Interní federace VŠE

Tyto informace jsou určeny pro správce poskytovatelů služeb (SP), kteří chtějí, aby se jejich uživatelé přihlašovali přes id.vse.cz.

Pokud spravujete pouze koncovou webovou aplikaci či stránku, ale ne server, kde je hostována, nejsou pro vás tyto informace nejspíš důležité. Doporučujeme návrat zpět na rozcestník pro správce.

Základní informace o federaci

Interní federace identit VŠE (VŠE-internal) zprostředkovává komunikaci mezi začleněnými poskytovateli služeb (SP) a identit (IdP). Umožňuje zejména bezpečnou výměnu metadat a řízení požadavků na uvolňování atributů o uživatelích.

Identifikátor federace VŠE-internal je: urn:mace:vse.cz:internal.

Adresy metadat a certifikátu federace VŠE-internal jsou následující:

• metadata federace VŠE-internal,
• podpisový certifikát federace VŠE-internal (stejný jako u federace eduID.cz).

Změny v metadatech členů federace jsou publikovány jednou za hodinu.

Připojení k federaci

Připojit k federaci VŠE-internal se mohou všichni poskytovatelé služeb z Vysoké školy ekonomické v Praze na základě registrace v aplikaci MetaMan.

Požadavky na metadata

Metadata poskytovatelů služeb ve federaci VŠE-internal musí splňovat pravidla profilu eduID.cz/, kterým se řídí validace metadat při registraci.

Důrazně doporučujeme vyplnit výstižné jméno a popis služby v českém i anglickém jazyce (elementy md:ServiceName a mdui:DisplayName pro jméno a md:ServiceDescription a mdui:Description pro popis). Služba by také měla být blíže popsána na vlastní webové stránce, kterou odkážete z elementu mdui:InformationURL. Pokud existuje specifické logo služby, je vhodné jej odkázat v elementu mdui:Logo. Tyto informace se zobrazují uživatelům na přihlašovací stránce. Jako vzor mohou posloužit metadata služby atributy.vse.cz.

Politika uvolňování atributů

Služba id.vse.cz může pro SP o autentizovaném uživateli zpřístupnit různé informace prostřednictvím atributů. Politika uvolňování atributů ve federaci VŠE-internal vychází z principu minimálních oprávnění a je následující:

• Atributy zachovávající anonymitu uživatele se uvolňují všem SP. Jde o následující atributy:
  • eduPersonTargetedID,
  • o, schacHomeOrg,
  • eduPersonAffiliation, eduPersonScopedAffiliation.
• Atributy prozrazující identitu uživatele se uvolňují pouze těm SP, které o ně požádají ve svých metadatech. SP musí požadovat pouze takové atributy, které nezbytně potřebují k zajištění služby. Jde o následující atributy:
  • eduPersonPrincipalName, eduPersonUniqueId, unstructuredName, uid,
  • cn, commonNameASCII, givenName, sn, displayName, vse.cz_displayNameASCII, vse.cz_givenNameASCII, vse.cz_surnameASCII,
  • authMail, mail, vse.cz_dorucovaciEmail, vse.cz_univerzitniEmail,
  • lastChange.
• Atributy informující o speciálních právech uživatele se uvolňují pouze těm SP, které požádají o jejich konkrétní hodnoty ve svých metadatech. SP musí požadovat pouze takové hodnoty, které nezbytně potřebují k zajištění služby. Jde o následující atributy:
  • eduPersonEntitlement,
  • host,
  • memberOf.
  Aktuálně nelze prostřednictvím aplikace MetaMan žádat o vydání specifických hodnot atributů. Zašlete tedy seznam požadovaných hodnot na mail id@vse.cz.