1 260
szerkesztés
Módosítások
→eduPersonScopedAffiliation: magyarázó oldal hivatkozása
== A föderációs attribútum specifikáció célja==A föderációban az IdP SAML attribútumokban ad meg adatokat a felhasználóról az SP-nek. Ahhoz, hogy a résztvevő felek közötti az adatokban hordozott információ átadást megkönnyítse. Az alábbiakon túl átadása pontos legyen, fontos, hogy a felek egymás között tetszőlegesen meghatározhatnak használt attribútumokat és ezeket szabadon használhatják. Az attribútum specifikáció segítségével azonban nincs szükség minden résztvevő között külön megállapodásraa két fél ugyanúgy értelmezze.
Az attribútumok pontos meghatározása az attribútumok sémájában található. A specifikációban az alábbi sémákat használtuk fel:
* ''person'', ''organizationalPerson'' (X.521)
* ''inetOrgPerson'' (RFC2798)
* ''eduPerson'' (http://middleware.internet2.edu/eduperson/)
* ''SCHAC'' (http://www.terena.org/activities/tf-emc2/schacreleases.html)
* ''niifPerson'', ''niifEduPerson'' ([[NIIFSchema]])
A fenti dokumentumokban definiált attribútumoknak a föderációban való ''értelmezését'' határozza meg az Attribútum Specifikáció. Ez néhány esetben valamivel szűkebb, mint az eredeti definíció, azért, hogy az információt az SP-k pontosabban értelmezhessék.
A specifikációban felsoroltakon túl az IdP-k tetszőleges attribútumot megvalósíthatnak és kiadhatnak ''bilaterális megállapodás'' alapján.
== Attribútumok használata ==
=== Meghatározások ===
* '''Implementáció''' (megvalósítás): egy IdP abban az esetben ''implementál'' egy attribútumot, ha az attribútumban hordozott információ a föderációs specifikációnak megfelelő szemantikai és formai követelmények szerint a rendelkezésére áll. Ez jelentheti azt, hogy a felhasználói adatbázisban a felhasználó bejegyzése tartalmazza ezt az attribútumot, de az attribútum más módon is előállhat (pl. statikusan vagy más attribútumokból dinamikusan generálva).Az implementáció részleteivel kapcsolatban a föderáció nem fogalmaz meg megkötést
* '''Attribútum kiadás''': az attribútum átadása néhány (vagy a föderációban található összes) SP-nek.
=== Implementációs szintek ===
* '''Kötelező''': az attribútumot kötelező az IdP-nek '''KÖTELEZŐ''' megvalósítania, azonban szabadon dönthet arról, hogy kiadja-eimplementálni. (Nem kötelező kiadnia. )* '''Ajánlott''': az attribútumot ajánlott az IdP-nek '''AJÁNLOTT''' megvalósítaniaimplementálni, de ez néhány intézménynél lehetetlen vagy nehézségekbe ütközhet* '''Opcionális''': az attribútumot az IdP-nek '''OPCIONÁLIS''' megvalósítaniaa saját döntése szerint megvalósíthatja.
:: Fontos kiemelni, hogy amennyiben egy IdP implementál egy opcionális attribútumot, azt '''a specifikáció szerint KÖTELEZŐ megtennie''', azaz követve a specifikáció szemantikai és szintaktikai előírásait.
=== SP attribútum-igények ===
:: pl. <code>eduPersonPrincipalName</code> olyan alkalmazásokhoz, amelyek nincsenek felkészítve átlátszatlan (opaque) azonosítók kezelésére
* '''Ajánlott''': az alkalmazás működését megkönnyíti az attribútum
:: pl. a <code>cn</code> attribútum átadásakor az alkalmazás nem kéri be a felhasználó teljes nevétregisztrációkor
=== Hibakezelés ===
|-
|eduPersonEntitlement
|-
|}
|URI=urn:mace:dir:attribute-def:eduPersonTargetedID
|OID=1.3.6.1.4.1.5923.1.1.1.10
|description='''Nem átlátszó''', '''célzott ''' azonosító, amely '''nem osztható ki újra'''|semantics=Lásd: https://spaceswiki.internet2shibboleth.edunet/confluence/display/SHIB2/NativeSPTargetedID , ill. a fenti megjegyzést az implementációs szinttel kapcsolatban.
Az SP a kapott értéket fel kell, hogy dolgozza, nem adhatja XML formátumban tovább az alkalmazásnak. A benne szereplő ún. qualifier-ek közül az IdP azonosítóját (<code>NameQualifier</code>) és természetesen magát az azonosítót ''kötelező'' szerepeltetni az alkalmazás számára átadott azonosítóban. Javasolt az egyes mezőket '!' karakterrel elválasztani egymástól.
Az IdP-nek biztosítania kell, hogy egy felhasználó számára kiosztott azonosító valóban perzisztens legyen, tehát gondoskodnia kell az attribútum-értékek biztos tárolásáról - például egy megfelelő mentési tervvel üzemeltetett relációs adatbázisban. Az eduPersonTargetedID '''nem osztható ki újra'''.
|implementation=mandatory
|syntax=Az attribútum értékének a SAML2 szabványban definiált NameID formátumúnak kell lennie; az azonosító (nem számítva az XML attribútumokat) legfeljebb 256 karakterből állhat.
|example=
Az IdP ilyen formában adja ki az azonosítót:
|URI=urn:mace:dir:attribute-def:eduPersonPrincipalName
|OID=1.3.6.1.4.1.5923.1.1.1.6
|description='''Állandó ''', '''nem célzott''', '''nem újra kiosztható''' egyedi azonosító
|implementation=mandatory
|semantics=
Ahol
* '''<egyedi_lokális_azonosító>''': tetszőleges állandó azonosító, amely az intézményen belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító ('''uid''') használata, azonban bármilyen más azonosító használható
* '''<scope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, melyet amely az IdP-t üzemeltető intézmény [[Scope|scope-ként]] használhattulajdonában áll.
'''Megjegyzés''': az '''eduPersonPrincipalName''' érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-mail címével. Intézményen belüli használata javasolt, intézményen kívül célszerű nem átlátszó, célzott azonosítót használni.
Az eduPersonPrincipalName a föderációban '''nem osztható ki újra'''.
|example=gipsz.jakab@example.org
}}
** ''faculty'': oktatási tevékenységet végez az intézményben
** ''staff'': nem oktatási tevékenységet végző alkalmazott (pl. a rendszergazda és a kertész is)
** ''employee'': alkalmazott(használata intézmények között nem javasolt)** ''member'': azok a felhasználók, amelyek azáltal, hogy azonosította őket az IdP, rendelkeznek intézményhez kötődő általános jogosultságokkal. Jellemzően ide sorolhatók a ''student'', ''faculty'', ''staff '' viszonnyal rendelkezők.
** ''affiliate'': az intézmény azonosítja őket, de nem rendelkeznek általános jogosultságokkal
** ''alum'': öregdiák
** ''library-walk-in'': könyvtári tag
{{NOTE | lehetséges, hogy a föderációban használható értékek körét a későbbiekben szűkíteni fogjuk}}
* '''<scope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, melyet amely az IdP-t üzemeltető intézmény [[Scope|scope-ként]] használhattulajdonában áll.
Lásd még: http://middleware.internet2.edu/eduperson/docs/internet2-mace-dir-eduperson-200806.html#eduPersonAffiliation
|assurer=inst
|values=A következő értékek egyike: {student,faculty,staff,employee,member,affiliate,alum,library-walk-in}, valamint a [[Scope|scope]]
|URI=urn:mace:dir:attribute-def:eduPersonOrgUnitDN
|OID=1.3.6.1.4.1.5923.1.1.1.4
|implementation=recommendedoptional
|description=A felhasználóhoz tartozó szervezeti egység azonosítója
|semantics=A felhasználóhoz tartozó szervezeti egység (pl. tanszék, intézet, könyvtár, ...) intézményen belüli egyedi, esetleg hierarchikusan képzett azonosítója.
==== eduPersonPrimaryOrgUnitDN ====
{{AttributeDef|name=eduPersonOrgUnitDNeduPersonPrimaryOrgUnitDN
|URI=urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN
|OID=1.3.6.1.4.1.5923.1.1.1.8
