cs:attributes:eduroamuid

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

cs:attributes:eduroamuid [2018/08/09 13:19] (aktuální)
jop@cesnet.cz vytvořeno
Řádek 1: Řádek 1:
 +====== eduroamUID ======
 +
 +[[:​cs:​spravce:​etlog|Systém etlog]] umožnuje koncovým uživatelům sítě eduroam zobrazit informace o jejich aktivitě. Předpokládá,​ že eduroam identita uživatele je shodná s hodnotou atributu ''​[[https://​www.eduid.cz/​cs/​tech/​attributes/​edupersonprincipalname|eduPersonPrincipalName]]''​. V případě, že to není pravda, může domovské IdP implementovat atribut ''​eduroamUID''​ a v něm předávat eduroam identitu uživatele.
 +
 +Na úrovní SAML zprávy je atribut identifikován jako ''<​nowiki>​http://​eduroam.cz/​attributes/​eduroamUID</​nowiki>''​. Implementace na straně Shibboleth IdP 3 (konfigurační soubor ''​attribute-resolver.xml''​) může vypadat např. takto:
 +
 +<file xml attribute-resolver-eduroamuid.xml>​
 +<​AttributeDefinition id="​eduroamUID"​ xsi:​type="​ScriptedAttribute">​
 +  <​Dependency ref="​uid"​ />
 +  <​AttributeEncoder xsi:​type="​SAML1String"​ name="​http://​eduroam.cz/​attributes/​eduroamUID"​ />
 +  <​AttributeEncoder xsi:​type="​SAML2String"​ name="​http://​eduroam.cz/​attributes/​eduroamUID"​ friendlyName="​eduroamUID"​ />
 +  <​Script>​
 +    <​![CDATA[
 +      if (typeof uid != "​undefined"​ && uid != null) {
 +          eduroamUID.addValue (uid.getValues().get(0) + "​@eduroam.%{idp.scope}"​);​
 +      }
 +      ]]>
 +    </​Script>​
 +</​AttributeDefinition>​
 +</​file>​
 +
 +IdP musí tento atribut uvolňovat minimálně pro entityID ''<​nowiki>​https://​monitor.eduroam.cz/​shibboleth</​nowiki>''​ a ''<​nowiki>​https://​attributes.eduid.cz/​shibboleth</​nowiki>''​. Chcete-li uvolňovat atribut ''​eduroamUID''​ jen službám z federace //​eduID.cz//,​ které si tento atribut vyžádají v metadatech, ukázka pravidla pro Shibboleth IdP 3 (konfigurační soubor ''​attribute-filter.xml''​) je zde:
 +
 +<file xml attribute-filter-eduroamuid.xml>​
 +<​AttributeFilterPolicy id="​eduroamUID">​
 +
 +    <​PolicyRequirementRule xsi:​type="​OR">​
 +        <Rule xsi:​type="​InEntityGroup"​ groupID="​https://​eduid.cz/​metadata"​ />
 +    </​PolicyRequirementRule>​
 +
 +    <​AttributeRule attributeID="​eduroamUID">​
 +        <​PermitValueRule xsi:​type="​AttributeInMetadata"​ onlyIfRequired="​false"​ />
 +    </​AttributeRule>​
 +
 +</​AttributeFilterPolicy>​
 +</​file>​
  
Poslední úprava:: 2018/08/09 13:19