107
szerkesztés
Módosítások
a
{{TODO|== A szócikk még csak vázlat!}}specifikáció célja ==A föderációban az IdP SAML attribútumokban ad meg adatokat a felhasználóról az SP-nek. Ahhoz, hogy az adatokban hordozott információ átadása pontos legyen, fontos, hogy a használt attribútumokat a két fél ugyanúgy értelmezze.
=Attribútum lista=Az attribútumok pontos meghatározása az attribútumok sémájában található. A specifikációban az alábbi sémákat használtuk fel:* ''person'', ''organizationalPerson'' (X.521)* ''inetOrgPerson'' (RFC2798)* ''eduPerson'' (http://middleware.internet2.edu/eduperson/)* ''SCHAC'' (http://www.terena.org/activities/tf-emc2/schacreleases.html)* ''niifPerson'', ''niifEduPerson'' ([[NIIFSchema]])
== Azonosító attribútumok ==A fenti dokumentumokban definiált attribútumoknak a föderációban való ''értelmezését'' határozza meg az Attribútum Specifikáció. Ez néhány esetben valamivel szűkebb, mint az eredeti definíció, azért, hogy az információt az SP-k pontosabban értelmezhessék.
Implementáció=== Oktatásban használt attribútumok ======= niifEduPersonAttendedCourse ===={{AttributeDef|name=niifPersonAttendedCourse|URI=urn: '''kötelező'''geant:niif.hu:dir:attribute-def:niifEduPersonAttendedCourse|OID=1.3.6.1.4.1.11914.0.1.164|description=Felhasználó által hallgatott tárgy kódja|semantics=Azon tantárgyak kódja, amelyet a felhasználó az adott félévben hallgat.
IdP általi kiadás: '''kötelező'''Oktatási intézmény esetén JAVASOLT az attribútumot implementálni és az intézményen belüli SP-k számára kiadni. Adatvédelmi szempontból JAVASOLT az értékeket úgy szűrni, hogy az SP csak a számára releváns tárgyak kódját kapja meg.|numOfValues=multi|implementation=optional|values=A tanulmányi rendszerben meghatározott tantárgykódok|assurer=inst|example=*VIMM1234*VIMA4321}}==== niifEduPersonArchiveCourse ===={{AttributeDef|name=niifEduPersonArchiveCourse|OID=1.3.6.1.4.1.11914.0.1.171|implementation=optional|description=A felhasználó által valaha hallgatott kurzusok|values=A tanulmányi rendszerben meghatározott tantárgykódok|semantics=Azon tantárgyak kódja, amelyet a felhasználó valaha hallgatott az adott intézményben.|numOfValues=multi|assurer=inst}}
* [[HREFAttributeSpec#eduPersonTargetedID==== niifEduPersonHeldCourse ===={{AttributeDef|eduPersonTargetedID]]name=niifEduPersonHeldCourse|OID=1.3.6.1.4.1.11914.0.1.172|implementation=optional|description=A felhasználó által aktuálisan oktatott tárgyak|values=A tanulmányi rendszerben meghatározott tantárgykódok|semantics=Azon tantárgyak kódja, amelyet a felhasználó az adott félévben (esetleg előző félévben) oktatott.|assurer=inst|numOfValues=multi}}
Implementáció==== niifEduPersonFacultyDN ===={{AttributeDef|name=niifEduPersonFacultyDN|OID=1.3.6.1.4.1.11914.0.1.161|description=A hallgató karának DN-je|semantics=Annak a karnak a DN-je, amelyhez a hallgató tartozik. Ajánlott a kezdőpont alatt található <code>ou=Units</code> alá tenni az egyes karokat (lásd [[#eduPersonOrgUnitDN]])|implementation=optional|syntax=DN|numOfValues=multi|assurer=inst|example= ou=VIK,ou=Units,o=BME,c=hu}}==== niifEduPersonStudentCategory ===={{AttributeDef|name=niifEduPersonStudentCategory|OID=1.3.6.1.4.1.11914.0.1.174|description=Tanuló/hallgató képzési szintjének meghatározása|semantics=A hallgató képzési szintjének pontosabb meghatározása (az [[#eduPersonScopedAffiliation|eduPersonScopedAffiliation]] kiegészítése)* '''bachelor''': bachelor képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)* '''kötelezőmaster''': master képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)* '''doctor''': doktori képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)* '''exchange-student''': vendéghallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: student,member)* '''qualifying-studies''': előkészítős hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: member)* '''open-university''': nyílt egyetemi képzésben részt vevő hallgató (javasolt [[#eduPersonScopedAffiliation|affiliation]]: affiliate)
IdP általi kiadás: '''opcionális'''Ha egy hallgató nem sorolható be egyik kategóriába sem (pl. nem bolognai rendszer szerint tanul), akkor az attribútum ne kapjon értéket!|implementation=optional* [[HREFAttributeSpec#eduPersonTargetedID|eduPersonTargetedID]]syntax=Directory String|numOfValues== 3. szint == Implementáció: '''opcionális'''multi IdP általi kiadás: '''opcionális''' * [[HREFAttributeSpec#eduPersonTargetedID|eduPersonTargetedID]] assurer== Megjegyzés ==Ha egy attribútum implementálása opcionális, az azt jelenti, hogy amennyiben implementálásra kerül, akkor a HREF szabványban meghatározott módon ke inst[[Kategória: Csonkok]]}}
„HREF attribútum specifikáció” levédve: FedOp felelősség ([Szerkesztés=csak adminisztrátoroknak engedélyezett] (határozatlan) [Átnevezés=csak adminisztrátoroknak engedélyezett] (határozatlan))
A specifikációban felsoroltakon túl az IdP-k tetszőleges attribútumot megvalósíthatnak és kiadhatnak ''bilaterális megállapodás'' alapján.
== Attribútumok használata ==
=== Meghatározások ===
* '''Implementáció''' (megvalósítás): egy IdP abban az esetben ''implementál'' egy attribútumot, ha az attribútumban hordozott információ a föderációs specifikációnak megfelelő szemantikai és formai követelmények szerint a rendelkezésére áll. Ez jelentheti azt, hogy a felhasználói adatbázisban a felhasználó bejegyzése tartalmazza ezt az attribútumot, de az attribútum más módon is előállhat (pl. statikusan vagy más attribútumokból dinamikusan generálva). Az implementáció részleteivel kapcsolatban a föderáció nem fogalmaz meg megkötést
* '''Attribútum kiadás''': az attribútum átadása néhány (vagy a föderációban található összes) SP-nek.
=== Implementációs szintek ===* '''Kötelező''': az attribútumot kötelező az IdP-nek implementálni. (Nem kötelező kiadnia.)* '''Ajánlott''': az attribútumot ajánlott az IdP-nek implementálni, de ez néhány intézménynél lehetetlen vagy nehézségekbe ütközhet* '''Opcionális''': az attribútumot az IdP a saját döntése szerint megvalósíthatja.:: Fontos kiemelni, hogy amennyiben egy IdP implementál egy opcionális attribútumot, azt '''a specifikáció szerint KÖTELEZŐ megtennie''', azaz követve a specifikáció szemantikai és szintaktikai előírásait. === SP attribútum-igények ===Az SP-k a [[Resource Registry]]-ben, és ezen keresztül a [[Metadata|metadata]] állományban jelezhetik, hogy egy attribútum számukra megkövetelt (required) vagy ajánlott (desired).* '''Megkövetelt''': az alkalmazás működéséhez elengedhetetlen az attribútum:: pl. <code>eduPersonPrincipalName</code> olyan alkalmazásokhoz, amelyek nincsenek felkészítve átlátszatlan (opaque) azonosítók kezelésére* '''Ajánlott''': az alkalmazás működését megkönnyíti az attribútum:: pl. a <code>cn</code> attribútum átadásakor az alkalmazás nem kéri be a felhasználó teljes nevét regisztrációkor === Hibakezelés ===Abban az esetben, ha egy IdP nem adja ki egy vagy több az SP számára elengedhetetlen attribútumot, az SP-nek KÖTELEZŐ a felhasználónak hibaüzenetet adnia. (Ugyanis egy SP csak abban az esetben jelölhet meg egy attribútumot ''megkövetelt attribútumnak'', ha ez az alkalmazás működéséhez elengedhetetlen, minden egyéb esetben ''ajánlott''-nak kell megjelölnie.) Azonban ez a hibaüzenet lehetséges, hogy a felhasználó számára nehezen értelmezhető (pl: ''Authorization Required''). Ezért az IdP-k számára AJÁNLOTT kiadni azokat az attribútumokat, amelyeket az SP-k ''megkövetelt''-nek jelölnek meg. == Attribútumok listája == === Lista ======= Kötelező attribútumok ===={| {{prettytable}}|eduPersonTargetedID |-|eduPersonScopedAffiliation|-|schacHomeOrganizationType|-|eduPersonPrincipalName|}==== Ajánlott attribútumok ===={| {{prettytable}}|displayName|-|mail|-|eduPersonEntitlement|-|} === Állandó felhasználói azonosítók ===Bizonyos alkalmazások esetén szükséges alkalmazás-specifikus adatokat is tárolni. Ilyen példa lehet egy webes naptárnál a felhasználóhoz kötődő bejegyzések, vagy egy wikinél a felhasználó szerkesztései. Ezeket az alkalmazások valamilyen helyi adatbázisban tárolják, a kulcs a felhasználó és az adatbázis bejegyzés között pedig egy '''állandó azonosító'''. Az állandó azonosítók lehetnek:* '''statikusak''': a felhasználó létrehozásakor megadott adattal megegyezők* '''számítottak''': a felhasználó valamelyik (vagy több) attribútumából algoritmikusan - általában hash