107
szerkesztés
Módosítások
a
{{TODO== A specifikáció célja ==A föderációban az IdP SAML attribútumokban ad meg adatokat a felhasználóról az SP-nek. Ahhoz, hogy az adatokban hordozott információ átadása pontos legyen, fontos, hogy a használt attribútumokat a két fél ugyanúgy értelmezze. Az attribútumok pontos meghatározása az attribútumok sémájában található. A specifikációban az alábbi sémákat használtuk fel:* ''person'', ''organizationalPerson'' (X.521)* ''inetOrgPerson'' (RFC2798)* ''eduPerson'' (http://middleware.internet2.edu/eduperson/)* ''SCHAC'' (http://www.terena.org/activities/tf-emc2/schacreleases.html)* ''niifPerson'', ''niifEduPerson'' ([[NIIFSchema]]) A fenti dokumentumokban definiált attribútumoknak a föderációban való ''értelmezését'' határozza meg az Attribútum Specifikáció. Ez néhány esetben valamivel szűkebb, mint az eredeti definíció, azért, hogy az információt az SP-k pontosabban értelmezhessék. A specifikációban felsoroltakon túl az IdP-k tetszőleges attribútumot megvalósíthatnak és kiadhatnak ''bilaterális megállapodás'' alapján.== Attribútumok használata ===== Meghatározások ===* '''Implementáció''' (megvalósítás): egy IdP abban az esetben ''implementál'' egy attribútumot, ha az attribútumban hordozott információ a föderációs specifikációnak megfelelő szemantikai és formai követelmények szerint a rendelkezésére áll. Ez jelentheti azt, hogy a felhasználói adatbázisban a felhasználó bejegyzése tartalmazza ezt az attribútumot, de az attribútum más módon is előállhat (pl. statikusan vagy más attribútumokból dinamikusan generálva). Az implementáció részleteivel kapcsolatban a föderáció nem fogalmaz meg megkötést* '''Attribútum kiadás''': az attribútum átadása néhány (vagy a föderációban található összes) SP-nek. === Implementációs szintek ===* '''Kötelező''': az attribútumot kötelező az IdP-nek implementálni. (Nem kötelező kiadnia.)* '''Ajánlott''': az attribútumot ajánlott az IdP-nek implementálni, de ez néhány intézménynél lehetetlen vagy nehézségekbe ütközhet* '''Opcionális''': az attribútumot az IdP a saját döntése szerint megvalósíthatja.:: Fontos kiemelni, hogy amennyiben egy IdP implementál egy opcionális attribútumot, azt '''a specifikáció szerint KÖTELEZŐ megtennie''', azaz követve a specifikáció szemantikai és szintaktikai előírásait. === SP attribútum-igények ===Az SP-k a [[Resource Registry]]-ben, és ezen keresztül a [[Metadata|A szócikk még metadata]] állományban jelezhetik, hogy egy attribútum számukra megkövetelt (required) vagy ajánlott (desired).* '''Megkövetelt''': az alkalmazás működéséhez elengedhetetlen az attribútum:: pl. <code>eduPersonPrincipalName</code> olyan alkalmazásokhoz, amelyek nincsenek felkészítve átlátszatlan (opaque) azonosítók kezelésére* '''Ajánlott''': az alkalmazás működését megkönnyíti az attribútum:: pl. a <code>cn</code> attribútum átadásakor az alkalmazás nem kéri be a felhasználó teljes nevét regisztrációkor === Hibakezelés ===Abban az esetben, ha egy IdP nem adja ki egy vagy több az SP számára elengedhetetlen attribútumot, az SP-nek KÖTELEZŐ a felhasználónak hibaüzenetet adnia. (Ugyanis egy SP csak vázlat!}}abban az esetben jelölhet meg egy attribútumot ''megkövetelt attribútumnak'', ha ez az alkalmazás működéséhez elengedhetetlen, minden egyéb esetben ''ajánlott''-nak kell megjelölnie.) Azonban ez a hibaüzenet lehetséges, hogy a felhasználó számára nehezen értelmezhető (pl: ''Authorization Required''). Ezért az IdP-k számára AJÁNLOTT kiadni azokat az attribútumokat, amelyeket az SP-k ''megkövetelt''-nek jelölnek meg.
<!--
Jo lenne, de sajna még nincs implementálva sehol....
{{AttributeDef|name=preferredLanguageHa egy hallgató nem sorolható be egyik kategóriába sem (pl. nem bolognai rendszer szerint tanul), akkor az attribútum ne kapjon értéket!
