Attribútum specifikáció

Hasonló dokumentumok
Attribútum specifikáció

HREF Föderáció Policy áttekintés

Szövetségi (föderatív) jogosultságkezelés

Szolgáltatási szint megállapodás

Szolgáltatási szint megállapodás. Verzió: 1.0. (2010. december 13.)

Metadata specifikáció

NEPTUN ID BMENET ID. Címtár BME VPN. vcenter VPN SVN. Trac Wiki. Wifi

hatékony felhasználókezelés felhasználói roaming Bajnok Kristóf/Mohácsi János NIIF Intézet Budapest, június 2.

Virtual Organizations,

EMLÉKEZTETŐ MELLÉKLET A MAGYAR KUTATÁSI ÉS FELSŐOKTATÁSI FÖDERÁCIÓ (HREF) KERETÉBEN TÖRTÉNŐ ADATKEZELÉSSEL KAPCSOLATOS ÁLLÁSFOGLALÁSHOZ

Csoportkezelés a szövetségben

ÁLLÁSFOGLALÁS A MAGYAR KUTATÁSI ÉS FELSŐOKTATÁSI FÖDERÁCIÓ (HREF) KERETÉBEN

Metadata Specifikció

Shibboleth alapú felhasználóazonosítás. rendszerben

AAI & Shibboleth HBONE Workshop

OTRS powered by eduid

Fülöp Csaba, Kovács László, Micsik András

Savaria Egyetemi Könyvtár Katalógusa. Böngészés Keresés Találatok megjelenítése Adatbázis választás Olvasói tranzakciók

QBE Édes Otthon lakásbiztosítás tarifáló webservice. Fejlesztői dokumentáció 1.0.2

ÁLLÁSFOGLALÁS A MAGYAR KUTATÁSI ÉS FELSŐOKTATÁSI FÖDERÁCIÓ (HREF) KERETÉBEN

Enterprise JavaBeans 1.4 platform (EJB 2.0)

Sulinet+ Azonosítási és jogosultságkezelési pilot. Sulinet eduid/eduroam oktatás. Bajnok Kristóf NIIF Intézet

Könyvtárak szövetségben! Magyar Zsuzsanna MTA SZTAKI ITAK

Moodle-integrálás intézményi környezetben

SZOFTVERES SZEMLÉLTETÉS A MESTERSÉGES INTELLIGENCIA OKTATÁSÁBAN _ Jeszenszky Péter Debreceni Egyetem, Informatikai Kar jeszenszky.peter@inf.unideb.

Enterprise JavaBeans. Ficsor Lajos Általános Informatikai Tanszék Miskolci Egyetem. Az Enterprise JavaBeans

Könyvtári címkéző munkahely

Adatbázis rendszerek Definíciók:

Adatmodellezés. 1. Fogalmi modell

Felhasználói kézikönyv

URN használata hálózati dokumentumok azonosításában Országos Széchényi Könyvtár Könyvtár-informatikai M hely Budapest, június 12.

ADATBÁZIS-KEZELÉS. Relációs modell

Az internet az egész világot behálózó számítógép-hálózat.

(nagytotál kistotál)

KPMG IFRS 16 megoldása. SmartLeaser

Szerver oldali Java programozás /II. 1. óra. Elemkönyvtárak. Elemkönyvtárak használata Saját elemkönyvtár készítése.

ADATBÁZISOK. 3. gyakorlat E-K modell

Szalai Ferenc

Több felhasználó párhuzamosan olvashatja, bővítheti, módosíthatja és törölheti az adatokat Az adatok konzisztenciájának és biztonságának biztosítása

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Eduroam Az NIIF tervei

Metadata specifikáció. Verzió: 1.0. (2010. December 13.)

Java. Perzisztencia. ANTAL Margit. Java Persistence API. Object Relational Mapping. Perzisztencia. Entity components. ANTAL Margit.