eljárással - generáltak* '''tároltak''': ezek általában olyan azonosítók, amelyet az IdP egy adatbázisban elsődleges kulcsként használ, azaz ** a felhasználói attribútumok változása esetén is állandó marad** egyediségük biztosított Az azonosítók az alábbi tulajdonságokkal rendelkezhetnek:* '''állandóság''': az IdP-nek gondoskodnia kell arról, hogy a kiosztott azonosító a felhasználó intézménynél töltött életciklusa során állandó legyen. :: Amennyiben egy állandó(nak szánt) azonosító mégis megváltozik, az nagyon nehéz helyzetbe hozhatja mind a felhasználót, mind az alkalmazás üzemeltetőt. Erre megoldás lehet a SAML2 NameID Mapping, azonban ezt jelenleg a föderációban használt szoftverek csak részlegesen vagy egyáltalán nem támogatják.* '''nem osztható ki újra''' (''non-reassignable''): az IdP-nek gondoskodnia kell arról, hogy egy felhasználó azonosítóját később nem osztja ki másik felhasználónak. :: Ennek algoritmikus biztosítása bizonyos esetekben nehézségekbe ütközhet (pl. hash ütközések, illetve bizonyos IdP-k kézzel osztanak azonosítókat), ezért jelen specifikáció csak azt követeli meg, hogy azonosító a gyakorlatban ne tegye lehetővé, hogy az alkalmazás oldalán a felhasználók összekeveredjenek. Különböző IdP-ktől jövő felhasználók azonosítói abban az esetben nem ütközhetnek, ha az azonosítónak része valamilyen, az IdP-re jellemző adat ([[Scope|scope]] vagy [[entityID]]).* '''nem átlátszó''' (''opaque''): az ilyen azonosítók nem jellemzők a felhasználóra, az értékéből nem lehet következtetni a felhasználó személyére (pl. e-mail címére):: Nem minden azonosító rendelkezik ilyen tulajdonsággal, azonban intézmények között adatvédelmi szempontból kifejezetten kívánatos, hogy egy azonosító ne legyen jellemző a felhasználó személyére. A nem átlátszó azonosítót nem célszerű a felhasználók felé megjeleníteni.* '''célzott''' (''targeted''): az ilyen azonosítók minden SP-nél különbözőek, s így az SP-k - az IdP közreműködése nélkül - nem képesek profilt készíteni egy felhasználóról, ami adatvédelmi szempontból kívánatos. :: Nem minden azonosító rendelkezik ilyen tulajdonsággal. Az állandó azonosító kiadható attribútumként, illetve a SAML Assertion NameID mezőjében. Bizonyos SP implementációk (pl. a Shibboleth 2.x) képesek arra, hogy az alkalmazás részére elfedjék azt, hogy az azonosító pontosan milyen attribútumban vagy NameID-ben érkezett, pl. úgy, hogy az azonosítót a REMOTE_USER változóban adják ki az alkalmazás számára. ====NameID formátumok - melyiket válasszam?====A föderáció elvárja, hogy az IdP-k támogassák mind a tranziens NameID formátumot, mind a célzott, átlátszatlan azonosítót (melyek lehetnek tároltak vagy számítottak). A tárolt azonosítót célszerű SAML2 perszistens NameID-ként kiadni, a számított azonosító azonban csak az eduPersonTargetedID attribútumban adható ki, mivel nem rendelkezik a perszisztens NameID szemantikájával. A Shibboleth IdP implementáció esetén a számított azonosítókról a tárolt azonosítókra való áttérés nem változtatja meg a kiadott azonosítókat, ezért az SP-k számára ez az áttérés transzparens. Ha SP-t üzemeltetünk, akkor célszerű már az üzemeltetés kezdetén eldönteni, hogy melyik formátum mellett tesszük le a voksunkat (ez elsősorban az SP által védett alkalmazás képességeitől függ), mert menet közben átállni körülményes, sok energiát igényel. A problémára reméljük könnyebb lesz a megfelelő választ megtalálni az alábbi kérdés átgondolásával: '''Szükséges-e az SP számára, hogy egy-egy felhasználójához tartozzon egy-egy állandó azonosító?''' 1. Ha nem, akkor egyértelmű a választás: tranziens formátumot kell használni. 2. Ha igen, és nem szükséges, hogy az állandó azonosító a felhasználóra jellemző legyen, ill. az SP mögötti alkalmazás felkészült ilyen azonosító fogadására ( az alkalmazás szempontjából mindegy, hogy milyen úton, tehát eduPersonTargetedID attribútumként, vagy perzisztens NameID-ként érkezik az érték az SP-hez ), akkor az SP-nek ''Nem kell meghatároznia, hogy milyen NameID formátumot támogat'', hiszen ezesetben: a) Ha az IdP nem támogatja a tárolt azonosítókat, akkor a tranziens NameID mellé az eduPersonTargetedID attribútumban ki fogja adni a számított (és célzott) azonosítót.: b) Ha az IdP támogatja a tárolt azonosítókat, akkor azt perzisztens NameID-ként fogja kiadni (illetve, ha az SP kéri az eduPersonTargetedID attribútumot, az IdP képes ugyanezt a tárolt értéket ilyen formában is kiadni).: Az alkalmazáshoz mindkét esetben ugyanaz az érték jut el, mint felhasználói azonosító. 3. Ugyanaz, mint a 2., kivéve, hogy magasabb szintű felhasználókezelést (például SAML NameID menedzsmentet) is szeretne az SP használni, akkor kizárólag perzisztens NameID-t kell kérnie. A HREF föderáció jelenleg nem rendelkezik a magasabb szintű SAML protokollokról, ezért ezek használata kizárólag az adott SP és IdP közötti megállapodáson alapulhat. 4. Ha szükséges, hogy az állandó azonosító a felhasználóra jellemző legyen, őt egyértelműen azonosítsa, akkor a választás tranziens NameID, amely mellé meg kell követelni az eduPersonPrincipalName kiadását. A HREF föderációban az IdP-k részéről elvárt, hogy a fenti 1-2. megoldásokat támogassák. A 3-4. esetében minden további nélkül előfordulhat, hogy az IdP és SP közötti kommunikáció hibát jelez, mert valamelyik fél nem támogatja a másik fél által megkövetelt / biztosított azonosító formátumot... {{INFO| Egy SP a [[Resource Registry]]-ben jelezheti, hogy milyen NameID formátumokat támogat. Ha kizárólag perzisztens NameID formátumot támogat, akkor vagy kap az IdP-től ilyet, vagy hiba lép fel a válasz feldolgozása során.}} ==== eduPersonTargetedID ====
{{AttributeDef|name=eduPersonTargetedID
|URI=urn:mace:dir:attribute-def:eduPersonTargetedID
|OID=1.3.6.1.4.1.5923.1.1.1.10
|description=Átlátszatlan '''Nem átlátszó''', '''célzott''' azonosító, amely '''nem osztható ki újra'''|semantics=Lásd: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTargetedID , ill. a fenti megjegyzést az implementációs szinttel kapcsolatban. Az SP a kapott értéket fel kell, hogy dolgozza, nem adhatja XML formátumban tovább az alkalmazásnak. A benne szereplő ún. qualifier-ek közül az IdP ugyanannak azonosítóját (<code>NameQualifier</code>) és természetesen magát az azonosítót ''kötelező'' szerepeltetni az alkalmazás számára átadott azonosítóban. Javasolt az SPegyes mezőket '!' karakterrel elválasztani egymástól. Az IdP-nek ugyanarról a felhasználóról mindig ugyanazt biztosítania kell, hogy egy felhasználó számára kiosztott azonosító valóban perzisztens legyen, tehát gondoskodnia kell az értéket adja attribútum-értékek biztos tárolásáról - például egy megfelelő mentési tervvel üzemeltetett relációs adatbázisban. Az eduPersonTargetedID '''nem osztható kiújra'''.