[[Kategória: Csonkok]]
„HREF attribútum specifikáció” levédve: FedOp felelősség ([Szerkesztés=csak adminisztrátoroknak engedélyezett] (határozatlan) [Átnevezés=csak adminisztrátoroknak engedélyezett] (határozatlan))
== Attribútumok listája ==
=== Lista ===
==== Kötelező attribútumok ====
{| {{prettytable}}
|eduPersonTargetedID
|-
|eduPersonScopedAffiliation
|-
|schacHomeOrganizationType
|-
|eduPersonPrincipalName
|}
==== Ajánlott attribútumok ====
{| {{prettytable}}
|displayName
|-
|mail
|-
|eduPersonEntitlement
|-
|}
=== Állandó felhasználói azonosítók ===
Bizonyos alkalmazások esetén szükséges alkalmazás-specifikus adatokat is tárolni. Ilyen példa lehet egy webes naptárnál a felhasználóhoz kötődő bejegyzések, vagy egy wikinél a felhasználó szerkesztései. Ezeket az alkalmazások valamilyen helyi adatbázisban tárolják, a kulcs a felhasználó és az adatbázis bejegyzés között pedig egy '''állandó azonosító'''.
Az állandó azonosítók lehetnek:
* '''statikusak''': a felhasználó létrehozásakor megadott adattal megegyezők
* '''számítottak''': a felhasználó valamelyik (vagy több) attribútumából algoritmikusan - általában hash eljárással - generáltak
* '''tároltak''': ezek általában olyan azonosítók, amelyet az IdP egy adatbázisban elsődleges kulcsként használ, azaz
** a felhasználói attribútumok változása esetén is állandó marad
** egyediségük biztosított
Az azonosítók az alábbi tulajdonságokkal rendelkezhetnek:
* '''állandóság''': az IdP-nek gondoskodnia kell arról, hogy a kiosztott azonosító a felhasználó intézménynél töltött életciklusa során állandó legyen.
:: Amennyiben egy állandó(nak szánt) azonosító mégis megváltozik, az nagyon nehéz helyzetbe hozhatja mind a felhasználót, mind az alkalmazás üzemeltetőt. Erre megoldás lehet a SAML2 NameID Mapping, azonban ezt jelenleg a föderációban használt szoftverek csak részlegesen vagy egyáltalán nem támogatják.
* '''nem osztható ki újra''' (''non-reassignable''): az IdP-nek gondoskodnia kell arról, hogy egy felhasználó azonosítóját később nem osztja ki másik felhasználónak.
:: Ennek algoritmikus biztosítása bizonyos esetekben nehézségekbe ütközhet (pl. hash ütközések, illetve bizonyos IdP-k kézzel osztanak azonosítókat), ezért jelen specifikáció csak azt követeli meg, hogy azonosító a gyakorlatban ne tegye lehetővé, hogy az alkalmazás oldalán a felhasználók összekeveredjenek. Különböző IdP-ktől jövő felhasználók azonosítói abban az esetben nem ütközhetnek, ha az azonosítónak része valamilyen, az IdP-re jellemző adat ([[Scope|scope]] vagy [[entityID]]).
* '''nem átlátszó''' (''opaque''): az ilyen azonosítók nem jellemzők a felhasználóra, az értékéből nem lehet következtetni a felhasználó személyére (pl. e-mail címére)
:: Nem minden azonosító rendelkezik ilyen tulajdonsággal, azonban intézmények között adatvédelmi szempontból kifejezetten kívánatos, hogy egy azonosító ne legyen jellemző a felhasználó személyére. A nem átlátszó azonosítót nem célszerű a felhasználók felé megjeleníteni.
* '''célzott''' (''targeted''): az ilyen azonosítók minden SP-nél különbözőek, s így az SP-k - az IdP közreműködése nélkül - nem képesek profilt készíteni egy felhasználóról, ami adatvédelmi szempontból kívánatos.
:: Nem minden azonosító rendelkezik ilyen tulajdonsággal.
Az állandó azonosító kiadható attribútumként, illetve a SAML Assertion NameID mezőjében. Bizonyos SP implementációk (pl. a Shibboleth 2.x) képesek arra, hogy az alkalmazás részére elfedjék azt, hogy az azonosító pontosan milyen attribútumban vagy NameID-ben érkezett, pl. úgy, hogy az azonosítót a REMOTE_USER változóban adják ki az alkalmazás számára.
====NameID formátumok - melyiket válasszam?====
A föderáció elvárja, hogy az IdP-k támogassák mind a tranziens NameID formátumot, mind a célzott, átlátszatlan azonosítót (melyek lehetnek tároltak vagy számítottak). A tárolt azonosítót célszerű SAML2 perszistens NameID-ként kiadni, a számított azonosító azonban csak az eduPersonTargetedID attribútumban adható ki, mivel nem rendelkezik a perszisztens NameID szemantikájával.
A Shibboleth IdP implementáció esetén a számított azonosítókról a tárolt azonosítókra való áttérés nem változtatja meg a kiadott azonosítókat, ezért az SP-k számára ez az áttérés transzparens.
Ha SP-t üzemeltetünk, akkor célszerű már az üzemeltetés kezdetén eldönteni, hogy melyik formátum mellett tesszük le a voksunkat (ez elsősorban az SP által védett alkalmazás képességeitől függ), mert menet közben átállni körülményes, sok energiát igényel. A problémára reméljük könnyebb lesz a megfelelő választ megtalálni az alábbi kérdés átgondolásával: '''Szükséges-e az SP számára, hogy egy-egy felhasználójához tartozzon egy-egy állandó azonosító?'''
1. Ha nem, akkor egyértelmű a választás: tranziens formátumot kell használni.
2. Ha igen, és nem szükséges, hogy az állandó azonosító a felhasználóra jellemző legyen, ill. az SP mögötti alkalmazás felkészült ilyen azonosító fogadására ( az alkalmazás szempontjából mindegy, hogy milyen úton, tehát eduPersonTargetedID attribútumként, vagy perzisztens NameID-ként érkezik az érték az SP-hez ), akkor az SP-nek ''Nem kell meghatároznia, hogy milyen NameID formátumot támogat'', hiszen ezesetben
: a) Ha az IdP nem támogatja a tárolt azonosítókat, akkor a tranziens NameID mellé az eduPersonTargetedID attribútumban ki fogja adni a számított (és célzott) azonosítót.
: b) Ha az IdP támogatja a tárolt azonosítókat, akkor azt perzisztens NameID-ként fogja kiadni (illetve, ha az SP kéri az eduPersonTargetedID attribútumot, az IdP képes ugyanezt a tárolt értéket ilyen formában is kiadni).
: Az alkalmazáshoz mindkét esetben ugyanaz az érték jut el, mint felhasználói azonosító.
3. Ugyanaz, mint a 2., kivéve, hogy magasabb szintű felhasználókezelést (például SAML NameID menedzsmentet) is szeretne az SP használni, akkor kizárólag perzisztens NameID-t kell kérnie. A HREF föderáció jelenleg nem rendelkezik a magasabb szintű SAML protokollokról, ezért ezek használata kizárólag az adott SP és IdP közötti megállapodáson alapulhat.
4. Ha szükséges, hogy az állandó azonosító a felhasználóra jellemző legyen, őt egyértelműen azonosítsa, akkor a választás tranziens NameID, amely mellé meg kell követelni az eduPersonPrincipalName kiadását.
A HREF föderációban az IdP-k részéről elvárt, hogy a fenti 1-2. megoldásokat támogassák. A 3-4. esetében minden további nélkül előfordulhat, hogy az IdP és SP közötti kommunikáció hibát jelez, mert valamelyik fél nem támogatja a másik fél által megkövetelt / biztosított azonosító formátumot...
{{INFO| Egy SP a [[Resource Registry]]-ben jelezheti, hogy milyen NameID formátumokat támogat. Ha kizárólag perzisztens NameID formátumot támogat, akkor vagy kap az IdP-től ilyet, vagy hiba lép fel a válasz feldolgozása során.}}
==== eduPersonTargetedID ====
{{AttributeDef|name=eduPersonTargetedID
|URI=urn:mace:dir:attribute-def:eduPersonTargetedID
|OID=1.3.6.1.4.1.5923.1.1.1.10
|description='''Nem átlátszó''', '''célzott''' azonosító, amely '''nem osztható ki újra'''
|semantics=Lásd: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTargetedID , ill. a fenti megjegyzést az implementációs szinttel kapcsolatban.
Az SP a kapott értéket fel kell, hogy dolgozza, nem adhatja XML formátumban tovább az alkalmazásnak. A benne szereplő ún. qualifier-ek közül az IdP azonosítóját (<code>NameQualifier</code>) és természetesen magát az azonosítót ''kötelező'' szerepeltetni az alkalmazás számára átadott azonosítóban. Javasolt az egyes mezőket '!' karakterrel elválasztani egymástól.
