1 260
szerkesztés
Módosítások
→Attributes: autosave before translation
Persistent identifiers can be transferred in SAML attributes or in NameID of a SAML Assertion. Certain SP implementations (such as Shibboleth 2.x) can hide the details of the transfer, and can provide a persistent identifier in REMOTE_USER header.
=== List of attributes ===
In this specification, only mandatory and recommended attributes are specified. The [[HREFAttributeSpec|Hungarian Attribute Specification]] contains descriptions of the optional attributes as well. If you have any questions regarding the optional attributes, please contact the Federation Operator.
==== eduPersonTargetedID ====
{{AttributeDef|name=eduPersonTargetedID
|URI=urn:mace:dir:attribute-def:eduPersonTargetedID
|OID=1.3.6.1.4.1.5923.1.1.1.10
|description='''Nem átlátszó''', '''célzott''' azonosító, amely '''nem osztható ki újra'''
|semantics=Lásd: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTargetedID , ill. a fenti megjegyzést az implementációs szinttel kapcsolatban.
Az SP a kapott értéket fel kell, hogy dolgozza, nem adhatja XML formátumban tovább az alkalmazásnak. A benne szereplő ún. qualifier-ek közül az IdP azonosítóját (<code>NameQualifier</code>) és természetesen magát az azonosítót ''kötelező'' szerepeltetni az alkalmazás számára átadott azonosítóban. Javasolt az egyes mezőket '!' karakterrel elválasztani egymástól.
Az IdP-nek biztosítania kell, hogy egy felhasználó számára kiosztott azonosító valóban perzisztens legyen, tehát gondoskodnia kell az attribútum-értékek biztos tárolásáról - például egy megfelelő mentési tervvel üzemeltetett relációs adatbázisban.
Az eduPersonTargetedID '''nem osztható ki újra'''.
|implementation=mandatory
|syntax=Az attribútum értékének a SAML2 szabványban definiált NameID formátumúnak kell lennie; az azonosító (nem számítva az XML attribútumokat) legfeljebb 256 karakterből állhat.
|example=
Az IdP ilyen formában adja ki az azonosítót:
<saml2:NameID xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
NameQualifier="https://idp.example.org/idp/shibboleth"
SPNameQualifier="https://sp.example.org/shibboleth">
84e411ea-7daa-4a57-bbf6-b5cc52981b73
</saml2:NameID>
Az alkalmazás ilyen formában kapja meg az azonosítót:
https://idp.example.org/idp/shibboleth!https://sp.example.org/shibboleth!84e411ea-7daa-4a57-bbf6-b5cc52981b73
}}
==== eduPersonPrincipalName ====
{{AttributeDef|name=eduPersonPrincipalName
|URI=urn:mace:dir:attribute-def:eduPersonPrincipalName
|OID=1.3.6.1.4.1.5923.1.1.1.6
|description='''Állandó''', '''nem célzott''', '''nem újra kiosztható''' egyedi azonosító
|implementation=mandatory
|semantics=
Formátum: <egyedi_lokális_azonosító>@<scope>
Ahol
* '''<egyedi_lokális_azonosító>''': tetszőleges állandó azonosító, amely az intézményen belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító ('''uid''') használata, azonban bármilyen más azonosító használható
* '''<scope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll.
'''Megjegyzés''': az '''eduPersonPrincipalName''' érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-mail címével. Intézményen belüli használata javasolt, intézményen kívül célszerű nem átlátszó, célzott azonosítót használni.
Az eduPersonPrincipalName a föderációban '''nem osztható ki újra'''.
|example=gipsz.jakab@example.org
}}
==== displayName ====
{{AttributeDef|name=displayName
|URI=urn:mace:dir:attribute-def:displayname
|OID=2.16.840.1.113730.3.1.241
|implementation=recommended
|description=A felhasználó megjelenítendő neve
|semantics=A felhasználó neve abban a formában, ahogy a felhasználó, vagy a felhasználó intézménye meg kívánja jeleníteni.
|example=Gipsz Jakab Aladár
}}
==== mail ====
{{AttributeDef|name=mail
|URI=urn:mace:dir:attribute-def:mail
|OID=0.9.2342.19200300.100.1.3
|implementation=recommended
|numOfValues=multi
|description=A felhasználó email címe
|values=Létező e-mail cím
|syntax=Lásd: [http://www.faqs.org/rfcs/rfc2822.html RFC 2822]
|example=gipsz.jakab@example.org
|semantics=A felhasználó értesítési e-mail címe. Az így átadott email címről az intézmény biztosítja, hogy
* azt az intézmény biztosítja a felhasználó részére (pl neptunkod@intemzeny.hu)
* vagy az intézmény a cím rögzítésekor ellenőrizte, hogy az a felhasználó tulajdonában van (pl egy megerősítő levél kiküldésével).