|implementation=mandatory
|syntax=IdPEntityID!SPEntityID!targetedIDAz attribútum értékének a SAML2 szabványban definiált NameID formátumúnak kell lennie; az azonosító (nem számítva az XML attribútumokat) legfeljebb 256 karakterből állhat.|example=Az IdP ilyen formában adja ki az azonosítót: <saml2:NameID xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="https://idp.example.org/idp/shibboleth" SPNameQualifier="https://sp.example.org/shibboleth"> 84e411ea-7daa-4a57-bbf6-b5cc52981b73 </saml2:NameID>Az alkalmazás ilyen formában kapja meg az azonosítót: https://idp.example.org/idp/shibboleth!https://sp.example.org/shibboleth!84e411ea-7daa-4a57-bbf6-b5cc52981b73
}}
==== eduPersonPrincipalName ====
{{AttributeDef|name=eduPersonPrincipalName
|URI=urn:mace:dir:attribute-def:eduPersonPrincipalName
|OID=1.3.6.1.4.1.5923.1.1.1.6
|description='''Állandó ''', '''nem célzott''', '''nem újra kiosztható''' egyedi azonosító|implementation=recommendedmandatory|assurer=institution
|semantics=
Formátum: <egyedi_lokális_azonosító>@<scope>
Ahol
* '''<egyedi_lokális_azonosító>''': tetszőleges állandó azonosító, amely az intézményen belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító ('''uid''') használata, azonban bármilyen más azonosító használható
* '''<scope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, melyet amely az IdP-t üzemeltető intézmény [[Scope|scopetulajdonában áll. '''Megjegyzés''': az '''eduPersonPrincipalName''' érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-ként]] használhatmail címével. Intézményen belüli használata javasolt, intézményen kívül célszerű nem átlátszó, célzott azonosítót használni.
Az eduPersonPrincipalName a föderációban '''Megjegyzésnem osztható ki újra''': . Bizonyos alkalmazások nem támogatják a különleges karaktereket az azonosítókban, ezért a föderációban az eduPersonPrincipalName kizárólag alfanumerikus karaktereket, pont ('.'), kötőjel ('eduPersonPrincipalName-') és alulvonás ('_' érzékeny személyes adat) karaktereket tartalmazhat.
|example=gipsz.jakab@example.org
}}
== Felhasználói tulajdonságokat leíró attribútumok ==niifPersonOrgID ===={{AttributeDef|name=niifPersonOrgID|URI=urn:mace:dir:attribute-def:eduPersonPrincipalName|OID=1.3.6.1.4.1.11914.0.1.154|description=Állandó egyedi azonosító intézményen belüli, ill. e-learning használatra|implementation=optional|semantics=Bizonyos esetekben adatvédelmi szempontok miatt szükség lehet arra, hogy a felhasználó intézményen belüli azonosítója (pl. Neptun kódja) és az egyéb alkalmazásokban használt <code>uid</code> különböző legyen. Ezen attribútum intézmények közötti átadása csak abban az esetben javasolt, ha e-learning rendszerek miatt meg kell osztani a tanulmányi azonosítót.}}==== schacPersonalUniqueCode ===={{AttributeDef|name=schacPersonalUniqueCode|OID=1.3.6.1.4.1.25178.1.2.14|description=Állandó egyedi azonosító interföderációs környezetben való használatra|example=<code>urn:schac:personalUniqueCode:hu:bme.hu:Neptun:gmx3f0</code>|implementation=optional|numOfValues=multi}}
=== Felhasználói tulajdonságokat leíró attribútumok === ==== sn ====
{{AttributeDef|name=sn
|URI=urn:mace:dir:attribute-def:sn
|implementation=optional
|description=A felhasználó vezetékneve
|semantics=A felhasználó vezetékneve egy. Amennyiben több vezetékneve van a felhasználónak, vagy több értékből is állhatakkor ezeket egyetlen értékben kell tárolni.|example=* Gipsz, * Gipszné Dr. Kiss
}}
==== givenName ====
{{AttributeDef|name=givenName
|implementation=optional
|URI=urn:mace:dir:attribute-def:givenName
|description=A felhasználó keresztneve
|semantics=A felhasználó Amennyiben több keresztneve egyvan a felhasználónak, vagy több értékből is állhatezeket egyetlen értékben kell tárolni. |example=* Jakab, * Mária Lujza
}}
==== displayName ====
{{AttributeDef|name=displayName
|URI=urn:mace:dir:attribute-def:displayname
|OID=2.16.840.1.113730.3.1.241
|implementation=recommended
|description=A felhasználó megjelenítendő neve|semantics=A felhasználó neve abban a formában, ahogy a felhasználó, vagy a felhasználó intézménye meg kívánja jeleníteni.
|example=Gipsz Jakab Aladár
}}
==== mail ====
{{AttributeDef|name=mail
|URI=urn:mace:dir:attribute-def:mail
|OID=10.39.62342.119200300.4100.1.1466.115.121.1.263
|implementation=recommended
|numOfValues=multi
|description=A felhasználó email címe
|values=Létező e-mail cím
|syntax=Lásd: [http://www.faqs.org/rfcs/rfc2822.html RFC 2822]
|example=gipsz.jakab@example.org
|semantics=A felhasználó értesítési e-mail címe. Az így átadott email címről az intézmény biztosítja, hogy
* azt az intézmény biztosítja a felhasználó részére (pl neptunkod@intemzeny.hu)
* vagy az intézmény a cím rögzítésekor ellenőrizte, hogy az a felhasználó tulajdonában van (pl egy megerősítő levél kiküldésével).
Az attribútumban ellenőrizetlen, felhasználó által megadott email címet átadni tilos.
}}
==== preferredLanguage ====
{{AttributeDef|name=preferredLanguage
|OID=2.16.840.1.113730.3.1.39
|URI=urn:mace:dir:attribute-def:preferredLanguage
|implementation=optional
|values=RFC 2068 Language Tags szekcióban meghatározott formátumú nyelvkódok|example: =hu|description=Előnyben részesített nyelv|semantics=A felhasználó által elsődlegesen használni kívánt, általa előnyben részesített nyelv}} ==== schacDateOfBirth ===={{AttributeDef|name=schacDateOfBirth|OID=1.3.6.1.4.1.25178.1.2.3|description=A felhasználó születési dátuma|implementation=optional|example=19700101|values=YYYYMMDD (RFC 3339 'full-date') formátumú dátum}} ==== schacYearOfBirth ===={{AttributeDef|name=schacYearOfBirth|OID=1.3.6.1.4.1.25178.1.0.2.3|description=A felhasználó születési éve (amennyiben csak az évre van szükség, egyébként ajánlott a [[#schacDateOfBirth | schacDateOfBirth]] használata)|implementation=optional|values=YYYY formátumú év|example=1970}} ==== schacPersonalTitle ===={{AttributeDef|name=schacPersonalTitle|OID=1.3.6.1.4.1.25178.1.2.8|implementation=optional|description=A felhasználó személyes megszólítása.|semantics=A felhasználó nevéhez kapcsolódó megszólítás, mely a teljes név elé fűzhető. A címtárban tárolható a [[NIIFSchema#niifPersonPrefix|niifPersonPrefix]] attribútumban is.|example=* Dr.* Prof.}} ==== niifPersonMothersName ===={{AttributeDef|name=niifPersonMothersName|OID=1.3.6.1.4.1.11914.0.1.157|implementation=optional|description=Felhasználó anyja neve|example=Kőkori Vilma|semantics=A felhasználó anyjának születési neve a felhasználó hivatalos irataiban.
}}
=== eduPersonEntitlement = niifPersonResidentalAddress ===={{AttributeDef|name=niifPersonResidentalAddress|OID=1.3.6.1.4.1.11914.0.1.159|description=A felhasználó állandó lakcíme|implementation=optional|example=1111 Budapest, Villányi út 155.}} ==== homePostalAddress ===={{AttributeDef|name=eduPersonEntitlementhomePostalAddress|OID=0.9.2342.19200300.100.1.39|description=A felhasználó ideiglenes lakcíme|numOfValues=multi|implementation=optional|example=1111 Budapest, Villányi út 155.}} ==== telephoneNumber ===={{AttributeDef|name=telephoneNumber|OID=2.5.4.20|description=A felhasználó vezetékes telefonszáma|URIvalues=urnA telefonszámot az [https:mace//www.comnap.aq/interoperability/ITU-T-REC-E.123-2001-02.pdf ITU-T E.123 szabvány] szerint kell tárolni. A melléket a <code>/</code> jellel elválasztva jelölhető.|numOfValues=multi|implementation=optional|example=* +36 1 123 1234* +36 1 123 1234 / 102}} ==== mobile ===={{AttributeDef|name=mobile|OID=0.9.2342.19200300.100.1.41|description=A felhasználó mobilszáma|values= A telefonszámot az [https:dir:attribute//www.comnap.aq/interoperability/ITU-T-REC-E.123-2001-02.pdf ITU-def:eduPersonEntitlementT E.123 szabvány] szerint kell tárolni.|numOfValues=multi|example= +36 30 123 1234|implementation=optional}} ==== eduPersonNickName ===={{AttributeDef|name=eduPersonNickName|OID=1.3.6.1.4.1.5923.1.1.1.72|description=A felhasználó beceneve|implementation=mandatoryoptional|assurer=user|example=*gipszj*the.man.who.was.bored.to.death.by.some.american.smartguys|semantics=Azon erőforrások listájaAz a becenév, melyet amelyet a felhasználó használhatáltalában használ (pl. online fórumokon). Nem egyedi, a hossza és a tartalma sem kötött, nem állandó, ezért az alkalmazásnak mindenképpen ellenőriznie kell, mielőtt - esetleg - lokális felhasználónévként figyelembe veszi. Sok erőforrást minden }} ==== cn ===={{AttributeDef|name=cn|OID=2.5.4.3|description=A felhasználó elérhetteljes neve|semantics=A felhasználó vezetéknevének és keresztnevének valamilyen módon történő, szóközzel elválasztott összefűzése. Használata intézményenként és országonként eltérő. Jellemző, néhányat csak korlátozott kör hogy több értékben különböző módokon előállított értékeket is tartalmaz. '''Helyette a [[#displayName|displayName]] használata javasolt.'''