Project

General

Profile

Atributy dostupné skrze protokol SAML2

eduPersonUniqueId

 • Název: eduPersonUniqueId
 • Popis: Jedinečný, nerecyklovaný identifikátor uživatele v rámci e-infrastruktury CESNET
 • URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.13
 • Příklad: 3e65bd2aa4c818bd3579023939b546b69e1b75ee@einfra.cesnet.cz

eduPersonPrincipalName

 • Název: eduPersonPrincipalName
 • Popis: Login uživatele v rámci e-infrastruktury CESNET
 • URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.6
 • Příklad: josef@einfra.cesnet.cz

eduPersonScopedAffiliation

 • Název: eduPersonScopedAffiliation
 • Popis: Afiliace. Stejná pro všechny uživatele: affiliate@einfra.cesnet.cz
 • URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.9
 • Příklad: affiliate@einfra.cesnet.cz

eduPersonEntitlement

 • Název: eduPersonEntitlement
 • Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
 • URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.7
 • NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
 • GROUP-AUTHORITY: perun.cesnet.cz
 • Příklad: [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]

voPersonExternalID

 • Název: voPersonExternalID
 • Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity)
 • URN: urn:oid:1.3.6.1.4.1.34998.3.3.1.5
 • Příklad: [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]

forwardedScopedAffiliation

Bude nahrazen atributem voPersonExternalAffiliation
 • Název: forwardedScopedAffiliation
 • Popis: Seznam všech eduPersonScopedAffiliation z externích identit uživatele (sjednocení přes všechny zaregistrované externí identity)
 • URN: urn:cesnet:proxyidp:attribute:forwardedScopedAffiliation
 • Příklad: [affiliate@einfra.cesnet.cz, affiliate@google.extidp.cesnet.cz]

voPersonExternalAffiliation

 • Název: voPersonExternalAffiliation
 • Popis: Seznam všech eduPersonScopedAffiliation z externích identit uživatele (sjednocení přes všechny zaregistrované externí identity)
 • URN: urn:oid:1.3.6.1.4.1.34998.3.3.1.11
 • Příklad: [affiliate@einfra.cesnet.cz, affiliate@google.extidp.cesnet.cz]

loa

 • Název: loa
 • Popis: Maximální hodnota loa ze všech externích identit
 • URN: urn:oid:1.3.6.1.4.1.8057.2.1
 • Příklad: 2

displayName

 • Název: displayName
 • Popis: Jméno uživatele
 • URN: urn:oid:2.16.840.1.113730.3.1.241
 • Příklad: John Doe

cn

 • Název: cn
 • Popis: Jméno uživatele
 • URN: urn:oid:2.5.4.3
 • Příklad: John Doe

sn

 • Název: sn
 • Popis: Příjmení uživatele
 • URN: urn:oid:2.5.4.4
 • Příklad: Doe

givenName

 • Název: givenName
 • Popis: Křestní jméno uživatele
 • URN: urn:oid:2.5.4.42
 • Příklad: John

mail

 • Název: mail
 • Popis: Email uživatele
 • URN: urn:oid:0.9.2342.19200300.100.1.3
 • Příklad: email@email.com

isCesnetEligibleLastSeen

 • Název: isCesnetEligibleLastSeen
 • Popis: Časová známka, kdy se uživatel naposledy přihlásil s identitou, která splňuje podmínku akademického pracovníka
 • URN: urn:cesnet:proxyidp:attribute:isCesnetEligibleLastSeen
 • Příklad: 2019-07-18 07:53:37

Scopes dostupné pomocí protokolu OpenID Connect

Jeden "scope" opravňuje clienta získat jeden nebo více tzv. "claims", pro detaily viz specifikaci OIDC na https://openid.net/specs/openid-connect-core-1_0.html#Claims a https://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims

Kromě standardních scopes definovaných specifikací OIDC (openid, profile, email, phone, address) poskytuje Proxy IdP i některé další, buď povolující nestandadní claimy (organization, eduPersonEntitlement, eppns, isCesnetEligibleLastSeen), nebo scopes zcela bez claimů povolující určité operace na nějakém Resource Serveru (offline_access, perun_api), viz specifikaci OAuth2 https://tools.ietf.org/html/rfc6749#section-3.3

openid

 • Název: openid
 • Popis: Jedinečný, nerecyklovaný identifikátor uživatele v rámci e-infrastruktury CESNET
 • Claims:
  • sub: 3e65bd2aa4c818bd3579023939b546b69e1b75ee@einfra.cesnet.cz

profile

 • Název: profile
 • Popis: Osobní profil
 • Claims:
  • name John Doe
  • given_name John
  • middle_name
  • family_name Doe
  • preferred_username jdoe
  • zoneinfo
  • locale cs

address

 • Název: address
 • Popis: Adresa
 • Claims:
  • formated Zikova 1903/4, 16000 Praha 6

email

 • Název: email
 • Popis: Email uživatele
 • Claims:
  • email email@email.com

phone

 • Název: phone
 • Popis: Telefonní číslo uživatele
 • Claims:
  • phone_number +420 123 456 789

organization

 • Název: organization
 • Popis: Organizace
 • Claims:
  • organization CESNET

eduPersonEntitlement

Bude nahrazen scopem eduperson_entitlement
 • Název: eduPersonEntitlement
 • Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
 • NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
 • GROUP-AUTHORITY: perun.cesnet.cz
 • Claims:
  • eduPersonEntitlement [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]

eduperson_entitlement

 • Název: eduperson_entitlement
 • Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
 • NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
 • GROUP-AUTHORITY: perun.cesnet.cz
 • Claims:
  • eduPersonEntitlement [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]

eppns

Bude nahrazen scopem voperson_external_id
 • Název: eppns
 • Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity)
 • Claims:
  • eppns [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]

voperson_external_id

 • Název: voperson_external_id
 • Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity). Informace o schématu voperson jsou dostupné zde .
 • Claims:
  • eppns [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]

isCesnetEligibleLastSeen

 • Název: isCesnetEligibleLastSeen
 • Popis: Časová známka, kdy se uživatel naposledy přihlásil s identitou, která splňuje podmínku akademického pracovníka
 • Claims:
  • isCesnetEligibleLastSeen 2019-07-18 07:53:37

offline_access

 • Název: offline_access
 • Popis: Možnost vydání refresh tokenu

perun_api

 • Název: perun_api
 • Popis: Možnost přistupovat k Perun RPC API