Eduroam változások - fejlesztések, fejlődések. Mohácsi János NIIF Intézet HBONE Workshop 2015


Elektronikus ügyintézés informatikai megvalósítása

Szállítói útmutató: Felhasználói profil frissítése a MOL ebidding (elektronikus ajánlatkérési) rendszerben

Alkalmazotti/partneri regisztráció gyorshivatkozási kártyája

NETTUTOR AZ OKTATÁSSZERVEZÉS SZÁMÍTÓGÉPES TÁMOGATÁSA

Aláírási jogosultság igazolása elektronikusan

TÁRGYTEMATIKA RÖGZÍTÉSE A NEPTUN RENDSZERBEN

XML / CSV specifikáció

IT Szolgáltatás Menedzsment az oktatási szektorban - 90 nap alatt költséghatékonyan

Gazdasági informatika II (SZIE GTK GVAM 1. évfolyam) 2009/2010. tanév 2. félév

Webes kurzus kezelés folyamata Oktatói felületek

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 5. óra. Kocsis Gergely, Supák Zoltán

Autentikációs és autorizációs infrastruktúrák

MIKOVINY SÁMUEL TÉRINFORMATIKAI EMLÉKVERSENY

Képernyőképes segédlet a Prompt e-learning portál használatához

Utolsó módosítás:

ADATBÁZIS RENDSZEREK. Adatbázis tervezés. Krausz Nikol, Medve András, Molnár Bence

Az Online Management Kft. online számlázó programjával kapcsolatos adatkezelési tájékoztató

NAV nyomtatványok kitöltésének támogatása

Perzisztencia. ANTAL Margit. Sapientia - EMTE. ANTAL Margit Java technológiák 11. előadás Perzisztencia

Elektronikus átvételi elismervény és elektronikus küldés funkció bevezetése - változások az FMH rendszerben ( )

Moodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban

XML / CSV specifikáció

Tanuló nyilvántartó rendszer (TNYR)

Országos Területrendezési Terv térképi mel ékleteinek WMS szolgáltatással történő elérése, Quantum GIS program alkalmazásával Útmutató 2010.

Változások az új CooSpace- ben

Az autorizáció részletes leírása

Általános használati tudnivalók és szabályok

Flash és PHP kommunikáció. Web Konferencia 2007 Ferencz Tamás Jasmin Media Group Kft

Programozási technológia

BarAck.Net. Internetes csomagkezel. Felhasználói kézikönyv V 1.0. (2011. július 20.)

Magas szintű adatmodellek Egyed/kapcsolat modell I.

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

Metadirectory koncepció kivitelezése

ÉTDR REGISZTRÁCIÓ ÜGYFELEK SZÁMÁRA

Online számla regisztráció

7 ~ idegen nyelven: 9

Óranyilvántartás (NEPTUN)

AAI projekt. Megvalósíthatósági vizsgálat alatt

Viczián István IP Systems JUM XIX szeptember 18.

Tartalomjegyzék 2. RENDSZER FELÉPÍTÉSE... 3

Az adatok a vállalat kulcsfontosságú erőforrásai. Az információs rendszer adatai kezelésének két alapvető változata:

Magyar Telekom fokozott e- Szignó. nem-minősített hitelesítés szolgáltatás. Standard Üzleti Tanúsítvány. Fokozott Személyi Tanúsítvány

Regisztrációs útmutató a Közokos- a BME Közoktatási Vezető Képzésének Online Oktatási Rendszeréhez Őszi beíratkozott hallgatók részére

Iratérvényességi Nyilvántartás Szolgáltatás (IÉNY)

ALKALMAZÁSOK ISMERTETÉSE

MS ACCESS 2010 ADATBÁZIS-KEZELÉS ELMÉLET SZE INFORMATIKAI KÉPZÉS 1

Archivált tanulmányi adatok importálása. Felhasználói dokumentáció verzió 2.0.

