====== eduPersonAssurance ====== **Pokud vaši uživatelé přistupují k výpočetním prostředkům superpočítače LUMI, je tento atribut nezbytný!** ===== Definice ===== Popisuje úroveň ověření uživatele. Vychází z [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|REFEDS Assurance Framework 1.0]]. Je možné použít více hodnot. Podrobné [[http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201602.html#eduPersonAssurance|informace]] na stránkách komunity [[http://www.internet2.edu|Internet2]]. ===== Kódování ===== * SAML2: urn:oid:1.3.6.1.4.1.5923.1.1.1.11 To však na Shibboleth IdP nemusíte doplňovat. Správně byste měli IdP udržovat aktuální a v takovém případě je kódování atributu definováno již v souboru ''/opt/shibboleth-idp/conf/attributes/eduPerson.xml''. eduPersonAssurance SAML2StringTranscoder SAML1StringTranscoder urn:oid:1.3.6.1.4.1.5923.1.1.1.11 urn:mace:dir:attribute-def:eduPersonAssurance Assurance level Set of URIs that assert compliance with specific standards for identity assurance. ===== Ukázka implementace ===== __Následující dva bloky kódu jsou pouhá ukázka__ implementace a jejich **překopírování bez 100% porozumění a doplnění je úplně bezcenné**. //Dejte proto pozor, abyste znali realitu své organizace a abyste dané hodnoty uvolňovali podle skutečnosti.// V případě nejasností se neváhejte s prosbou o radu obrátit na [[info@eduid.cz]]. Níže je uvedena ukázka statické definice atributu, která patří do souboru ''/opt/shibboleth-idp/conf/attribute-resolver.xml''. To znamená, že atribut eduPersonAssurance je kompletně definovaný v IdP, není tedy nijak navázaný na adresářový server a jeho hodnota je stejná pro úplně všechny uživatele. Tento blok patří do kořenového elementu '''' k ostatním definicím atributů: Tento blok patří do elementu '''' s atributem ''id="staticAttributes"'', kde máte s velkou pravděpodobností definován atribut [[:cs:tech:attributes:o|o]] obsahující název Vaší organizace. Pokud takový element zatím nemáte, doplňte ho, jinak doplňte pouze statické hodnoty pro atribut eduPersonAssurance. example_value_1 example_value_2 ===== Uvolňování atributu ===== Definice atributu samotného nestačí. Ještě je potřeba nastavit uvolňování atributu v souboru ''/opt/shibboleth-idp/conf/attribute-filter.xml''. Následující blok kódu způsobí uvolňování atributu eduPersonAssurance pouze do eduGAINu a navíc jen službám, které v metadatech tento atribut uvádějí jako vyžadovaný. ===== Poznámka ===== Tento atribut je aktuálně (září 2022) důležitý, pokud vaši uživatelé chtějí využívat výpočetní zdroje superpočítače [[https://www.lumi-supercomputer.eu|LUMI]]. Aktuální harmonogram pro přístup k LUMI je následující: * 1. prosince 2022: IdP by měla uvolňovat tento atribut. * 15. ledna 2023: Uživatelé, jejichž IdP tento atribut neuvolňuje, budou při přihlášení informováni. * 1. března 2023: Uživatelé, jejichž IdP tento atribut neuvolňuje, se **nebudou moci přihlásit**. IdP musí splňovat pravidla (//REFEDS Assurance Framework//) pro následující hodnoty atributu eduPersonAssurance: * ''https://refeds.org/assurance/ID/unique'' nebo * ''https://refeds.org/assurance/ID/eppn-unique-no-reassign'' a také * ''https://refeds.org/assurance/IAP/medium'' nebo * ''https://refeds.org/assurance/IAP/high''. Bližší popis výše definovaných hodnot naleznete v dokumentu [[https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0|REFEDS Assurance Framework 1.0]]. ===== Ověření ===== Po úpravě konfigurace můžete otestovat, zda-li jste vše nakonfigurovali správně, na testovací službě MyAccessID na adrese [[https://myaccessid.devtest.eduteams.org/]].