Az IdP-nek biztosítania kell, hogy egy felhasználó számára kiosztott azonosító valóban perzisztens legyen, tehát gondoskodnia kell az attribútum-értékek biztos tárolásáról - például egy megfelelő mentési tervvel üzemeltetett relációs adatbázisban.
Az eduPersonTargetedID '''nem osztható ki újra'''.
|implementation=mandatory
|syntax=Az attribútum értékének a SAML2 szabványban definiált NameID formátumúnak kell lennie; az azonosító (nem számítva az XML attribútumokat) legfeljebb 256 karakterből állhat.
|example=
Az IdP ilyen formában adja ki az azonosítót:
<saml2:NameID xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
NameQualifier="https://idp.example.org/idp/shibboleth"
SPNameQualifier="https://sp.example.org/shibboleth">
84e411ea-7daa-4a57-bbf6-b5cc52981b73
</saml2:NameID>
Az alkalmazás ilyen formában kapja meg az azonosítót:
https://idp.example.org/idp/shibboleth!https://sp.example.org/shibboleth!84e411ea-7daa-4a57-bbf6-b5cc52981b73
}}
==== eduPersonPrincipalName ====
{{AttributeDef|name=eduPersonPrincipalName
|URI=urn:mace:dir:attribute-def:eduPersonPrincipalName
|OID=1.3.6.1.4.1.5923.1.1.1.6
|description='''Állandó ''', '''nem célzott''', '''nem újra kiosztható''' egyedi azonosító|implementation=recommendedmandatory|assurer=institution
|semantics=
Formátum: <egyedi_lokális_azonosító>@<internet_domainscope>
Ahol
* '''<egyedi_lokális_azonosító>''': tetszőleges állandó azonosító, amely az intézményen belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító ('''uid''') használata, azonban bármilyen más azonosító használható
* '''<internet_domainscope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény bejegyzett DNS domain neve. Kötelezően megegyezik a '''homeOrganization''' attribútumban található értékkeltulajdonában áll.
'''Megjegyzés''': az '''eduPersonPrincipalName''' érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-mail címével. Intézményen belüli használata javasolt, intézményen kívül célszerű nem átlátszó, célzott azonosítót használni. Az eduPersonPrincipalName a föderációban '''nem osztható ki újra'''. Bizonyos alkalmazások nem támogatják a különleges karaktereket az azonosítókban, ezért a föderációban az eduPersonPrincipalName kizárólag alfanumerikus karaktereket, pont ('.'), kötőjel ('-') és alulvonás ('_') karaktereket tartalmazhat. |example=1234gipsz.jakab@domainexample.huorg
}}
==== niifPersonOrgID ====
{{AttributeDef|name=niifPersonOrgID
|URI=urn:mace:dir:attribute-def:eduPersonPrincipalName
|OID=1.3.6.1.4.1.11914.0.1.154
|description=Állandó egyedi azonosító intézményen belüli, ill. e-learning használatra
|implementation=optional
|semantics=
Bizonyos esetekben adatvédelmi szempontok miatt szükség lehet arra, hogy a felhasználó intézményen belüli azonosítója (pl. Neptun kódja) és az egyéb alkalmazásokban használt <code>uid</code> különböző legyen.
Ezen attribútum intézmények közötti átadása csak abban az esetben javasolt, ha e-learning rendszerek miatt meg kell osztani a tanulmányi azonosítót.
}}
==== schacPersonalUniqueCode ====
{{AttributeDef|name=schacPersonalUniqueCode
|OID=1.3.6.1.4.1.25178.1.2.14
|description=Állandó egyedi azonosító interföderációs környezetben való használatra
|example=<code>urn:schac:personalUniqueCode:hu:bme.hu:Neptun:gmx3f0</code>
|implementation=optional
|numOfValues=multi
}}
=== Felhasználói tulajdonságokat leíró attribútumok ===
==== sn ====
{{AttributeDef|name=sn
|URI=urn:mace:dir:attribute-def:sn
|OID=2.5.4.4
|implementation=optional
|description=A felhasználó vezetékneve
|semantics=A felhasználó vezetékneve. Amennyiben több vezetékneve van a felhasználónak, akkor ezeket egyetlen értékben kell tárolni.
|example=
* Gipsz
* Gipszné Kiss
}}
==== givenName ====
{{AttributeDef|name=givenName
|implementation=optional
|OID=2.5.4.42
|URI=urn:mace:dir:attribute-def:givenName
|description=A felhasználó keresztneve
|semantics=Amennyiben több keresztneve van a felhasználónak, ezeket egyetlen értékben kell tárolni.
