- Table of contents
- Atributy dostupné skrze protokol SAML2
- Scopes dostupné pomocí protokolu OpenID Connect
Atributy dostupné skrze protokol SAML2¶
eduPersonUniqueId¶
- Název: eduPersonUniqueId
- Popis: Jedinečný, nerecyklovaný identifikátor uživatele v rámci e-infrastruktury CESNET
- URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.13
- Příklad: 3e65bd2aa4c818bd3579023939b546b69e1b75ee@einfra.cesnet.cz
eduPersonPrincipalName¶
- Název: eduPersonPrincipalName
- Popis: Login uživatele v rámci e-infrastruktury CESNET
- URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.6
- Příklad: josef@einfra.cesnet.cz
eduPersonScopedAffiliation¶
- Název: eduPersonScopedAffiliation
- Popis: Afiliace. Stejná pro všechny uživatele: affiliate@einfra.cesnet.cz
- URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.9
- Příklad: affiliate@einfra.cesnet.cz
eduPersonEntitlement¶
- Název: eduPersonEntitlement
- Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
- URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.7
- NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
- GROUP-AUTHORITY: perun.cesnet.cz
- Příklad: [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]
voPersonExternalID¶
- Název: voPersonExternalID
- Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity)
- URN: urn:oid:1.3.6.1.4.1.34998.3.3.1.5
- Příklad: [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]
forwardedScopedAffiliation¶
Bude nahrazen atributem voPersonExternalAffiliation
- Název: forwardedScopedAffiliation
- Popis: Seznam všech eduPersonScopedAffiliation z externích identit uživatele (sjednocení přes všechny zaregistrované externí identity)
- URN: urn:cesnet:proxyidp:attribute:forwardedScopedAffiliation
- Příklad: [affiliate@einfra.cesnet.cz, affiliate@google.extidp.cesnet.cz]
voPersonExternalAffiliation¶
- Název: voPersonExternalAffiliation
- Popis: Seznam všech eduPersonScopedAffiliation z externích identit uživatele (sjednocení přes všechny zaregistrované externí identity)
- URN: urn:oid:1.3.6.1.4.1.34998.3.3.1.11
- Příklad: [affiliate@einfra.cesnet.cz, affiliate@google.extidp.cesnet.cz]
loa¶
- Název: loa
- Popis: Maximální hodnota loa ze všech externích identit
- URN: urn:oid:1.3.6.1.4.1.8057.2.1
- Příklad: 2
displayName¶
- Název: displayName
- Popis: Jméno uživatele
- URN: urn:oid:2.16.840.1.113730.3.1.241
- Příklad: John Doe
cn¶
- Název: cn
- Popis: Jméno uživatele
- URN: urn:oid:2.5.4.3
- Příklad: John Doe
sn¶
- Název: sn
- Popis: Příjmení uživatele
- URN: urn:oid:2.5.4.4
- Příklad: Doe
givenName¶
- Název: givenName
- Popis: Křestní jméno uživatele
- URN: urn:oid:2.5.4.42
- Příklad: John
mail¶
- Název: mail
- Popis: Email uživatele
- URN: urn:oid:0.9.2342.19200300.100.1.3
- Příklad: email@email.com
isCesnetEligibleLastSeen¶
- Název: isCesnetEligibleLastSeen
- Popis: Časová známka, kdy se uživatel naposledy přihlásil s identitou, která splňuje podmínku akademického pracovníka
- URN: urn:cesnet:proxyidp:attribute:isCesnetEligibleLastSeen
- Příklad: 2019-07-18 07:53:37
Scopes dostupné pomocí protokolu OpenID Connect¶
Jeden "scope" opravňuje clienta získat jeden nebo více tzv. "claims", pro detaily viz specifikaci OIDC na https://openid.net/specs/openid-connect-core-1_0.html#Claims a https://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims
Kromě standardních scopes definovaných specifikací OIDC (openid, profile, email, phone, address) poskytuje Proxy IdP i některé další, buď povolující nestandadní claimy (organization, eduPersonEntitlement, eppns, isCesnetEligibleLastSeen), nebo scopes zcela bez claimů povolující určité operace na nějakém Resource Serveru (offline_access, perun_api), viz specifikaci OAuth2 https://tools.ietf.org/html/rfc6749#section-3.3
openid¶
- Název: openid
- Popis: Jedinečný, nerecyklovaný identifikátor uživatele v rámci e-infrastruktury CESNET
- Claims:
- sub: 3e65bd2aa4c818bd3579023939b546b69e1b75ee@einfra.cesnet.cz
profile¶
- Název: profile
- Popis: Osobní profil
- Claims:
- name John Doe
- given_name John
- middle_name
- family_name Doe
- preferred_username jdoe
- zoneinfo
- locale cs
address¶
- Název: address
- Popis: Adresa
- Claims:
- formated Zikova 1903/4, 16000 Praha 6
email¶
- Název: email
- Popis: Email uživatele
- Claims:
- email email@email.com
phone¶
- Název: phone
- Popis: Telefonní číslo uživatele
- Claims:
- phone_number +420 123 456 789
organization¶
- Název: organization
- Popis: Organizace
- Claims:
- organization CESNET
eduPersonEntitlement¶
Bude nahrazen scopem eduperson_entitlement
- Název: eduPersonEntitlement
- Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
- NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
- GROUP-AUTHORITY: perun.cesnet.cz
- Claims:
- eduPersonEntitlement [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]
eduperson_entitlement¶
- Název: eduperson_entitlement
- Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
- NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
- GROUP-AUTHORITY: perun.cesnet.cz
- Claims:
- eduPersonEntitlement [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]
eppns¶
Bude nahrazen scopem voperson_external_id
- Název: eppns
- Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity)
- Claims:
- eppns [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]
voperson_external_id¶
- Název: voperson_external_id
- Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity). Informace o schématu voperson jsou dostupné zde .
- Claims:
- eppns [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]
isCesnetEligibleLastSeen¶
- Název: isCesnetEligibleLastSeen
- Popis: Časová známka, kdy se uživatel naposledy přihlásil s identitou, která splňuje podmínku akademického pracovníka
- Claims:
- isCesnetEligibleLastSeen 2019-07-18 07:53:37
offline_access¶
- Název: offline_access
- Popis: Možnost vydání refresh tokenu
perun_api¶
- Název: perun_api
- Popis: Možnost přistupovat k Perun RPC API