArchiveCourse
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.11914.0.1.171
Rövid leírás A felhasználó által valaha hallgatott kurzusok
Implementáció opcionális
Részletes leírás Azon tantárgyak kódja, amelyet a felhasználó valaha hallgatott az adott intézményben.
Lehetséges értékek A tanulmányi rendszerben meghatározott tantárgykódok
Értékek száma multi
Szintaktika Directory String
Adatgazda intézmény
Példa -


niifEduPersonHeldCourse

niifEduPersonHeldCourse
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.11914.0.1.172
Rövid leírás A felhasználó által aktuálisan oktatott tárgyak
Implementáció opcionális
Részletes leírás Azon tantárgyak kódja, amelyet a felhasználó az adott félévben (esetleg előző félévben) oktatott.
Lehetséges értékek A tanulmányi rendszerben meghatározott tantárgykódok
Értékek száma multi
Szintaktika Directory String
Adatgazda intézmény
Példa -


niifEduPersonMajor

niifEduPersonMajor
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.11914.0.1.162
Rövid leírás A hallgató főszakja
Implementáció opcionális
Részletes leírás A hallgató főszakja - a [mab.hu ] oldalán található lista alapján
Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika Directory String
Adatgazda intézmény
Példa
  • műszaki informatikus mérnök
  • elméleti fizikus


niifEduPersonFaculty

niifEduPersonFaculty
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.11914.0.1.160
Rövid leírás Kar neve
Implementáció opcionális
Részletes leírás Teljes neve annak a karnak, amelyhez a hallgató tartozik
Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika Directory String
Adatgazda intézmény
Példa Villamosmérnöki és Informatikai Kar


niifEduPersonFacultyDN

niifEduPersonFacultyDN
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.11914.0.1.161
Rövid leírás A hallgató karának DN-je
Implementáció opcionális
Részletes leírás Annak a karnak a DN-je, amelyhez a hallgató tartozik. Ajánlott a kezdőpont alatt található ou=Units alá tenni az egyes karokat (lásd #eduPersonOrgUnitDN)
Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika DN
Adatgazda intézmény
Példa ou=VIK,ou=Units,o=BME,c=hu

niifEduPersonStudentCategory

niifEduPersonStudentCategory
Elnevezés URI: nincs megadva
OID: 1.3.6.1.4.1.11914.0.1.174
Rövid leírás Tanuló/hallgató képzési szintjének meghatározása
Implementáció opcionális
Részletes leírás A hallgató képzési szintjének pontosabb meghatározása (az eduPersonScopedAffiliation kiegészítése)
  • bachelor: bachelor képzésben részt vevő hallgató (javasolt affiliation: student,member)
  • master: master képzésben részt vevő hallgató (javasolt affiliation: student,member)
  • doctor: doktori képzésben részt vevő hallgató (javasolt affiliation: student,member)
  • exchange-student: vendéghallgató (javasolt affiliation: student,member)
  • qualifying-studies: előkészítős hallgató (javasolt affiliation: member)
  • open-university: nyílt egyetemi képzésben részt vevő hallgató (javasolt affiliation: affiliate)

Ha egy hallgató nem sorolható be egyik kategóriába sem (pl. nem bolognai rendszer szerint tanul), akkor az attribútum ne kapjon értéket!

Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika Directory String
Adatgazda intézmény
Példa -
A lap eredeti címe: „https://wiki.niif.hu/index.php?title=HREF_attribútum_specifikáció&oldid=4742