|example=
* Jakab
* Mária Lujza
}}
==== displayName ====
{{AttributeDef|name=displayName
|URI=urn:mace:dir:attribute-def:displayname
|OID=2.16.840.1.113730.3.1.241
|implementation=recommended
|description=A felhasználó megjelenítendő neve
|semantics=A felhasználó neve abban a formában, ahogy a felhasználó, vagy a felhasználó intézménye meg kívánja jeleníteni.
|example=Gipsz Jakab Aladár
}}
==== mail ====
{{AttributeDef|name=mail
|URI=urn:mace:dir:attribute-def:mail
|OID=0.9.2342.19200300.100.1.3
|implementation=recommended
|numOfValues=multi
|description=A felhasználó email címe
|values=Létező e-mail cím
|syntax=Lásd: [http://www.faqs.org/rfcs/rfc2822.html RFC 2822]
|example=gipsz.jakab@example.org
|semantics=A felhasználó értesítési e-mail címe. Az így átadott email címről az intézmény biztosítja, hogy
* azt az intézmény biztosítja a felhasználó részére (pl neptunkod@intemzeny.hu)
* vagy az intézmény a cím rögzítésekor ellenőrizte, hogy az a felhasználó tulajdonában van (pl egy megerősítő levél kiküldésével).
Az attribútumban ellenőrizetlen, felhasználó által megadott email címet átadni tilos.
}}
==== preferredLanguage ====
{{AttributeDef|name=preferredLanguage
|OID=2.16.840.1.113730.3.1.39
|URI=urn:mace:dir:attribute-def:preferredLanguage
|implementation=optional
|values=RFC 2068 Language Tags szekcióban meghatározott formátumú nyelvkódok
|example=hu
|description=Előnyben részesített nyelv
|semantics=A felhasználó által elsődlegesen használni kívánt, általa előnyben részesített nyelv
}}
==== schacDateOfBirth ====
{{AttributeDef|name=schacDateOfBirth
|OID=1.3.6.1.4.1.25178.1.2.3
|description=A felhasználó születési dátuma
|implementation=optional
|example=19700101
|values=YYYYMMDD (RFC 3339 'full-date') formátumú dátum
}}
==== schacYearOfBirth ====
{{AttributeDef|name=schacYearOfBirth
|OID=1.3.6.1.4.1.25178.1.0.2.3
|description=A felhasználó születési éve (amennyiben csak az évre van szükség, egyébként ajánlott a [[#schacDateOfBirth | schacDateOfBirth]] használata)
|implementation=optional
|values=YYYY formátumú év
|example=1970
}}
==== schacPersonalTitle ====
{{AttributeDef|name=schacPersonalTitle
|OID=1.3.6.1.4.1.25178.1.2.8
|implementation=optional
|description=A felhasználó személyes megszólítása.
|semantics=A felhasználó nevéhez kapcsolódó megszólítás, mely a teljes név elé fűzhető. A címtárban tárolható a [[NIIFSchema#niifPersonPrefix|niifPersonPrefix]] attribútumban is.
|example=
* Dr.
* Prof.
}}
==== niifPersonMothersName ====
{{AttributeDef|name=niifPersonMothersName
|OID=1.3.6.1.4.1.11914.0.1.157
|implementation=optional
|description=Felhasználó anyja neve
|example=Kőkori Vilma
|semantics=A felhasználó anyjának születési neve a felhasználó hivatalos irataiban.
}}
==== niifPersonResidentalAddress ====
{{AttributeDef|name=niifPersonResidentalAddress
|OID=1.3.6.1.4.1.11914.0.1.159
|description=A felhasználó állandó lakcíme
|implementation=optional
|example=1111 Budapest, Villányi út 155.
}}
==== homePostalAddress ====
{{AttributeDef|name=homePostalAddress
|OID=0.9.2342.19200300.100.1.39
|description=A felhasználó ideiglenes lakcíme
|numOfValues=multi
|implementation=optional
|example=1111 Budapest, Villányi út 155.
