• Table of contents
• Atributy dostupné skrze protokol SAML2
  • • • eduPersonUniqueId
      • eduPersonPrincipalName
      • eduPersonScopedAffiliation
      • eduPersonEntitlement
      • voPersonExternalID
      • forwardedScopedAffiliation
      • voPersonExternalAffiliation
      • loa
      • displayName
      • cn
      • sn
      • givenName
      • mail
      • isCesnetEligibleLastSeen
• Scopes dostupné pomocí protokolu OpenID Connect
  • • • openid
      • profile
      • address
      • email
      • phone
      • organization
      • eduPersonEntitlement
      • eduperson_entitlement
      • eppns
      • voperson_external_id
      • isCesnetEligibleLastSeen
      • offline_access
      • perun_api

Atributy dostupné skrze protokol SAML2¶

eduPersonUniqueId¶

• Název: eduPersonUniqueId
• Popis: Jedinečný, nerecyklovaný identifikátor uživatele v rámci e-infrastruktury CESNET
• URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.13
• Příklad: 3e65bd2aa4c818bd3579023939b546b69e1b75ee@einfra.cesnet.cz

eduPersonPrincipalName¶

• Název: eduPersonPrincipalName
• Popis: Login uživatele v rámci e-infrastruktury CESNET
• URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.6
• Příklad: josef@einfra.cesnet.cz

eduPersonScopedAffiliation¶

• Název: eduPersonScopedAffiliation
• Popis: Afiliace. Stejná pro všechny uživatele: affiliate@einfra.cesnet.cz
• URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.9
• Příklad: affiliate@einfra.cesnet.cz

eduPersonEntitlement¶

• Název: eduPersonEntitlement
• Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
• URN: urn:oid:1.3.6.1.4.1.5923.1.1.1.7
• NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
• GROUP-AUTHORITY: perun.cesnet.cz
• Příklad: [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]

voPersonExternalID¶

• Název: voPersonExternalID
• Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity)
• URN: urn:oid:1.3.6.1.4.1.34998.3.3.1.5
• Příklad: [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]

forwardedScopedAffiliation¶

• Název: forwardedScopedAffiliation
• Popis: Seznam všech eduPersonScopedAffiliation z externích identit uživatele (sjednocení přes všechny zaregistrované externí identity)
• URN: urn:cesnet:proxyidp:attribute:forwardedScopedAffiliation
• Příklad: [affiliate@einfra.cesnet.cz, affiliate@google.extidp.cesnet.cz]

voPersonExternalAffiliation¶

• Název: voPersonExternalAffiliation
• Popis: Seznam všech eduPersonScopedAffiliation z externích identit uživatele (sjednocení přes všechny zaregistrované externí identity)
• URN: urn:oid:1.3.6.1.4.1.34998.3.3.1.11
• Příklad: [affiliate@einfra.cesnet.cz, affiliate@google.extidp.cesnet.cz]

loa¶

• Název: loa
• Popis: Maximální hodnota loa ze všech externích identit
• URN: urn:oid:1.3.6.1.4.1.8057.2.1
• Příklad: 2

displayName¶

• Název: displayName
• Popis: Jméno uživatele
• URN: urn:oid:2.16.840.1.113730.3.1.241
• Příklad: John Doe

cn¶

• Název: cn
• Popis: Jméno uživatele
• URN: urn:oid:2.5.4.3
• Příklad: John Doe

sn¶

• Název: sn
• Popis: Příjmení uživatele
• URN: urn:oid:2.5.4.4
• Příklad: Doe

givenName¶

• Název: givenName
• Popis: Křestní jméno uživatele
• URN: urn:oid:2.5.4.42
• Příklad: John

mail¶

• Název: mail
• Popis: Email uživatele
• URN: urn:oid:0.9.2342.19200300.100.1.3
• Příklad: email@email.com

isCesnetEligibleLastSeen¶

• Název: isCesnetEligibleLastSeen
• Popis: Časová známka, kdy se uživatel naposledy přihlásil s identitou, která splňuje podmínku akademického pracovníka
• URN: urn:cesnet:proxyidp:attribute:isCesnetEligibleLastSeen
• Příklad: 2019-07-18 07:53:37

