Uvolňované atributy

Tento návod je určen pro správce poskytovatelů služeb, webových aplikací a stránek, kteří chtějí, aby se jejich uživatelé přihlašovali přes id.vse.cz.

Pokud spravujete pouze koncovou webovou aplikaci či stránku, ale ne server, kde je hostována, ověřte si nejprve, zda je Shibboleth na vašem serveru už dostupný a jaké atributy jsou pro tento server již uvolňovány.

Atributy v systému jednotného přihlášení

Služba id.vse.cz může pro SP o autentizovaném uživateli zpřístupnit různé informace prostřednictvím atributů. Atributy identifikující uživatele se jednotlivým SP neuvolňují automaticky, ale na základě registrace podle principu minimálních oprávnění. Ve výchozím nastavení se uvolňují pouze atributy:

eduPersonTargetedID,
o,
schacHomeOrg,
eduPersonAffiliation,
eduPersonScopedAffiliation.

Pro autorizaci uživatelů doporučujeme používat primárně federační atributy. V případě, že neposkytují požadované informace, tak ostatní standardizované atributy, a pokud ani tyto nestačí tak vlastní atributy VŠE. Pokud se potřebné informace nenacházejí v žádných zde uvedených atributech, ale nacházejí se v LDAP, mohou být na požádání zpřístupněny. V takovém případě se prosím obraťte na id@vse.cz.

Seznam uvolňovaných atributů

Následují seznamy atributů, které je systém id.vse.cz aktuálně schopen uvolnit, pro jednotlivé skupiny atributů.

Federační atributy

Obsah a význam federačních atributů je stanoven v rámci federace eduID.cz, následuje tedy pouze výčet atributů poskytovaných službou id.vse.cz:

authMail,
cn,
commonNameASCII,
eduPersonAffiliation,
eduPersonEntitlement,
eduPersonPrincipalName,
eduPersonScopedAffiliation,
eduPersonTargetedID,
eduPersonUniqueId,
givenName,
mail,
o,
schacHomeOrg,
sn,
unstructuredName.

Od 3. 7. 2020 obsahuje federační atribut mail pouze preferovanou e-mailovou adresu uživatele. Pokud ve své aplikaci potřebujete úplný seznam e-mailů uživatele, použijte interní atribut: vse.cz_mail.

Ostatní standardizované atributy

Ostatní standardizované atributy jsou přebírány z LDAP a kódují se pomocí standardizovaných identifikátorů. Následuje výčet ve formátu friendlyName (SAML2 kódování) význam.

displayName (urn:oid:2.16.840.1.113730.3.1.241) preferované jméno osoby s tituly a diakritikou,
host (urn:oid:0.9.2342.19200300.100.1.9) jméno serveru, na kterém má uživatel účet (vícehodnotový),
lastChange (urn:oid:1.3.6.1.4.1.2.6.33.1.1.2) poslední změna LDAP záznamu,
memberOf (urn:oid:1.3.6.1.4.1.19376.1.2.4.1.6) členství ve skupinách (vícehodnotový),
uid (urn:oid:0.9.2342.19200300.100.1.1) uživatelské jméno.

Vlastní atributy VŠE

Vlastní atributy VŠE se přebírají z LDAP a kódují se pomocí URL s doménou id.vse.cz. Tyto atributy nemají friendlyName. Následuje výčet ve formátu identifikátor ( SAML2 kódování) význam.

vse.cz_displayNameASCII (https://id.vse.cz/atribut/displayName#ASCII) celé jméno včetně titulů bez diakritiky,
vse.cz_dorucovaciEmail (https://id.vse.cz/atribut/dorucovaciEmail) doručovací e-mailová adresa,
vse.cz_givenNameASCII (https://id.vse.cz/atribut/givenName#ASCII) jméno bez diakritiky,
vse.cz_mail (https://id.vse.cz/atribut/mail) všechny univerzitní e-mailové adresy uživatele,
vse.cz_surnameASCII (https://id.vse.cz/atribut/surname#ASCII) příjmení bez diakritiky.

Zastaralé vlastní atributy VŠE

V současné době probíhá nahrazování některých vlastních atributů standardizovanými atributy. Souběžně s tím se některé vlastní atributy přejmenovávají. Namísto níže uvedených atributů použijte tedy ty, které je nahrazují. Hodnoty atributů se nemění.

vse.cz_commonName_ascii (https://id.vse.cz/atribut/cn) celé jméno včetně titulů bez diakritiky nahrazeno atributem vse.cz_displayNameASCII,
vse.cz_displayName (https://id.vse.cz/atribut/displayName) celé jméno včetně titulů s diakritikou nahrazeno atributem displayName,
vse.cz_givenName_ascii (https://id.vse.cz/atribut/givenName) jméno bez diakritiky nahrazeno atributem vse.cz_givenNameASCII,
vse.cz_surname_ascii (https://id.vse.cz/atribut/sn) příjmení bez diakritiky nahrazeno atributem vse.cz_surnameASCII,
vse.cz_uid (https://id.vse.cz/atribut/uid) uživatelské jméno nahrazeno atributem uid,
vse.cz_uisId (https://id.vse.cz/atribut/uisId) číselné ID v InSIS nahrazeno atributem unstructuredName,
vse.cz_univerzitniEmail (https://id.vse.cz/atribut/univerzitniEmail) preferovaná univerzitní e-mailová adresa nahrazeno atributem mail.

Prohlížení hodnot uvolňovaných atributů

K prohlížení hodnot uvolňovaných atributů lze použít následující aplikace:

Federační služba attributes.eduid.cz dostává všechny federační a standardizované atributy.
Interní služba atributy.vse.cz (v přípravě) dostává všechny federační, standardizované a vlastní atributy.
Hodnoty atributů uvolňované konkrétní službě lze také zobrazit, pokud v přihlašovacím dialogu na IdP zvolíte volbu Zaškrtnutím tohoto políčka přejdete na stránku s potvrzením odesílaných informací.
Detaily o vlastním uživatelském účtu si lze zobrazit v systému InSIS.

Další postup

Ve zprovoznění podpory jednotného přihlášení (Shibbolethu) pro aplikaci hostovanou na serveru webhosting.vse.cz pokračujte zasláním žádosti správcům serveru o aktivaci jednotného přihlášení pro vaši službu. V žádosti uveďte, které atributy nad rámec nyní uvolňovaných potřebujete a proč. Po vyřízení žádosti pokračujte konfigurací své aplikace.
Ve zprovoznění poskytovatele služeb pokračujte registrací svého SP do federace VŠE-internal.