KUTATÁSTÁMOGATÁS SOROZAT. Felhasználói segédlet ORCID azonosító használatához. Szent István Egyetem Kosáry Domokos Könyvtár és Levéltár

Kitöltési útmutató. szaktanácsadói névjegyzékbe történő. regisztrációhoz

Albacomp RI Rendszerintegrációs Kft Székesfehérvár, Mártírok útja 9. E K O P - 1. A. 2 - A D A T Á L L O M Á N Y O K

Aláírási jogosultság igazolása elektronikusan

ESZR - Feltáró hálózat

(Minőségirányítási eljárás)

Gyakorlati vizsgatevékenység B

Webes alkalmazások fejlesztése

Átírás:

Attribútum specifikáció Verzió: 2.0 (2017. november30.) aai@niif.hu

E doikumentum célja Egy SAML föderációban a felhasználóval kapcsolatos információkat az Identity Provider SAML Attribútumok formájában adja át a Service Provider számára. Fontos, hogy mindkét fél ugyanúgy értelmezze az adatokat. Az attribútumok pontos meghatározását a vonatkozó séma dokumentumok tartalmazzák. Ebben a dokumentumban az alábbi sémákat használjuk: person, organizationperson (X.521) inetorgperson (RFC2798) eduperson (http://middleware.internet2.edu/eduperson/) SCHAC (https://wiki.refeds.org/display/stan/schac+releases) niifperson, niifeduperson (NIIFSchema) Ez az attribútum specifikáció a meghatározott attribútumok eduid föderációban belüli értelmezését adja meg. Bizonyos esetekben az értelmezés valamelyest kötöttebb, mint az eredeti meghatározás, annak érdekében, hogy a tartalomszolgáltatók pontosabb vagy használhatóbb információt kaphassanak. A dokumentum kizárólag az eduid.hu föderáció által regisztrált entitásokra vonatkozik. Más föderációkból (pl. az edugain-en keresztül elérhető) entitások esetén az ebben a dokumentumban szereplő a sémáktól eltérő megkötések nem érvényesek, azokat feltételezni nem szabad. Az itt felsoroltakon túl az IdP-k tetszőleges attribútumot megvalósíthatnak és kiadhatnak bilaterális megállapodás alapján. Attribútumoik használata Meghatározásoik Implementáció (megvalósítás): egy IdP abban az esetben implementál egy attribútumot, ha az attribútumban hordozott információ a föderációs specifikációnak megfelelő szemantikai és formai követelmények szerint a rendelkezésére áll. Egy implementált attribútum kiadása az IdP részéről csupán házirend kérdése. Attribútum kiadás: egy attribútum akkor kerül kiadásra, ha az adatot az IdP elküldi az SP számára. Nem minden implementált attribútum kerül kiadásra, kizárólag azok, amelyek az SP számára relevánsak. Implementációs szinteik Kötelező: az IdP-nek kötelező az attribútumot implementálnia. Ajánlott: javasolt minden IdP számára, hogy implementálja az attribútumot, azonban ez néhány nél lehetetlen vagy nehézségekbe ütközhet. Opcionális: az IdP szabadon dönthet arról, hogy megvalósítja-e az attribútumot, azonban az implementációnak jelen specifikáció szerint kell történnie. 2

SP attribútum-igényeik Az SP-k a Resource Registry-ben, és ezen keresztül a metadata állományban jelezhetik, hogy egy attribútum számukra megkövetelt (required) vagy opcionális. Megkövetelt: az alkalmazás működéséhez elengedhetetlen az attribútum, vagy az attribútum hiánya felhasználó számára jelentős akadályt vagy nehézséget jelent. pl. edupersonprincipalname olyan alkalmazásokhoz, amelyek nincsenek felkészítve átlátszatlan (opaque) azonosítók kezelésére Opcionális: az alkalmazás működését megkönnyíti az attribútum pl. a displayname attribútum átadásakor felhasználónak nem szükséges a teljes nevét az alkalmazáson belül megadnia. Attribútumoik listája Összefoglalás Kötelező attribútumok edupersonprincipalname edupersontargetedid edupersonscopedaffiliation Ajánlott attribútumok displayname sn givenname mail edupersonentitlement Opcionális attribútumok Az opcionális attribútumok közül csak azokat tartalmazza ez a dokumentum, amelyek esetében vagy a meghatározó sémához képest további megkötéseket tartalmaz, vagy az attribútumok elterjedtsége ezt indokolja. cn schachomeorganizationtype niifedupersonattendedcourse niifedupersonarchivedcourse niifedupersonheldcourse 3