}}
==== telephoneNumber ====
{{AttributeDef|name=telephoneNumber
|OID=2.5.4.20
|description=A felhasználó vezetékes telefonszáma
|values=A telefonszámot az [https://www.comnap.aq/interoperability/ITU-T-REC-E.123-2001-02.pdf ITU-T E.123 szabvány] szerint kell tárolni. A melléket a <code>/</code> jellel elválasztva jelölhető.
|numOfValues=multi
|implementation=optional
|example=
* +36 1 123 1234
* +36 1 123 1234 / 102
}}
==== mobile ====
{{AttributeDef|name=mobile
|OID=0.9.2342.19200300.100.1.41
|description=A felhasználó mobilszáma
|values= A telefonszámot az [https://www.comnap.aq/interoperability/ITU-T-REC-E.123-2001-02.pdf ITU-T E.123 szabvány] szerint kell tárolni.
|numOfValues=multi
|example= +36 30 123 1234
|implementation=optional
}}
==== eduPersonNickName ====
{{AttributeDef|name=eduPersonNickName
|OID=1.3.6.1.4.1.5923.1.1.1.2
|description=A felhasználó beceneve
|implementation=optional
|assurer=user
|example=
*gipszj
*the.man.who.was.bored.to.death.by.some.american.smartguys
|semantics=Az a becenév, amelyet a felhasználó általában használ (pl. online fórumokon). Nem egyedi, a hossza és a tartalma sem kötött, nem állandó, ezért az alkalmazásnak mindenképpen ellenőriznie kell, mielőtt - esetleg - lokális felhasználónévként figyelembe veszi.
}}
==== cn ====
{{AttributeDef|name=cn
|OID=2.5.4.3
|description=A felhasználó teljes neve
|semantics=A felhasználó vezetéknevének és keresztnevének valamilyen módon történő, szóközzel elválasztott összefűzése. Használata intézményenként és országonként eltérő. Jellemző, hogy több értékben különböző módokon előállított értékeket is tartalmaz.
'''Helyette a [[#displayName|displayName]] használata javasolt.'''
|implementation=optional
|numOfValues=multi
|example=
* Gipsz Jakab
* Kovács Áron;Kovacs Aron;Aron Kovacs
}}
==== jpegPhoto ====
{{AttributeDef|name=jpegPhoto
|OID=0.9.2342.19200300.100.1.60
|implementation=optional
|description=Kis méretű fotó a felhasználóról JPEG formátumban
|sematics=
* Maximális méret: 320x320 pixel, 32 kB (???)
}}
==== labeledUri ====
{{AttributeDef|name=labeledUri
|OID=1.3.6.1.4.1.250.1.57
|description=Felhasználóhoz tartozó URI-k
|semantics=A felhasználó által megadott, vagy rá valamilyen formában jellemző URI-k (gyakran URL-ek) gyűjteménye, mint pl. a személyes honlapjának címe. Minden azonosítóhoz opcionálisan kapcsolható szöveges leírás.
|values=Az URL-t urlencode-olva kell tárolni (RFC 2079).
|implementation=optional
|numOfValues=multi
|example=
*http://example.com/%7Euser/foo Foo page
*ftp://ftp.example.com
}}
=== Felhasználó és az intézmény viszonyát leíró attribútumok ===
==== eduPersonScopedAffiliation ====
{{AttributeDef|name=eduPersonScopedAffiliation
|URI=urn:mace:dir:attribute-def:eduPersonScopedAffiliation
|OID=1.3.6.1.4.1.5923.1.1.1.9
|description=Felhasználó viszonya az intézményhez (scope-os változat)és intézmény közti viszony leírása
|implementation=mandatory
|semantics=
'''<viszony>@<internet_domainscope>''' * '''<viszony>''': a felhasználó és az intézmény közti viszony leírására az alábbi értékek választhatók** ''student'': intézmény hallgatója** ''faculty'': oktatási tevékenységet végez az intézményben ** ''staff'': nem oktatási tevékenységet végző alkalmazott (pl. a rendszergazda és a kertész is)** ''employee'': alkalmazott (használata intézmények között nem javasolt)** ''member'': azok a felhasználók, amelyek azáltal, hogy azonosította őket az IdP, rendelkeznek intézményhez kötődő általános jogosultságokkal. Jellemzően ide sorolhatók a ''student'', ''faculty'', ''staff'' viszonnyal rendelkezők.** ''affiliate'': az intézmény azonosítja őket, de nem rendelkeznek általános jogosultságokkal** ''alum'': öregdiák** ''library-walk-in'': könyvtári tag{{NOTE | lehetséges, hogy a föderációban használható értékek körét a későbbiekben szűkíteni fogjuk}}* '''<scope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll. Lásd még: http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201310.html#eduPersonAffiliation [[EduPersonAffiliation|Egy lehetséges vizuális ábrázolás]], azonban a halmazok pontos meghatározása az intézmény feladata. |assurer=inst|values=A következő értékek egyike: {student,faculty,staff,employee,member,affiliate,alum,library-walk-in}, valamint a [[Scope|scope]]|example=affiliate* Hallgatók: ''student@example.org;member@example.org''* Oktatók: ''faculty@example.org;employee@example.org;member@example.org''* Nem alkalmazott oktató-hallgatók: ''student@example.org;faculty@example.org;member@domainexample.huorg''
|numOfValues=multi
}}
==== eduPersonEntitlement ===={{AttributeDef|name=homeOrganizationeduPersonEntitlement|URI=urn:mace:dir:attribute-def:eduPersonEntitlement|OID=1.3.6.1.4.1.5923.1.1.1.7|implementation=mandatoryrecommended|semantics=Azon erőforrások listája, melyet a felhasználó használhat. Sok erőforrást minden felhasználó elérhet, néhányat csak korlátozott kör - ez utóbbi esetben válik fontossá ez az attribútum {{INFO|Az eduPersonEntitlement attribútumnak csak azon értékeit szabad kiadni az SP-nek, amelyek rá vonatkoznak. Ennek meghatározása kézi adminisztráció esetén igen nehéz lehet, ezért erre célszerű valamilyen adminisztrációs felületet használni. (Sajnos jelenleg nem létezik ilyen alkalmazás.)}}|description=Az intézmény DNS domain neveA felhasználó által jogosan használt erőforrás(ok)|assurer=inst|example=bmeurn:geant:niif.hu:niif:entitlement:vhoadmin|numOfValues=multi
}}
==== schacHomeOrganizationType ===={{AttributeDef|name=schacHomeOrganizationType|URI=urn:mace:dir:attribute-def:schacHomeOrganizationType|OID=1.3.6.1.4.1.25178.1.2.10|values=urn:schac:homeOrganizationType:hu:{university,nren,library,vho,school,business,other,test}
|implementation=mandatory
|description=Az intézmény jellege
|semantics=
* '''university''': Az Oktatási Minisztérium által elismert felsőoktatási intézmények (egyetemek és főiskolák)
* '''nren''': Nemzeti kutatási és felsőoktatási kutatói hálózat szolgáltatója
* '''library''': Könyvtárak
* '''vho''': Virtuális azonosító szervezet egyének föderációs azonosítása céljára
* '''school''': Általános és középiskolák
* '''business''': Ipari vagy kereskedelmi intézmények
* '''other''': Egyéb
* '''test''': Teszt felhasználóról van szó
|numOfValues=single
|assurer=inst
|syntax=URN
}}
==== ou ===={{AttributeDef|name=ou|URI=urn:mace:dir:attribute-->def:ou|OID=2.5.4.11|implementation=optional|description=Az intézményen belüli egység teljes neve (organizationalUnit)|semantics=Azon egység (tanszék, intézet, könyvtár, stb) neve, amelyhez a felhasználó tartozik.|example=Automatizálási és alkalmazott informatikai tanszék}}
==== eduPersonOrgUnitDN ===={{AttributeDef|name=eduPersonEntitlementeduPersonOrgUnitDN|URI=urn:mace:dir:attribute-def:eduPersonOrgUnitDN|OID=1.3.6.1.4.1.5923.1.1.1.4|implementation=recommendedoptional|description=A felhasználó által jogosan használt erőforrásfelhasználóhoz tartozó szervezeti egység azonosítója|semantics=A felhasználóhoz tartozó szervezeti egység (okpl. tanszék, intézet, könyvtár, ...)intézményen belüli egyedi, esetleg hierarchikusan képzett azonosítója.Amennyiben az adott felhasználó több egységhez is besorolható, ez az attribútum több értéket is tartalmazhat.|syntax=DN
|numOfValues=multi
|assurer=inst
|example=
* ou=VIK,ou=Units,o=BME,c=hu
* ou=AAIT,ou=VIK,ou=Units,o=BME,c=hu
* ou=MIT,ou=VIK,ou=Units,o=BME,c=hu
}}
==== eduPersonPrimaryOrgUnitDN ===={{AttributeDef|name=maileduPersonPrimaryOrgUnitDN|implementationURI=urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN|OID=recommended1.3.6.1.4.1.5923.1.1.1.8|description=A felhasználóhoz hozzárendelhető elsődleges szervezeti egység azonosítója.|semantics=Az [[#eduPersonOrgUnitDN]]-ben tárolt egység-azonosítók közül azon elem, amelyhez a felhasználó email címeelsődlegesen köthető.|values=Egy olyan azonosító, mely szerepel az [[#eduPersonOrgUnitDN]] értékei között.|syntax=DN|implementation=optional|assurer=inst|example=ou=AAIT,ou=VIK,ou=Units,o=BME,c=hu