|implementation=optional|numOfValues=multi|example=* Gipsz Jakab* Kovács Áron;Kovacs Aron;Aron Kovacs}} ==== jpegPhoto ===={{AttributeDef|name=jpegPhoto|OID=0.9.2342.19200300.100.1.60|implementation=optional|description=Kis méretű fotó a felhasználóról JPEG formátumban|sematics=* Maximális méret: 320x320 pixel, 32 kB (???)}}==== labeledUri ===={{AttributeDef|name=labeledUri|OID=1.3.6.1.4.1.250.1.57|description=Felhasználóhoz tartozó URI- ez utóbbi esetben válik fontossá ez az attribútumk|descriptionsemantics=A felhasználó által jogosan használt erőforrásmegadott, vagy rá valamilyen formában jellemző URI-k (okgyakran URL-ek)gyűjteménye, mint pl. a személyes honlapjának címe. Minden azonosítóhoz opcionálisan kapcsolható szöveges leírás.|examplevalues=urn:mace:niifAz URL-t urlencode-olva kell tárolni (RFC 2079).hu:vhoadmin|implementation=optional
|numOfValues=multi
|example=
*http://example.com/%7Euser/foo Foo page
*ftp://ftp.example.com
}}
=== Felhasználó és az intézmény viszonyát leíró attribútumok ===
==== eduPersonScopedAffiliation ====
{{AttributeDef|name=eduPersonScopedAffiliation
|URI=urn:mace:dir:attribute-def:eduPersonScopedAffiliation
|OID=1.3.6.1.4.1.5923.1.1.1.9
|description=Felhasználó viszonya az intézményhez (scope-os változat)és intézmény közti viszony leírása
|implementation=mandatory
|syntaxsemantics='''<viszony>@<internet_domainscope>'''|values= * '''<viszony>''': a felhasználó és az intézmény közti viszony leírására az alábbi értékek választhatók** ''student'': intézmény hallgatója** ''faculty'': oktatási tevékenységet végez az intézményben ** ''staff'': nem oktatási tevékenységet végző alkalmazott (pl. a rendszergazda és a @ előtti részrekertész is)** ''employee'': alkalmazott (használata intézmények között nem javasolt)** ''member'': azok a felhasználók, amelyek azáltal, hogy azonosította őket az IdP, rendelkeznek intézményhez kötődő általános jogosultságokkal. Jellemzően ide sorolhatók a ''student'', ''faculty'', ''staff'' viszonnyal rendelkezők.** ''affiliate'': az intézmény azonosítja őket, de nem rendelkeznek általános jogosultságokkal** ''alum'': öregdiák** ''library-walk-in'': könyvtári tag{{NOTE | lehetséges, hogy a föderációban használható értékek körét a későbbiekben szűkíteni fogjuk}}* '''<scope>''': helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll. Lásd még: http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201310.html#eduPersonAffiliation [[EduPersonAffiliation|Egy lehetséges vizuális ábrázolás]], azonban a halmazok pontos meghatározása az intézmény feladata. |assurer=inst|values=A következő értékek egyike: {student,faculty, staff, alumemployee, member, affiliate, employeealum, library-walk-in}, valamint a [[Scope|scope]]|example=affiliate* Hallgatók: ''student@example.org;member@example.org''* Oktatók: ''faculty@example.org;employee@example.org;member@example.org''* Nem alkalmazott oktató-hallgatók: ''student@example.org;faculty@example.org;member@domainexample.huorg''
|numOfValues=multi
}}