Állandó felhasználói azonosítóik Bizonyos alkalmazások esetén szükséges alkalmazás-specifikus adatokat is tárolni. Ilyen példa lehet egy webes naptárnál a felhasználóhoz kötődő bejegyzések, vagy egy wikinél a felhasználó szerkesztései. Ezeket az alkalmazások valamilyen helyi adatbázisban tárolják, a kulcs a felhasználó és az adatbázis bejegyzés között pedig egy állandó azonosító. Az állandó azonosítók lehetnek: statikusak: a felhasználó létrehozásakor megadott adattal megegyezők számítottak: a felhasználó valamelyik (vagy több) attribútumából algoritmikusan - általában hash eljárással - generáltak tároltak: ezek általában olyan azonosítók, amelyet az IdP egy adatbázisban elsődleges kulcsként használ, azaz a felhasználói attribútumok változása esetén is állandó marad egyediségük biztosított Az azonosítók az alábbi tulajdonságokkal rendelkezhetnek: állandóság: az IdP-nek gondoskodnia kell arról, hogy a kiosztott azonosító a felhasználó nél töltött életciklusa során állandó legyen. Amennyiben egy állandó(nak szánt) azonosító mégis megváltozik, az nagyon nehéz helyzetbe hozhatja mind a felhasználót, mind az alkalmazás üzemeltetőt. nem osztható ki újra (non-reassignable): az IdP-nek gondoskodnia kell arról, hogy egy felhasználó azonosítóját később nem osztja ki másik felhasználónak. Ennek algoritmikus biztosítása bizonyos esetekben nehézségekbe ütközhet (pl. hash ütközések, illetve bizonyos IdP-k kézzel osztanak azonosítókat), ezért jelen specifikáció csak azt követeli meg, hogy azonosító a gyakorlatban ne tegye lehetővé, hogy az alkalmazás oldalán a felhasználók összekeveredjenek. Különböző IdP-ktől jövő felhasználók azonosítói abban az esetben nem ütközhetnek, ha az azonosítónak része valamilyen, az IdP-re jellemző adat (scope vagy entityid). nem átlátszó (opaque): az ilyen azonosítók nem jellemzők a felhasználóra, az értékéből nem lehet következtetni a felhasználó személyére (pl. e-mail címére) Nem minden azonosító rendelkezik ilyen tulajdonsággal, azonban ek között adatvédelmi szempontból kifejezetten kívánatos, hogy egy azonosító ne legyen jellemző a felhasználó személyére. A nem átlátszó azonosítót nem célszerű a felhasználók felé megjeleníteni. célzott (targeted): az ilyen azonosítók minden SP-nél különbözőek, s így az SP-k - az IdP közreműködése nélkül - nem képesek profilt készíteni egy felhasználóról, ami adatvédelmi szempontból kívánatos. Nem minden azonosító rendelkezik ilyen tulajdonsággal. Az állandó azonosító kiadható attribútumként, illetve a SAML Assertion NameID mezőjében. Bizonyos SP implementációk (pl. a Shibboleth 2.x) képesek arra, hogy az alkalmazás részére elfedjék azt, hogy az azonosító pontosan milyen attribútumban vagy NameID-ben érkezett, pl. úgy, hogy az azonosítót a REMOTE_USER változóban adják ki az alkalmazás számára. 4

