Šioje specifikacijoje pateikiami privalomų ir rekomenduojamų atributų aprašai.
Turinys
Privalomi atributai
Šiuos atributus kiekvienas tapatybių teikėjas (IDP) privalo priskirti kiekvienai tapatybei:
- cn
- eduPersonPrincipalName
- eduPersonTargetedID
- schacHomeOrganization
Tai, kad atributas yra privalomas, nereiškia, kad atributas turi būti perduodamas kiekvienai paslaugai (SP). Atributų atskleidimo tvarką apsprendžia LITNET FEDI struktūros ir valdymo tvarkos aprašas.
Rekomenduojami atributai
Visi kiti dokumente nurodomi atributai yra rekomendacinio pobūdžio. Siekiant, kad LITNET FEDI nariai galėtų apsikeisti informacija apie naudotojus ir gebėtų įsijungti į tarptautines konfederacijas, yra rekomenduojama laikytis šiame dokumente išdėstytų schemų aprašų. Žemiau išvardinti atributai yra rekomenduojama minimali atributų aibė, aprašanti LITNET FEDI nario skaitmenines tapatybes:
- eduPersonAffiliation
- eduPersonEntitlement
- eduPersonScopedAffiliation
- sn
- givenName
- displayName
- schacHomeOrganizationType
Federacijos nariai gali naudoti ir kitus nurodytų ar kitų schemų atributų rinkinius sekdami schemų naudojimo rekomendacijomis.
Atributų aprašai
eduPerson schemos atributai
eduPersonPrincipalName
Pavadinimas | eduPersonPrincipalName |
Aprašymas | Prisijungimo vardas, kuris naudojamas tarpinstitucinei autentifikacijai |
Formatas | <uid>@<univ.domenas> |
Sintaksė | DirectoryString |
Reikšmių kiekis | Viena |
OID | 1.3.6.1.4.1.5923.1.1.1.6 |
Pavyzdžiai | eduPersonPrincipalName: Šis el.pašto adresas yra apsaugotas nuo šiukšlių. Jums reikia įgalinti JavaScript, kad peržiūrėti jį. |
eduPersonTargetedID
Pavadinimas | eduPersonTargetedID |
Aprašymas | Nekintantis anoniminis identifikatorius |
Sintaksė | DirectoryString |
Reikšmių kiekis | Daug |
OID | 1.3.6.1.4.1.5923.1.1.1.10 |
Pavyzdžiai | eduPersonTargetedID : e78af30a4f08125fee5dbc2015384c19a2ddb1e52420397c5e7b39da5e2825e0 |
Atributas identifikuoja naudotoją ir turi tokias savybes:
- pastovumas - atributas nepakinta visą laiką, kol naudotojas naudojasi paslauga;
- privatumas - atributas neatskleidžia tikrosios asmens tapatybės, naudojant atributą nėra galimybės atsekti kitus asmens identifikatorius. Tai gali būti pseudo-atsitiktinė skaitinė reikšmė, priskirta asmeniui;
- unikalumas - atributas yra skirtas tik vienai konkrečiai paslaugai, ta pati atributo reikšmė neturi būti naudojama kitoms paslaugoms. Ta pati reikšmė negali būti priskirta kitiems to paties IDP naudotojams;
- perleidimas - IDP negali priskirti iš naujo atributo reikšmės kitam naudotojui, jei reikšmė jau buvo naudota anksčiau.
Atributas nebūtinai turi būti saugojamas institucijos tapatybių valdymo sistemoje, gali būti dinamiškai generuojama reikšmė.
eduPersonAffiliation
Pavadinimas | eduPersonAffiliation |
Aprašymas | Asmens santykis su institucija |
Galimos reikšmės | student, faculty, staff, employee, member, affiliate, alum, library-walk-in |
Sintaksė | DirectoryString |
Reikšmių kiekis | Daug |
OID | 1.3.6.1.4.1.5923.1.1.1.1 |
- student – asmuo, turintis studijų sutartį su institucija, dalyvaujantis studijų programose, klausantis kursų.
- faculty – darbuotojas, vykdantis mokslinę arba švietimo veiklą, t.y. tyrėjai, dėstytojai, asistentai ir pan.
- staff – darbuotojas, priklausantis administraciniam personalui.
- employee – asmuo turintis darbo sutartį su institucija.
- member – institucijos narys, institucijos bendruomenės narys. Apima asmenis, priklausančius kategorijoms faculty, staff, student arba employee.
- affiliate – asmuo, turintis tam tikrų santykių su institucija, bet nepriklausantis kategorijoms faculty, staff, student, employee, member.
- alum – studijas baigęs asmenys.
- library-walk-in – asmuo, turintis leidimą patekti į institucijos patalpas, biblioteką, gaunantis tam tikrus institucijos resursus.
Pvz.