Scopes dostupné pomocí protokolu OpenID Connect¶

Jeden "scope" opravňuje clienta získat jeden nebo více tzv. "claims", pro detaily viz specifikaci OIDC na https://openid.net/specs/openid-connect-core-1_0.html#Claims a https://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims

Kromě standardních scopes definovaných specifikací OIDC (openid, profile, email, phone, address) poskytuje Proxy IdP i některé další, buď povolující nestandadní claimy (organization, eduPersonEntitlement, eppns, isCesnetEligibleLastSeen), nebo scopes zcela bez claimů povolující určité operace na nějakém Resource Serveru (offline_access, perun_api), viz specifikaci OAuth2 https://tools.ietf.org/html/rfc6749#section-3.3

openid¶

• Název: openid
• Popis: Jedinečný, nerecyklovaný identifikátor uživatele v rámci e-infrastruktury CESNET
• Claims:
  • sub: 3e65bd2aa4c818bd3579023939b546b69e1b75ee@einfra.cesnet.cz

profile¶

• Název: profile
• Popis: Osobní profil
• Claims:
  • name John Doe
  • given_name John
  • middle_name
  • family_name Doe
  • preferred_username jdoe
  • zoneinfo
  • locale cs

address¶

• Název: address
• Popis: Adresa
• Claims:
  • formated Zikova 1903/4, 16000 Praha 6

email¶

• Název: email
• Popis: Email uživatele
• Claims:
  • email email@email.com

phone¶

• Název: phone
• Popis: Telefonní číslo uživatele
• Claims:
  • phone_number +420 123 456 789

organization¶

• Název: organization
• Popis: Organizace
• Claims:
  • organization CESNET

eduPersonEntitlement¶

• Název: eduPersonEntitlement
• Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
• NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
• GROUP-AUTHORITY: perun.cesnet.cz
• Claims:
  • eduPersonEntitlement [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]

eduperson_entitlement¶

• Název: eduperson_entitlement
• Popis: Seznam skupin, ve kterých je uživatel členem a jsou na službu přiřazeny sloučený se seznamem skupin přijatých z IdP. Syntax hodnot dle doporučení AARC - <NAMESPACE>:group:<GROUP>[:<SUBGROUP>*][:role=<ROLE>]#<GROUP-AUTHORITY>
• NAMESPACE ProxyIdP CESNET: urn:geant:cesnet.cz
• GROUP-AUTHORITY: perun.cesnet.cz
• Claims:
  • eduPersonEntitlement [urn:geant:cesnet.cz:group:einfra#perun.cesnet.cz, urn:geant:cesnet.cz:group:einfra:members#perun.cesnet.cz]

eppns¶

• Název: eppns
• Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity)
• Claims:
  • eppns [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]

voperson_external_id¶

• Název: voperson_external_id
• Popis: Seznam všech eduPersonPrincipalName uživatele (sjednocení přes všechny zaregistrované externí identity). Informace o schématu voperson jsou dostupné zde .
• Claims:
  • eppns [cesnetLogin@cesnet.cz, googleLogin@google.extidp.cesnet.cz]

isCesnetEligibleLastSeen¶

• Název: isCesnetEligibleLastSeen
• Popis: Časová známka, kdy se uživatel naposledy přihlásil s identitou, která splňuje podmínku akademického pracovníka
• Claims:
  • isCesnetEligibleLastSeen 2019-07-18 07:53:37

offline_access¶

• Název: offline_access
• Popis: Možnost vydání refresh tokenu

perun_api¶

• Název: perun_api
• Popis: Možnost přistupovat k Perun RPC API