edupersontargetedid Elnevezés Implementáció Részletes leírás OID: 1.3.6.1.4.1.5923.1.1.1.10 Nem átlátszó, célzott azonosító, amely nem osztható ki újra kötelező Az IdP-nek biztosítania kell, hogy egy felhasználó számára kiosztott azonosító valóban perzisztens legyen, tehát gondoskodnia kell az attribútum-értékek biztos tárolásáról - például egy megfelelő mentési tervvel üzemeltetett relációs adatbázisban. Az edupersontargetedid nem osztható ki újra. nincs korlátozás single Az attribútum értékének a SAML2 szabványban definiált NameID formátumúnak kell lennien az azonosító (nem számítva az XML attribútumokat) legfeljebb 256 karakterből állhat. Az IdP ilyen formában adja ki az azonosítót: <saml2:nameid xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="https://idp.example.org/idp/shibboleth" SPNameQualifier="https://sp.example.org/shibboleth"> 84e411ea- 7daa-4a57-bbf6-b5cc52981b73 </saml2:nameid> Az alkalmazás ilyen formában kapja meg az azonosítót: https://idp.example.org/idp/shibboleth!https://sp.example.org/ shibboleth!84e411ea-7daa-4a57-bbf6-b5cc52981b73 5

edupersonprincipalname Elnevezés OID: 1.3.6.1.4.1.5923.1.1.1.6 Implementáció Állandó, nem célzott, nem újra kiosztható egyedi azonosító kötelező Formátum: <egyedi_lokális_azonosító>@<scope> Részletes leírás Ahol <egyedi_loikális_azonosító>: tetszőleges állandó azonosító, amely az en belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító (uid) használata, azonban bármilyen más azonosító használható <scope>: egy domain, melyet az scope-ként használhat. Megjegyzés: az edupersonprincipalname érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-mail címével. Intézményen belüli használata javasolt, en kívül célszerű nem átlátszó, célzott azonosítót használni. nincs korlátozás single gipsz.jakab@example.org 6

Felhasználói tulajdonságoikat leíró attribútumoik Elnevezés OID: 2.5.4.4 Implementáció Részletes leírás sn A felhasználó vezetékneve ajánlott A felhasználó vezetékneve. Amennyiben több vezetékneve van a felhasználónak, akkor ezeket egyetlen értékben kell tárolni. nincs korlátozás single nem definiált Gipsz Gipszné Kiss givenname Elnevezés OID: 2.5.4.42 Implementáció Részletes leírás A felhasználó keresztneve ajánlott Amennyiben több keresztneve van a felhasználónak, ezeket egyetlen értékben kell tárolni. nincs korlátozás single nem definiált Jakab Mária Lujza 7

displayname Elnevezés OID: 2.16.840.1.113730.3.1.241 Implementáció Részletes leírás A felhasználó megjelenítendő neve ajánlott A felhasználó neve abban a formában, ahogy a felhasználó, vagy a felhasználó e meg kívánja jeleníteni. nincs korlátozás single nem definiált Gipsz Jakab Aladár mail Elnevezés OID: 0.9.2342.19200300.100.1.3 Implementáció Részletes leírás A felhasználó email címe ajánlott A felhasználó értesítési e-mail címe. Az így átadott email címről az biztosítja, hogy azt az biztosítja a felhasználó részére (pl neptunkod@intemzeny.hu) vagy az a cím rögzítésekor ellenőrizte, hogy az a felhasználó tulajdonában van (pl egy megerősítő levél kiküldésével). Az attribútumban ellenőrizetlen, felhasználó által megadott email címet átadni tilos. Létező e-mail cím multi Lásd: RFC 2822 nem definiált gipsz.jakab@example.org 8

Elnevezés OID: 2.5.4.3 Implementáció Részletes leírás cn A felhasználó teljes neve opcionális A felhasználó vezetéknevének és keresztnevének valamilyen módon történő, szóközzel elválasztott összefűzése. Használata enként és országonként eltérő. Jellemző, hogy több értékben különböző módokon előállított értékeket is tartalmaz. Helyette a displayname használata javasolt. nincs korlátozás multi nem definiált Gipsz Jakab Kovács ÁronnKovacs AronnAron Kovacs 9