Studento atributai :
-
student
-
member
Dėstytojo (mokslinio darbuotojo) atributai:
-
faculty
-
employee
-
member
Darbuotojo atributai:
-
staff
-
employee
-
member
Asmens, kuris turi tam tikrų santykių su institucija, bet nepriklausantis kategorijoms faculty, staff, student, employee, member, atributai:
-
affiliate
Asmuo gali turėti keliatą vaidmenų, pavyzdžiui, tuo pačiu metu gali būti ir darbuotojas, ir studentas. Tuomet asmuo turi atributus:
-
student
-
staff
-
employee
-
member
eduPersonEntitlement
Pavadinimas | eduPersonEntitlement |
Aprašymas | URI (URN arba URL), kuris nurodo priegos prie resursų teises |
Sintaksė | DirectoryString |
Reikšmių kiekis | Daug |
OID | 1.3.6.1.4.1.5923.1.1.1.7 |
Pavyzdžiai | eduPersonEntitlement: urn:mace:uni.lt:mail:email |
SCHAC schemos atributai
schacHomeOrganization
Pavadinimas | schacHomeOrganization |
Aprašymas | Sąsajos su organizacija naudojant tik organizacijos domeną |
Formatas | Institucijos domenas |
Sintaksė | DirectoryString |
Reikšmių kiekis | Viena |
OID | 1.3.6.1.4.1.25178.1.2.9 |
Pavyzdžiai | schacHomeOrganization: uni.lt |
schacHomeOrganizationType
Pavadinimas | schacHomeOrganizationType |
Aprašymas | Organizacijos tipas |
Formatas |
urn:mace:urn:schac:homeOrganizationType:<šalies-kodas>:<tipas>
|
Sintaksė | DirectoryString |
Reikšmių kiekis | Viena |
OID | 1.3.6.1.4.1.25178.1.2.10 |
Pavyzdžiai | SchacHomeOrganizationType: urn:mace:terena.org:schac:homeOrganizationType:lt:university |
inetOrgPerson schemos atributai
displayName
Pavadinimas | displayName |
Aprašymas | Įrašo pavadinimas. Dažniausiai tai būna vardas ir pavardė (lietuviškomis raidėmis, jei jų yra) |
Formatas | UTF8 eilutė |
Sintaksė | DirectoryString |
Reikšmių kiekis | Viena |
OID | 2.16.840.1.113730.3.1.241 |
Pavyzdžiai | displayName: Vardenis Pavardenis |
COSINE LDAP/X.500 schemos atributai
Pavadinimas | |
Aprašymas | 'mail' (rfc822mailbox) atribute saugomas asmens el. pašto adresas pagal RFC 2821 |
Formatas | <vardas.pavarde>@<domenas> |
Sintaksė | IA5String |
Reikšmių kiekis | Daug |
OID | 0.9.2342.19200300.100.1.3 |
Pavyzdžiai | mail: Šis el.pašto adresas yra apsaugotas nuo šiukšlių. Jums reikia įgalinti JavaScript, kad peržiūrėti jį. |
LDAP: Schema for User Applications schemos atributai
cn
Pavadinimas | cn |
Aprašymas | Bendras vardas (vardas pavardė) |
Formatas | |
Sintaksė | DirectoryString |
Reikšmių kiekis | Daug |
OID | 2.5.4.3 |
Pavyzdžiai |
cn: Vardenis Pavardenis cn: Jonas Jonaitis-Petraitis |
sn
Pavadinimas | sn |
Aprašymas | Pavardė |
Formatas | Pavardė (su lietuviškomis raidėmis) |
Sintaksė | DirectoryString |
Reikšmių kiekis | Daug |
OID | 2.5.4.4 |
Pavyzdžiai |
sn: Jonaitis-Petraitis sn: Jonaitis sn: Petraitis |
givenName
Pavadinimas | givenName |
Aprašymas | RFC2256: asmens vardas arba ta dalis, kuri nėra asmens pavardė |
Formatas | Vardas (su lietuviškomis raidėmis) |
Sintaksė | DirectoryString |
Reikšmių kiekis | Daug |
OID | 2.5.4.42 |
Pavyzdžiai |
givenName: Vardenis |
SimpleSAMLphp paketas atlieka atributų pavadinimų konvertavimą filtrų pagalba. Atributų pavadinimų konvertavimas atliekamas lentelių name2oid ir oid2name pagalba, kurias reikia papildyti įrašais:
name2oid:
'litnetEduPersonStudyField' => 'urn:oid:1.3.6.1.4.1.7865.1.2.1',
'litnetEduPersonStudyBranch' => 'urn:oid:1.3.6.1.4.1.7865.1.2.2',
'litnetEduPersonStudentCategory' => 'urn:oid:1.3.6.1.4.1.7865.1.2.3',
'litnetEduPersonTargetDegree' => 'urn:oid:1.3.6.1.4.1.7865.1.2.4',
'litnetEduPersonLABTusrlibrary' => 'urn:oid:1.3.6.1.4.1.7865.1.2.5',
oid2name:
'urn:oid:1.3.6.1.4.1.7865.1.2.1' => 'litnetEduPersonStudyField',
'urn:oid:1.3.6.1.4.1.7865.1.2.2' => 'litnetEduPersonStudyBranch',
'urn:oid:1.3.6.1.4.1.7865.1.2.3' => 'litnetEduPersonStudentCategory',
'urn:oid:1.3.6.1.4.1.7865.1.2.4' => 'litnetEduPersonTargetDegree',
'urn:oid:1.3.6.1.4.1.7865.1.2.5' => 'litnetEduPersonLABTusrlibrary',