Az attribútumban ellenőrizetlen, felhasználó által megadott email címet átadni tilos.
}}
==== eduPersonScopedAffiliation ====
{{AttributeDef|name=eduPersonScopedAffiliation
|URI=urn:mace:dir:attribute-def:eduPersonScopedAffiliation
|OID=1.3.6.1.4.1.5923.1.1.1.9
|description=Felhasználó és intézmény közti viszony leírása
|implementation=mandatory
|semantics=
'''<viszony>@<scope>'''
* '''<viszony>''': a felhasználó és az intézmény közti viszony leírására az alábbi értékek választhatók
** ''student'': intézmény hallgatója
** ''faculty'': oktatási tevékenységet végez az intézményben
** ''staff'': nem oktatási tevékenységet végző alkalmazott (pl. a rendszergazda és a kertész is)
** ''employee'': alkalmazott (használata intézmények között nem javasolt)
** ''member'': azok a felhasználók, amelyek azáltal, hogy azonosította őket az IdP, rendelkeznek intézményhez kötődő általános jogosultságokkal. Jellemzően ide sorolhatók a ''student'', ''faculty'', ''staff'' viszonnyal rendelkezők.
** ''affiliate'': az intézmény azonosítja őket, de nem rendelkeznek általános jogosultságokkal
** ''alum'': öregdiák
** ''library-walk-in'': könyvtári tag
{{NOTE | lehetséges, hogy a föderációban használható értékek körét a későbbiekben szűkíteni fogjuk}}
* '''<scope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll.
Lásd még: http://middleware.internet2.edu/eduperson/docs/internet2-mace-dir-eduperson-200806.html#eduPersonAffiliation
[[EduPersonAffiliation|Egy lehetséges vizuális ábrázolás]], azonban a halmazok pontos meghatározása az intézmény feladata.
|assurer=inst
|values=A következő értékek egyike: {student,faculty,staff,employee,member,affiliate,alum,library-walk-in}, valamint a [[Scope|scope]]
|example=
* Hallgatók: ''student@example.org;member@example.org''
* Oktatók: ''faculty@example.org;employee@example.org;member@example.org''
* Nem alkalmazott oktató-hallgatók: ''student@example.org;faculty@example.org;member@example.org''
|numOfValues=multi
}}
==== eduPersonEntitlement ====
{{AttributeDef|name=eduPersonEntitlement
|URI=urn:mace:dir:attribute-def:eduPersonEntitlement
|OID=1.3.6.1.4.1.5923.1.1.1.7
|implementation=recommended
|semantics=Azon erőforrások listája, melyet a felhasználó használhat. Sok erőforrást minden felhasználó elérhet, néhányat csak korlátozott kör - ez utóbbi esetben válik fontossá ez az attribútum
{{INFO|Az eduPersonEntitlement attribútumnak csak azon értékeit szabad kiadni az SP-nek, amelyek rá vonatkoznak. Ennek meghatározása kézi adminisztráció esetén igen nehéz lehet, ezért erre célszerű valamilyen adminisztrációs felületet használni. (Sajnos jelenleg nem létezik ilyen alkalmazás.)}}
|description=A felhasználó által jogosan használt erőforrás(ok)
|assurer=inst
|example=urn:geant:niif.hu:niif:entitlement:vhoadmin
|numOfValues=multi
}}
==== schacHomeOrganizationType ====
{{AttributeDef|name=schacHomeOrganizationType
|URI=urn:mace:dir:attribute-def:schacHomeOrganizationType
|OID=1.3.6.1.4.1.25178.1.2.10
|values=urn:schac:homeOrganizationType:hu:{university,nren,library,vho,school,business,other,test}
|implementation=mandatory
|description=Az intézmény jellege
|semantics=
* '''university''': Az Oktatási Minisztérium által elismert felsőoktatási intézmények (egyetemek és főiskolák)
* '''nren''': Nemzeti kutatási és felsőoktatási kutatói hálózat szolgáltatója
* '''library''': Könyvtárak
* '''vho''': Virtuális azonosító szervezet egyének föderációs azonosítása céljára
* '''school''': Általános és középiskolák
* '''business''': Ipari vagy kereskedelmi intézmények
* '''other''': Egyéb
* '''test''': Teszt felhasználóról van szó
|numOfValues=single
|assurer=inst
|syntax=URN
}}