Felhasználó és az viszonyát leíró attribútumoik edupersonscopedafiliation Elnevezés OID: 1.3.6.1.4.1.5923.1.1.1.9 Felhasználó és közti viszony leírása Implementáció kötelező <viszony>@<scope> Részletes leírás <viszony>: a felhasználó és az közti viszony leírására az alábbi értékek választhatók student: hallgatója faculty: oktatási tevékenységet végez az ben staf: nem oktatási tevékenységet végző alkalmazott (pl. a rendszergazda és a kertész is) employee: alkalmazott (használata ek között nem javasolt) member: azok a felhasználók, amelyek azáltal, hogy azonosította őket az IdP, rendelkeznek hez kötődő általános jogosultságokkal. Jellemzően ide sorolhatók a student, faculty, staf viszonnyal rendelkezők. afiliate: az azonosítja őket, de nem rendelkeznek általános jogosultságokkal alum: öregdiák library-walk-in: könyvtári tag <scope>: egy domain, melyet az scope-ként használhat. A következő értékek egyike: {student,faculty,staf,employee,member,afiliate,a lum,library-walk-in}, valamint a scope multi Hallgatók: student@example.org;member@ example.org Oktatók: faculty@example.org;member@ex ample.org 10

edupersonentitlement Elnevezés OID: 1.3.6.1.4.1.5923.1.1.1.7 Implementáció ajánlott Részletes leírás A felhasználó által jogosan használt erőforrás(ok) Azon erőforrások listája, melyet a felhasználó használhat. Sok erőforrást minden felhasználó elérhet, néhányat csak korlátozott kör - ez utóbbi esetben válik fontossá ez az attribútum nincs korlátozás multi urn:mace:terena.org:tcs:escience-user 11

schachomeorganizationtype Elnevezés OID: 1.3.6.1.4.1.25178.1.2.10 Implementáció opcionális Részletes leírás - Az jellege university: Az Oktatási Minisztérium által elismert felsőoktatási ek (egyetemek és főiskolák) nren: Nemzeti kutatási és felsőoktatási kutatói hálózat szolgáltatója library: Könyvtárak vho: Virtuális azonosító szervezet egyének föderációs azonosítása céljára school: Általános és középiskolák business: Ipari vagy kereskedelmi ek other: Egyéb test: Teszt felhasználóról van szó urn:schac:homeorganizationtype:hu: {university,nren,library,vho,school,business,other, test} single URN 12

Oiktatásban használt attribútumoik niifpersonattendedcourse Elnevezés OID: 1.3.6.1.4.1.11914.0.1.164 Implementáci ó Részletes leírás Felhasználó által hallgatott tárgy kódja opcionális Azon tantárgyak kódja, amelyet a felhasználó az adott félévben hallgat. Értéikeik száma A tanulmányi rendszerben meghatározott tantárgykódok multi VIMM1234 VIMA4321 niifedupersonarchivecourse Elnevezés OID: 1.3.6.1.4.1.11914.0.1.171 Implementáci ó Részletes leírás Értéikeik száma - A felhasználó által valaha hallgatott kurzusok opcionális Azon tantárgyak kódja, amelyet a felhasználó valaha hallgatott az adott ben. A tanulmányi rendszerben meghatározott tantárgykódok multi 13

Elnevezés Implementáci ó Részletes leírás Értéikeik száma - niifedupersonheldcourse URI: nincs megadva OID: 1.3.6.1.4.1.11914.0.1.172 A felhasználó által aktuálisan oktatott tárgyak opcionális Azon tantárgyak kódja, amelyet a felhasználó az adott félévben (esetleg előző félévben) oktatott. A tanulmányi rendszerben meghatározott tantárgykódok multi 14

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés