Poskytovatelé identit a někteří poskytovatelé služeb jsou řazeni do kategorií entit. Ty lze používat při řízení přístupu ke zdrojům na SP anebo k (ne)uvolňování určitých atributů na straně IdP.
Příslušnost entity k nějaké kategorii je uvedena v metadatech eduID.cz jako entity atribut.
Poskytovatelé identit, kteří jsou součástí eduID.cz, jsou rozděleni do několika kategorií, které odrážejí, o jaký typ organizace se primárně jedná. Kategorie entit jsou přiřazovány operátorem federace a jsou uvedeny níže. Je snahou, aby každá organizace byla právě v jedné kategorii.
Veřejné a soukromé univerzity registrované v eduID.cz
označení: |
Ústavy Akademie věd České Republiky registrované v eduID.cz
označení: |
Knihovny registrované v eduID.cz
označení: |
Nemocnice registrované v eduID.cz
označení: |
Ostatní organizace registrované v eduID.cz
označení: |
Podtržené hodnoty eduPersonAffiliation označují uživatele, kteří spadají do Reseach & Educaction (R&E) komunity.
Jako první příklad uvádíme filtr, který výčtem specifikuje uživatele, kteří mají mít k službě přístup. Takto napsaný filtr je sice relativně dlouhý, ale snadno pochopitelný a při zavedení nové kategorie instituce se uživatelé z oné nové instituce ke službám nedostanou dříve, než se o tom správce služby rozhodne.
(idp_category='university' and ((affiliate='employee') or (affiliate='faculty') or (affiliate='member') or (affiliate='student') or (affiliate='staff'))) or (idp_category='avcr' and (affiliate='member')) or (idp_category='library' and (affiliate='employee')) or (idp_category='hospital' and (affiliate='employee')) or (idp_category='other' and (affiliate='employee'))
Alternativní exclude filtr by mohl vypadat např. takto:
not ( (affiliation=='alum') or (idp_category=='library' and (not affiliation=='employee')) )
Konkrétní implementaci obou filtrů pro Shibboleth SP nabízíme v samostatném dokumentu. Příspěvky v podobě příkladů pro jiné implementace SP uvítáme a rádi uveřejníme.
Kromě označení IdP, ke kterému typu organizace patří, je v eduID.cz několik dalších kategorií sloužících k označení entit příslušejících k projektům. Takovéto označení může mít smysl, když skupina SP potřebuje navíc nějaké atributy, které nejsou běžně ve federaci k dispozici. Označení pak usnadní vyjednávání s jednotlivými IdP.
MEFANET (MEdical FAculties NETwork) je projekt zaměřený na budování a posílení spolupráce lékařských i nelékařských zdravotnických fakult ČR a SR při rozvoji výuky s využitím moderních informačních a komunikačních technologií.
označení: |
Neuvádějte níže uvedenou definici kategorie ve svých metadatech! Toto je zde uvedeno jen jako příklad. Výše definované kategorie entit přidáváme do metadat my pomocí skriptu, který nejprve všechny tyto elementy odebere, pokud je tam najde. Čili uvedením členství v kategorii si jen přiděláváte práci.
Níže uvedený fragment XML ukazuje, jak je v metadatech eduID.cz vyznačeno, že IdP Českého vysokého učení technického v Praze spadá do kategorie univerzita.
<md:EntityDescriptor entityID="https://idp2.civ.cvut.cz/idp/shibboleth"> <md:Extensions> <mdattr:EntityAttributes> <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml:AttributeValue>http://eduid.cz/uri/idp-group/university</saml:AttributeValue> </saml:Attribute> </mdattr:EntityAttributes> </md:Extensions> <!-- následují dodatečná metadata entity -->
Entity atribut lze používat podobně jako atribut, který o uživateli pošle IdP. Konkrétní implementaci pro Shibboleth SP nabízíme v samostatném dokumentu.
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz