„HREF attribútum specifikáció” változatai közötti eltérés

Innen: KIFÜ Wiki
(Felhasználó és az intézmény viszonyát leíró attribútumok)
a (mail: el volt rontva az OID)
117. sor: 117. sor:
 
{{AttributeDef|name=mail
 
{{AttributeDef|name=mail
 
|URI=urn:mace:dir:attribute-def:mail
 
|URI=urn:mace:dir:attribute-def:mail
|OID=1.3.6.1.4.1.1466.115.121.1.26
+
|OID=0.9.2342.19200300.100.1.3
 
|implementation=recommended
 
|implementation=recommended
 
|description=A felhasználó email címe
 
|description=A felhasználó email címe

A lap 2009. augusztus 4., 14:07-kori változata

A föderációs attribútum specifikáció célja, hogy a résztvevő felek közötti információ átadást megkönnyítse. Az alábbiakon túl a felek egymás között tetszőlegesen meghatározhatnak attribútumokat és ezeket szabadon használhatják. Az attribútum specifikáció segítségével azonban nincs szükség minden résztvevő között külön megállapodásra.


Attention.png FIGYELEM!
A specifikáció kidolgozása folyamatban van, lényeges változások is belekerülhetnek figyelmeztetés nélkül. Amíg ez a figyelmeztetés itt szerepel, addig munkaverziónak tekintendő!


Attribútumok használata

Meghatározások

  • Implementáció (megvalósítás): egy IdP abban az esetben implementál egy attribútumot, ha az attribútumban hordozott információ a föderációs specifikációnak megfelelő szemantikai és formai követelmények szerint a rendelkezésére áll. Ez jelentheti azt, hogy a felhasználói adatbázisban a felhasználó bejegyzése tartalmazza ezt az attribútumot, de az attribútum más módon is előállhat (pl. statikusan vagy más attribútumokból dinamikusan generálva).
  • Attribútum kiadás: az attribútum átadása néhány (vagy a föderációban található összes) SP-nek.
  • KÖTELEZŐ, AJÁNLOTT, OPCIONÁLIS fogalmak meghatározását lásd a szabályozott szóhasználat leírásánál

Az attribútumokat implementáció és kiadhatóság szempontjából három csoportba oszthatjuk.

Szint 1

Az 1. szintű attribútumokat az IdP-nek KÖTELEZŐ megvalósítania és a föderáció összes SP-jének kiadnia.

Ezekre az attribútumokra egy SP számíthat. Amennyiben nem állnak rendelkezésre ezek az attribútumok, előfordulhat, hogy a felhasználó olyan hibaüzenetet kap (pl. Authorization failed), amelyet nem tud megfelelően értelmezni, és így a hiba okának megtalálása igen nehéz lehet.

Szint 2

A 2. szintű attribútumokat az IdP-nek AJÁNLOTT megvalósítania, azonban OPCIONÁLIS kiadnia az egyes SP-knek.

Ez a gyakorlatban azt jelenti, hogy az IdP és az SP között az attribútum használata pusztán kölcsönös szabályozási döntéssel megoldható, mivel az attribútum az IdP-nél rendelkezésre áll.

Szint 3

A 3. szintű attribútumokat az IdP-nek OPCIONÁLIS implementálnia és kiadnia.

Ez a gyakorlatban azt jelenti, hogy az SP ill. az alkalmazás karbantartójának számítania kell arra, hogy az attribútum kiadása nehézségekbe ütközhet, mivel az információ lehetséges, hogy nem áll rendelkezésre.


Attention.png FIGYELEM!
Fontos kiemelni, hogy amennyiben egy IdP implementál egy 3. szintű attribútumot, azt a specifikáció szerint KELL megtennie, azaz követve a specifikáció szemantikai és szintaktikai előírásait.