==== eduPersonEntitlement ===={{AttributeDef|name=eduPersonEntitlement|URI=urn:mace:dir:attribute-def:eduPersonEntitlement|OID=1.3.6.1.4.1.5923.1.1.1.7|implementation=recommended|semantics=Azon erőforrások listája, melyet a felhasználó használhat. Sok erőforrást minden felhasználó elérhet, néhányat csak korlátozott kör - ez utóbbi esetben válik fontossá ez az attribútum {{INFO|Az eduPersonEntitlement attribútumnak csak azon értékeit szabad kiadni az SP-nek, amelyek rá vonatkoznak. Ennek meghatározása kézi adminisztráció esetén igen nehéz lehet, ezért erre célszerű valamilyen adminisztrációs felületet használni. (Sajnos jelenleg nem létezik ilyen alkalmazás.)}}|description=A felhasználó által jogosan használt erőforrás(ok)|assurer=inst|example=urn:geant:niif.hu:niif:entitlement:vhoadmin|numOfValues=multi}} ==== schacHomeOrganizationType ====
{{AttributeDef|name=schacHomeOrganizationType
|URI=urn:mace:dir:attribute-def:schacHomeOrganizationType
|OID=1.3.6.1.4.1.25178.1.2.10
|values=urn:mace:terena.org:schac:homeOrganizationType:hu:{university,research-institutionnren,library,vho,school,business,other,test}
|implementation=mandatory
|description=Az intézmény jellege
|semantics=
* '''university''': Az Oktatási Minisztérium által elismert felsőoktatási intézmények (egyetemek és főiskolák)
* '''nren''': Nemzeti kutatási és felsőoktatási kutatói hálózat szolgáltatója
* '''library''': Könyvtárak
* '''vho''': Virtuális azonosító szervezet egyének föderációs azonosítása céljára
* '''school''': Általános és középiskolák
* '''business''': Ipari vagy kereskedelmi intézmények
* '''other''': Egyéb
* '''test''': Teszt felhasználóról van szó
|numOfValues=single
|assurer=inst
|syntax=URN
}}
=== organizationalUnit = ou ===={{AttributeDef|name=organizationalUnitou|URI=urn:mace:dir:attribute-def:ou|OID=2.5.4.11
|implementation=optional
|description=Az intézményen belüli egység teljes neve(organizationalUnit)|semantics=Azon egység (tanszék, intézet, könyvtár, stb) neve, amelyhez a felhasználó tartozik.|example=Automatizálási és alkalmazott informatikai tanszék
}}
= Attribútumok használata === eduPersonOrgUnitDN ===={{AttributeDef|name=eduPersonOrgUnitDN|URI=urn:mace:dir:attribute-def:eduPersonOrgUnitDN|OID=1.3.6.1.4.1.5923.1.1.1.4|implementation=optional|description=A felhasználóhoz tartozó szervezeti egység azonosítója|semantics=A felhasználóhoz tartozó szervezeti egység (pl. tanszék, intézet, könyvtár, ...) intézményen belüli egyedi, esetleg hierarchikusan képzett azonosítója.Amennyiben az adott felhasználó több egységhez is besorolható, ez az attribútum több értéket is tartalmazhat.|syntax=DN|numOfValues=multi|assurer=inst|example=* ou=VIK,ou=Units,o=BME,c=hu* ou=AAIT,ou=VIK,ou=Units,o=BME,c=hu* ou=MIT,ou=VIK,ou=Units,o=BME,c=hu}}
== == eduPersonPrimaryOrgUnitDN ===={{AttributeDef|name=eduPersonPrimaryOrgUnitDN|URI=urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN|OID=1.3.6.1.4.1.5923.1. szint 1.1.8|description=A felhasználóhoz hozzárendelhető elsődleges szervezeti egység azonosítója.|semantics=Az [[#eduPersonOrgUnitDN]]-ben tárolt egység-azonosítók közül azon elem, amelyhez a felhasználó elsődlegesen köthető.|values=Egy olyan azonosító, mely szerepel az [[#eduPersonOrgUnitDN]] értékei között.|syntax=DN|implementation=optional|assurer=inst|example=ou=AAIT,ou=VIK,ou=Units,o=BME,c=hu}}
==== niifEduPersonMajor ====
{{AttributeDef|name=niifEduPersonMajor
|OID=1.3.6.1.4.1.11914.0.1.162
|description=A hallgató főszakja
|semantics=A hallgató főszakja - a [[http://web.mab.hu/joomla/index.php?option=com_content&view=article&id=87&Itemid=623&lang=hu mab.hu ]] oldalán található lista alapján
|implementation=optional
|numOfValues=multi
|assurer=inst
|example=
* műszaki informatikus mérnök
* elméleti fizikus
}}
== 2== niifEduPersonFaculty ===={{AttributeDef|name=niifEduPersonFaculty|OID=1.3.6.1.4.1.11914.0.1. szint 160|description=Kar neve|semantics=Teljes neve annak a karnak, amelyhez a hallgató tartozik|implementation=optional|numOfValues=multi|assurer=inst|example=Villamosmérnöki és Informatikai Kar}}