}}
=== Oktatásban használt attribútumok ======= niifEduPersonAttendedCourse ===={{AttributeDef|name=cnniifPersonAttendedCourse|URI=urn:geant:niif.hu:dir:attribute-def:niifEduPersonAttendedCourse|OID=1.3.6.1.4.1.11914.0.1.164|description=Felhasználó által hallgatott tárgy kódja|semantics=Azon tantárgyak kódja, amelyet a felhasználó az adott félévben hallgat. Oktatási intézmény esetén JAVASOLT az attribútumot implementálni és az intézményen belüli SP-k számára kiadni. Adatvédelmi szempontból JAVASOLT az értékeket úgy szűrni, hogy az SP csak a számára releváns tárgyak kódját kapja meg.|numOfValues=multi|implementation=recommendedoptional|values=A tanulmányi rendszerben meghatározott tantárgykódok|assurer=inst|example=*VIMM1234*VIMA4321}}==== niifEduPersonArchiveCourse ===={{AttributeDef|name=niifEduPersonArchiveCourse|OID=1.3.6.1.4.1.11914.0.1.171|implementation=optional|description=A felhasználó teljes neveáltal valaha hallgatott kurzusok|values=A tanulmányi rendszerben meghatározott tantárgykódok|semantics=Azon tantárgyak kódja, amelyet a felhasználó valaha hallgatott az adott intézményben.|numOfValues=multi|assurer=inst
}}
==== niifEduPersonHeldCourse ===={{AttributeDef|name=snniifEduPersonHeldCourse|OID=1.3.6.1.4.1.11914.0.1.172
|implementation=optional
|description=A felhasználó vezetékneveáltal aktuálisan oktatott tárgyak|values=A tanulmányi rendszerben meghatározott tantárgykódok|semantics=Azon tantárgyak kódja, amelyet a felhasználó az adott félévben (esetleg előző félévben) oktatott.|assurer=inst|numOfValues=multi
}}
==== niifEduPersonMajor ===={{AttributeDef|name=givenNameniifEduPersonMajor|OID=1.3.6.1.4.1.11914.0.1.162|description=A hallgató főszakja|semantics=A hallgató főszakja - a [[http://web.mab.hu/joomla/index.php?option=com_content&view=article&id=87&Itemid=623&lang=hu mab.hu ]] oldalán található lista alapján
|implementation=optional
|descriptionnumOfValues=A felhasználó keresztnevemulti|assurer=inst|example=* műszaki informatikus mérnök* elméleti fizikus
}}
==== niifEduPersonFaculty ===={{AttributeDef|name=organizationniifEduPersonFaculty|OID=1.3.6.1.4.1.11914.0.1.160|description=Kar neve|semantics=Teljes neve annak a karnak, amelyhez a hallgató tartozik
|implementation=optional
|descriptionnumOfValues=Az intézmény teljes nevemulti|assurer=inst|example=Villamosmérnöki és Informatikai Kar
}}
==== niifEduPersonFacultyDN ===={{AttributeDef|name=organizationalUnitniifEduPersonFacultyDN|OID=1.3.6.1.4.1.11914.0.1.161|description=A hallgató karának DN-je|semantics=Annak a karnak a DN-je, amelyhez a hallgató tartozik. Ajánlott a kezdőpont alatt található <code>ou=Units</code> alá tenni az egyes karokat (lásd [[#eduPersonOrgUnitDN]])
|implementation=optional
|descriptionsyntax=Az intézményen belüli egység teljes neveDN|numOfValues=multi|assurer=inst|example= ou=VIK,ou=Units,o=BME,c=hu
}}
==== niifEduPersonStudentCategory ====
{{AttributeDef|name=niifEduPersonStudentCategory
|OID=1.3.6.1.4.1.11914.0.1.174
|description=Tanuló/hallgató képzési szintjének meghatározása
|semantics=A hallgató képzési szintjének pontosabb meghatározása (az [[#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] kiegészítése)
* '''bachelor''': bachelor képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)
* '''master''': master képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)
* '''doctor''': doktori képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)
* '''exchange-student''': vendéghallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)
* '''qualifying-studies''': előkészítős hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: member)
* '''open-university''': nyílt egyetemi képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: affiliate)
|implementation=optional
|descriptionsyntax=A felhasználó által előnyben részesített nyelvDirectory String|numOfValues=multi|assurer=inst
}}