Attribútumok listája

Felhasználói azonosítók

Bizonyos alkalmazások esetén szükséges alkalmazás-specifikus adatokat is tárolni. Ilyen példa lehet egy webes naptárnál a felhasználóhoz kötődő bejegyzések, vagy egy wikinél a felhasználó szerkesztései. Ezeket az alkalmazások valamilyen helyi adatbázisban tárolják, a kulcs a felhasználó és az adatbázis bejegyzés között pedig egy állandó azonosító.

Az állandó azonosítók lehetnek:

  • statikusak: a felhasználó létrehozásakor megadott adattal megegyezők
  • számítottak: a felhasználó valamelyik (vagy több) attribútumából algoritmikusan - általában hash eljárással - generáltak
  • tároltak: ezek általában olyan számított azonosítók, amelyet az IdP egy adatbázisban elsődleges kulcsként is használ, azaz
    • a számításkor felhasznált attribútumok változása esetén is állandó marad
    • az ütközés érzékelhető

Az azonosítók az alábbi tulajdonságokkal rendelkezhetnek:

  • állandóság: az IdP-nek gondoskodnia kell arról, hogy a kiosztott azonosító a felhasználó intézménynél töltött életciklusa során állandó legyen.
Amennyiben egy állandó(nak szánt) azonosító mégis megváltozik, az nagyon nehéz helyzetbe hozhatja mind a felhasználót, mind az alkalmazás üzemeltetőt. Erre megoldás lehet a SAML2 NameID Mapping, azonban ezt jelenleg a föderációban használt szoftverek csak részlegesen vagy egyáltalán nem támogatják.
  • nem osztható ki újra (non-reassignable): az IdP-nek gondoskodnia kell arról, hogy egy felhasználó azonosítóját később nem osztja ki másik felhasználónak.
Ennek algoritmikus biztosítása bizonyos esetekben nehézségekbe ütközhet (pl. hash ütközések, illetve bizonyos IdP-k kézzel osztanak azonosítókat), ezért jelen specifikáció csak azt követeli meg, hogy azonosító a gyakorlatban ne tegye lehetővé, hogy az alkalmazás oldalán a felhasználók összekeveredjenek. Különböző IdP-ktől jövő felhasználók azonosítói abban az esetben nem ütközhetnek, ha az azonosítónak része valamilyen, az IdP-re jellemző adat (scope vagy entityID).
  • nem átlátszó (opaque): az ilyen azonosítók nem jellemzők a felhasználóra, az értékéből nem lehet következtetni a felhasználó személyére (pl. e-mail címére)
Nem minden azonosító rendelkezik ilyen tulajdonsággal, azonban intézmények között adatvédelmi szempontból kifejezetten kívánatos, hogy egy azonosító ne legyen jellemző a felhasználó személyére. A nem átlátszó azonosítót nem célszerű a felhasználók felé megjeleníteni.
  • célzott (targeted): az ilyen azonosítók minden SP-nél különbözőek, s így az SP-k - az IdP közreműködése nélkül - nem képesek profilt készíteni egy felhasználóról, ami adatvédelmi szempontból kívánatos.
Nem minden azonosító rendelkezik ilyen tulajdonsággal.

Az állandó azonosító kiadható attribútumként, illetve a SAML Assertion NameID mezőjében. Bizonyos SP implementációk (pl. a Shibboleth 2.x) képesek arra, hogy az alkalmazás részére elfedjék azt, hogy az azonosító pontosan milyen attribútumban vagy NameID-ben érkezett, pl. úgy, hogy az azonosítót a REMOTE_USER változóban adják ki az alkalmazás számára.


