Project

General

Profile

Atributy dostupné skrze protokol SAML2

eduPersonUniqueId

  • Název: eduPersonUniqueId
  • Popis: Jedinečný, nerecyklovaný identifikátor uživatele v rámci e-infrastruktury CESNET
  • URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.13
  • Příklad: 3e65bd2aa4c818bd3579023939b546b69e1b75ee@einfra.cesnet.cz

eduPersonPrincipalName

  • Název: eduPersonPrincipalName
  • Popis: Login uživatele v rámci e-infrastruktury CESNET
  • URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.6
  • Příklad: josef@einfra.cesnet.cz

eduPersonScopedAffiliation

  • Název: eduPersonScopedAffiliation
  • Popis: Afiliace. Stejná pro všechny uživatele: affiliate@einfra.cesnet.cz
  • URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.9
  • Příklad: affiliate@einfra.cesnet.cz

eduPersonEntitlement

  • Název: eduPersonEntitlement
  • Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
  • URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.7
  • NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
  • GROUP-AUTHORITY: perun.cesnet.cz
  • Příklad: [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]

voPersonExternalID

  • Název: voPersonExternalID
  • Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity)
  • URN: urn:oid:1.3.6.1.4.1.34998.3.3.1.5
  • Příklad: [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]

forwardedScopedAffiliation

Bude nahrazen atributem voPersonExternalAffiliation
  • Název: forwardedScopedAffiliation
  • Popis: Seznam všech eduPersonScopedAffiliation z externích identit uživatele (sjednocení přes všechny zaregistrované externí identity)
  • URN: urn:cesnet:proxyidp:attribute:forwardedScopedAffiliation
  • Příklad: [affiliate@einfra.cesnet.cz, affiliate@google.extidp.cesnet.cz]

voPersonExternalAffiliation

  • Název: voPersonExternalAffiliation
  • Popis: Seznam všech eduPersonScopedAffiliation z externích identit uživatele (sjednocení přes všechny zaregistrované externí identity)
  • URN: urn:oid:1.3.6.1.4.1.34998.3.3.1.11
  • Příklad: [affiliate@einfra.cesnet.cz, affiliate@google.extidp.cesnet.cz]

loa

  • Název: loa
  • Popis: Maximální hodnota loa ze všech externích identit
  • URN: urn:oid:1.3.6.1.4.1.8057.2.1
  • Příklad: 2

displayName

  • Název: displayName
  • Popis: Jméno uživatele
  • URN: urn:oid:2.16.840.1.113730.3.1.241
  • Příklad: John Doe

cn

  • Název: cn
  • Popis: Jméno uživatele
  • URN: urn:oid:2.5.4.3
  • Příklad: John Doe

sn

  • Název: sn
  • Popis: Příjmení uživatele
  • URN: urn:oid:2.5.4.4
  • Příklad: Doe

givenName

  • Název: givenName
  • Popis: Křestní jméno uživatele
  • URN: urn:oid:2.5.4.42
  • Příklad: John

mail

  • Název: mail
  • Popis: Email uživatele
  • URN: urn:oid:0.9.2342.19200300.100.1.3
  • Příklad: email@email.com

isCesnetEligibleLastSeen

  • Název: isCesnetEligibleLastSeen
  • Popis: Časová známka, kdy se uživatel naposledy přihlásil s identitou, která splňuje podmínku akademického pracovníka
  • URN: urn:cesnet:proxyidp:attribute:isCesnetEligibleLastSeen
  • Příklad: 2019-07-18 07:53:37

Scopes dostupné pomocí protokolu OpenID Connect

Jeden "scope" opravňuje clienta získat jeden nebo více tzv. "claims", pro detaily viz specifikaci OIDC na https://openid.net/specs/openid-connect-core-1_0.html#Claims a https://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims

Kromě standardních scopes definovaných specifikací OIDC (openid, profile, email, phone, address) poskytuje Proxy IdP i některé další, buď povolující nestandadní claimy (organization, eduPersonEntitlement, eppns, isCesnetEligibleLastSeen), nebo scopes zcela bez claimů povolující určité operace na nějakém Resource Serveru (offline_access, perun_api), viz specifikaci OAuth2 https://tools.ietf.org/html/rfc6749#section-3.3

openid

  • Název: openid
  • Popis: Jedinečný, nerecyklovaný identifikátor uživatele v rámci e-infrastruktury CESNET
  • Claims:
    • sub: 3e65bd2aa4c818bd3579023939b546b69e1b75ee@einfra.cesnet.cz

profile

  • Název: profile
  • Popis: Osobní profil
  • Claims:
    • name John Doe
    • given_name John
    • middle_name
    • family_name Doe
    • preferred_username jdoe
    • zoneinfo
    • locale cs

address

  • Název: address
  • Popis: Adresa
  • Claims:
    • formated Zikova 1903/4, 16000 Praha 6

email

  • Název: email
  • Popis: Email uživatele
  • Claims:
    • email email@email.com

phone

  • Název: phone
  • Popis: Telefonní číslo uživatele
  • Claims:
    • phone_number +420 123 456 789

organization

  • Název: organization
  • Popis: Organizace
  • Claims:
    • organization CESNET

eduPersonEntitlement

Bude nahrazen scopem eduperson_entitlement
  • Název: eduPersonEntitlement
  • Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
  • NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
  • GROUP-AUTHORITY: perun.cesnet.cz
  • Claims:
    • eduPersonEntitlement [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]

eduperson_entitlement

  • Název: eduperson_entitlement
  • Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
  • NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
  • GROUP-AUTHORITY: perun.cesnet.cz
  • Claims:
    • eduPersonEntitlement [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]

eppns

Bude nahrazen scopem voperson_external_id
  • Název: eppns
  • Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity)
  • Claims:
    • eppns [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]

voperson_external_id

  • Název: voperson_external_id
  • Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity). Informace o schématu voperson jsou dostupné zde .
  • Claims:
    • eppns [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]

isCesnetEligibleLastSeen

  • Název: isCesnetEligibleLastSeen
  • Popis: Časová známka, kdy se uživatel naposledy přihlásil s identitou, která splňuje podmínku akademického pracovníka
  • Claims:
    • isCesnetEligibleLastSeen 2019-07-18 07:53:37

offline_access

  • Název: offline_access
  • Popis: Možnost vydání refresh tokenu

perun_api

  • Název: perun_api
  • Popis: Možnost přistupovat k Perun RPC API