1 260
szerkesztés
Módosítások
→Azonosító attribútumok
== Attribútumok listája ==
=== Azonosító attribútumok Felhasználói azonosítók ===Bizonyos alkalmazások esetén szükséges alkalmazás-specifikus adatokat is tárolni. Ilyen példa lehet egy webes naptárnál a felhasználóhoz kötődő bejegyzések, vagy egy wikinél a felhasználó szerkesztései. Ezeket az alkalmazások valamilyen helyi adatbázisban tárolják, a kulcs a felhasználó és az adatbázis bejegyzés között pedig egy '''állandó azonosító'''.
Az állandó azonosítók lehetnek:
* '''statikusak''': a felhasználó létrehozásakor megadott adattal megegyezők
* '''számítottak''': a felhasználó valamelyik (vagy több) attribútumából algoritmikusan - általában hash eljárással - generáltak
* '''tároltak''': ezek általában olyan számított azonosítók, amelyet az IdP egy adatbázisban elsődleges kulcsként is használ, azaz
** a számításkor felhasznált attribútumok változása esetén is állandó marad
** az ütközés érzékelhető
Az azonosítók az alábbi tulajdonságokkal rendelkezhetnek:
* '''állandóság''': az IdP-nek gondoskodnia kell arról, hogy a kiosztott azonosító a felhasználó intézménynél töltött életciklusa során állandó legyen.
:: Amennyiben egy állandó(nak szánt) azonosító mégis megváltozik, az nagyon nehéz helyzetbe hozhatja mind a felhasználót, mind az alkalmazás üzemeltetőt. Erre megoldás lehet a SAML2 NameID Mapping, azonban ezt jelenleg a föderációban használt szoftverek csak részlegesen vagy egyáltalán nem támogatják.
* '''nem osztható ki újra''' (''non-reassignable''): az IdP-nek gondoskodnia kell arról, hogy egy felhasználó azonosítóját később nem osztja ki másik felhasználónak.
:: Ennek algoritmikus biztosítása bizonyos esetekben nehézségekbe ütközhet (pl. hash ütközések, illetve bizonyos IdP-k kézzel osztanak azonosítókat), ezért jelen specifikáció csak azt követeli meg, hogy azonosító a gyakorlatban ne tegye lehetővé, hogy az alkalmazás oldalán a felhasználók összekeveredjenek. Különböző IdP-ktől jövő felhasználók azonosítói abban az esetben nem ütközhetnek, ha az azonosítónak része valamilyen, az IdP-re jellemző adat ([[Scope|scope]] vagy [[entityID]]).
* '''nem átlátszó''' (''opaque''): az ilyen azonosítók nem jellemzők a felhasználóra, az értékéből nem lehet következtetni a felhasználó személyére (pl. e-mail címére)
:: Nem minden azonosító rendelkezik ilyen tulajdonsággal, azonban intézmények között adatvédelmi szempontból kifejezetten kívánatos, hogy egy azonosító ne legyen jellemző a felhasználó személyére. A nem átlátszó azonosítót nem célszerű a felhasználók felé megjeleníteni.
* '''célzott''' (''targeted''): az ilyen azonosítók minden SP-nél különbözőek, s így az SP-k - az IdP közreműködése nélkül - nem képesek profilt készíteni egy felhasználóról, ami adatvédelmi szempontból kívánatos.
:: Nem minden azonosító rendelkezik ilyen tulajdonsággal.
Az állandó azonosító kiadható attribútumként, illetve a SAML Assertion NameID mezőjében. Bizonyos SP implementációk (pl. a Shibboleth 2.x) képesek arra, hogy az alkalmazás részére elfedjék azt, hogy az azonosító pontosan milyen attribútumban vagy NameID-ben érkezett, pl. úgy, hogy az azonosítót a REMOTE_USER változóban adják ki az alkalmazás számára.
{{INFO|Léteznek olyan alkalmazások is, amelyek nem igényelnek állandó azonosítót, mivel nem használnak alkalmazás-specifikus adatokat. Jelenleg vizsgáljuk, hogy technikailag és adminisztrációs terhek szempontjából megvalósítható-e, hogy állandó azonosítót csak azon SP-k számára legyen kötelező kiadni, amelyek ezt igénylik. }}
==== eduPersonTargetedID ====
|URI=urn:mace:dir:attribute-def:eduPersonTargetedID
|OID=1.3.6.1.4.1.5923.1.1.1.10
|description=Átlátszatlan Nem átlátszó, célzott azonosító|semantics=Az IdP ugyanannak az SP-nek ugyanarról Lásd: https://spaces.internet2.edu/display/SHIB2/NativeSPTargetedID , ill. a felhasználóról mindig ugyanazt fenti megjegyzést az értéket adja kiimplementációs szinttel kapcsolatban.
|implementation=mandatory
|syntax=IdPEntityID!SPEntityID!targetedID
* '''<scope>''': egy domain, melyet az intézmény [[Scope|scope-ként]] használhat.
'''Megjegyzés''': az '''eduPersonPrincipalName''' érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-mail címével. Intézményen belüli használata javasolt, intézményen kívül célszerű nem átlátszó, célzott azonosítót használni.
|example=gipsz.jakab@example.org
}}