Info.png Megjegyzés
Léteznek olyan alkalmazások is, amelyek nem igényelnek állandó azonosítót, mivel nem használnak alkalmazás-specifikus adatokat. Jelenleg vizsgáljuk, hogy technikailag és adminisztrációs terhek szempontjából megvalósítható-e, hogy állandó azonosítót csak azon SP-k számára legyen kötelező kiadni, amelyek ezt igénylik.

eduPersonTargetedID

eduPersonTargetedID
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonTargetedID
OID: 1.3.6.1.4.1.5923.1.1.1.10
Rövid leírás Nem átlátszó, célzott azonosító
Implementáció kötelező
Részletes leírás Lásd: https://spaces.internet2.edu/display/SHIB2/NativeSPTargetedID , ill. a fenti megjegyzést az implementációs szinttel kapcsolatban.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika IdPEntityID!SPEntityID!targetedID
Adatgazda nem definiált
Példa https://idp.example.org/idp/shibboleth!https://sp.example.org/shibboleth!84e411ea-7daa-4a57-bbf6-b5cc52981b73


eduPersonPrincipalName

eduPersonPrincipalName
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonPrincipalName
OID: 1.3.6.1.4.1.5923.1.1.1.6
Rövid leírás Állandó egyedi azonosító
Implementáció ajánlott
Részletes leírás <egyedi_lokális_azonosító>@<scope>

Ahol

  • <egyedi_lokális_azonosító>: tetszőleges állandó azonosító, amely az intézményen belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító (uid) használata, azonban bármilyen más azonosító használható
  • <scope>: egy domain, melyet az intézmény scope-ként használhat.

Megjegyzés: az eduPersonPrincipalName érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-mail címével. Intézményen belüli használata javasolt, intézményen kívül célszerű nem átlátszó, célzott azonosítót használni.

Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa gipsz.jakab@example.org


Felhasználói tulajdonságokat leíró attribútumok

sn

sn
Elnevezés URI: urn:mace:dir:attribute-def:sn
OID: 2.5.4.4
Rövid leírás A felhasználó vezetékneve
Implementáció opcionális
Részletes leírás A felhasználó vezetékneve. Amennyiben több vezetékneve van a felhasználónak, akkor ezeket egyetlen értékben kell tárolni.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa
  • Gipsz
  • Gipszné Kiss


givenName

givenName
Elnevezés URI: urn:mace:dir:attribute-def:givenName
OID: 2.5.4.42
Rövid leírás A felhasználó keresztneve
Implementáció opcionális
Részletes leírás Amennyiben több keresztneve van a felhasználónak, ezeket egyetlen értékben kell tárolni.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa
  • Jakab
  • Mária Lujza


displayName

displayName
Elnevezés URI: urn:mace:dir:attribute-def:displayname
OID: 2.16.840.1.113730.3.1.241
Rövid leírás A felhasználó neve abban a formában, ahogy a felhasználó, vagy a felhasználó intézménye meg kívánja jeleníteni
Implementáció ajánlott
Részletes leírás -
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa Gipsz Jakab Aladár


mail

mail
Elnevezés URI: urn:mace:dir:attribute-def:mail
OID: 0.9.2342.19200300.100.1.3
Rövid leírás A felhasználó email címe
Implementáció ajánlott
Részletes leírás A felhasználó értesítési e-mail címe. Jelenleg az intézményi gyakorlat kettős. Bizonyos intézmények megkövetelik, hogy a felhasználó elérhető legyen egy, az intézmény által biztosított e-mail címen; míg más intézmények külső szolgáltató által üzemeltetett e-mail címet is elfogadnak, amelyet a felhasználó maga állíthat be.
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa gipsz.jakab@example.org


preferredLanguage

preferredLanguage
Elnevezés URI: urn:mace:dir:attribute-def:preferredLanguage
OID: 2.16.840.1.113730.3.1.39
Rövid leírás A felhasználó által előnyben részesített nyelv
Implementáció opcionális
Részletes leírás -
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa -


Felhasználó és az intézmény viszonyát leíró attribútumok

eduPersonScopedAffiliation

eduPersonScopedAffiliation
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonScopedAffiliation
OID: 1.3.6.1.4.1.5923.1.1.1.9
Rövid leírás Felhasználó és intézmény közti viszony leírása
Implementáció kötelező
Részletes leírás <viszony>@<scope>
  • <viszony>: a felhasználó és az intézmény közti viszony leírására az alábbi értékek választhatók
    • faculity:
    • student: felsőoktatási intézmény hallgatója
    • staff:
    • alum:
    • member:
    • affiliate:
    • employee:
    • library-walk-in:
  • <scope>: egy domain, melyet az intézmény scope-ként használhat.
Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika Directory String
Adatgazda nem definiált
Példa affiliate@example.org


eduPersonEntitlement

eduPersonEntitlement
Elnevezés URI: urn:mace:dir:attribute-def:eduPersonEntitlement
OID: 1.3.6.1.4.1.5923.1.1.1.7
Rövid leírás A felhasználó által jogosan használt erőforrás(ok)
Implementáció ajánlott
Részletes leírás Azon erőforrások listája, melyet a felhasználó használhat. Sok erőforrást minden felhasználó elérhet, néhányat csak korlátozott kör - ez utóbbi esetben válik fontossá ez az attribútum


Info.png Megjegyzés
Az eduPersonEntitlement attribútumnak csak azon értékeit szabad kiadni az SP-nek, amelyek rá vonatkoznak. Ennek meghatározása kézi adminisztráció esetén igen nehéz lehet, ezért erre célszerű valamilyen adminisztrációs felületet használni. (Sajnos jelenleg nem létezik ilyen alkalmazás.)
Lehetséges értékek nincs korlátozás
Értékek száma multi
Szintaktika Directory String
Adatgazda nem definiált
Példa urn:geant:niif.hu:niif:entitlement:vhoadmin


schacHomeOrganizationType

schacHomeOrganizationType
Elnevezés URI: urn:mace:dir:attribute-def:schacHomeOrganizationType
OID: 1.3.6.1.4.1.25178.1.2.10
Rövid leírás Az intézmény jellege
Implementáció kötelező
Részletes leírás
  • university: A Magyar Akkreditációs Bizottság által egyetemként elismert felsőoktatási intézmények
  • college: A Magyar Akkreditációs Bizottság által főiskolaként elismert felsőoktatási intézmények
  • research-institution: A Magyar Tudományos Akadémia (fixme: egyéb ernyőszervezetek) alá tartozó kutatási intézmények
  • library: Könyvtárak
  • vho: Virtuális azonosító szervezet egyének föderációs azonosítása céljára
  • school: Általános és középiskolák
  • business: Ipari vagy kereskedelmi intézmények
  • other: Egyéb
Lehetséges értékek urn:schac:homeOrganizationType:hu:{university,college,research-institution,library,vho,school,other}
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa -


organizationalUnit

organizationalUnit
Elnevezés URI: nincs megadva
OID: nincs megadva
Rövid leírás Az intézményen belüli egység teljes neve
Implementáció opcionális
Részletes leírás -
Lehetséges értékek nincs korlátozás
Értékek száma single
Szintaktika Directory String
Adatgazda nem definiált
Példa -


Oktatásban használt attribútumok

niifEduPersonAttendedCourse

niifPersonAttendedCourse
Elnevezés URI: urn:geant:niif.hu:dir:attribute-def:niifPersonAttendedCourse
OID: 1.3.6.1.4.1.11914.0.1.164
Rövid leírás Felhasználó által hallgatott tárgy kódja
Implementáció opcionális
Részletes leírás Azon tantárgyak kódja, amelyet a felhasználó az adott félévben hallgat.

Oktatási intézmény esetén JAVASOLT az attribútumot implementálni és az intézményen belüli SP-k számára kiadni. Adatvédelmi szempontból JAVASOLT az értékeket úgy szűrni, hogy az SP csak a számára releváns tárgyak kódját kapja meg.

Lehetséges értékek A tanulmányi rendszerben meghatározott tantárgykódok
Értékek száma multi
Szintaktika Directory String
Adatgazda nem definiált
Példa
  • VIMM1234
  • VIMA4321
A lap eredeti címe: „https://wiki.niif.hu/index.php?title=HREF_attribútum_specifikáció&oldid=1021