Atribuudid

Allikas: Eesti Hariduse ja Teaduse Andmesidevõrk
Redaktsioon seisuga 2. november 2017, kell 10:13 kasutajalt Admin (arutelu | kaastöö) (schacPersonalUniqueID - Isikukood)

Atribuutide nimistu, mida IdP TAATi kaudu edastab. Atribuudid jaotuvad kolme gruppi:

  • Kohustuslikud Atribuudid tuleb iga kasutaja puhul edastada.
  • Valikulised atribuudid, mida võib saata ka osade kasutajate puhul või üldse saatmata jätta vastavalt vajadusele. Kui teenus soovib kasutada mõnda neist atibuutidest peab ta arvestama, et iga asutus ei pruugi neid väljastada ning vajadusel IdP-ga eraldi kokkuleppe tegema selle väljastamiseks.
  • TAAT atribuudid, mille kirjutab TAAT ise vastavalt vastu võetud andmetele ja nende allikale.

SP näeb ainult neid atribuute, mis temaga on lepingus kokku lepitud, ülejäänud filtreerib EENet välja.

Kohustuslikud (MUST) atribuudid

sn - Perekonnanimi

(Last name)
Võib olla mitu kirjet: EI

Kasutaja perekonnanimi või -nimed tekstistringina.

http://tools.ietf.org/html/rfc4519#section-2.32

cn - Täisnimi

(Common name)
Võib olla mitu kirjet: EI

Kasutaja täisnimi, mis vastab kasutaja isikut tõendavale dokumendile.

http://tools.ietf.org/html/rfc4519#section-2.3

eduPersonPrincipalName - Kasutajatunnus koduasutuses

(User ID at the home organisation)
Võib olla mitu kirjet: EI

Koduasutuses läbi ajaloo unikaalne kasutajatunnus/identifikaator.

Võib olla sama, mis isiku sisse logimisel kasutatav kasutajatunnus, aga seda ainult juhul, kui kasutajatunnuseid ei kasutata korduvalt. Kui siiski isik ei ole üheselt ja läbi ajaloo tuvastatav antud kasutajatunnuse alusel, tuleks kasutada mõnda muud identifikaatorit.

Esitatakse kujul identifikaator@domeen.

https://www.internet2.edu/media/medialibrary/2013/09/04/internet2-mace-dir-eduperson-201203.html#eduPersonPrincipalName

mail - E-postiaadress

(Email address)
Võib olla mitu kirjet: JAH

Kasutaja e-posti aadress(id)

http://tools.ietf.org/html/rfc4524#section-2.16

displayName - Ekraaninimi

(Display name)
Võib olla mitu kirjet: EI

Kasutaja eelistatud nimi: nimiekraaninimi/kasutajatunnus/hüüdnimi/eesnimi Kui andmebaasis sellist pole, võib kasutada näiteks eesnime.

Kasutusel kuna perekonna- ja täisnimi võivad olla pikad ja koosneda väga mitmest osast.

 http://tools.ietf.org/html/rfc2798#section-2.3

eduPersonAffiliation - Roll

Võib olla mitu kirjet: JAH

Isiku roll koduasutuses kõige lihtsamal ning kergesti parsitaval kujul.

Teenusepakkujatel tasub kasutada seda atribuuti ainult siis, kui on vaja lihtsalt tõstada isiku tudengistaatust või muud seotust ülikooliga. Kui on olukord, kui oluline on õppetase või struktuuriüksus, siis tuleks kindlasti kasutada eduPersonScopedAffiliation'it.

Põhirollid:

  • student — aktiivne õppur (an 'active' student)
  • faculty — õppejõud / teadustöötaja (a member of the faculty at the institution)
  • staff — tehniline või administratiivne töötaja (a member of the technical-administrative staff at the institution)
  • affiliate — asutusega (ka ajutiselt) seotud isik, kellel pole spetsiifilisi õigusi (a person related to the institution without being covered by a general set of rights)
  • library-walk-in — isik, kes kasutab asutuse võrgus arvutit (a person who has access to a computer within the organisation)
  • alum - vilistlane

Lisaks eelnimetatutele, peab Identieedipakkuja lisama ka järgnevad rollid, kui need vastavad ühendi tingimustele

  • employee – liitroll, mis on ühend rollide staff ja faculty liikmetest
  • member – liitroll, mis on ühend rollide student, staff ja faculty liikmetest

Rollid on universaalsed ja peaksid kõigis föderatsiooni liikmeasutuses tähendama sama. Edastada tuleb need täpselt sellisel kujul nagu siin märgitud. Rollinimetusi lisada ja muuta ei tohi.

https://www.internet2.edu/media/medialibrary/2013/09/04/internet2-mace-dir-eduperson-201203.html#eduPersonAffiliation

Valikulised (MAY) atribuudid

eduPersonScopedAffiliation - Roll grupis

Võib olla mitu kirjet: JAH

Kasutaja roll mingis grupis.

Atribuuti eduPersonScopedAffiliation kasutatakse kujul <roll>@<grupp>.<nimeruumitähis>, kus:

  • roll on määratud sama moodi nagu eduPersonAffiliation'is
  • grupp omab ühest tähendust oma nimeruumis
  • nimeruumitähis määrab semantika ning on Identiteedi- või Teenusepakkuja spetsiifiline või kehtivad üle Föderatsiooni. Nimeruumitähis on domeeninime kujuline.

Üle Föderatsiooni kehtivad grupid:

Õppetase (studylevel)

roll@õppetase.studylevel.taat.edu.ee

Kasutatav ainult "student" rolliga.

Lubatud variandid: bak, mag, dok, int (integreeritud õpe)

Kui on bakalaureuse ja magistri integreeritud õpe, siis tuleks saata mõlemad, et nad saaks ligi mõlema õppeastme ressurssidele.

Allüksus (ou)

roll@üksus.üksus.üksus.ou.nimeruumitähis

Siin saab märkida, mis rolli isik mis asutuse (alam)üksuses kannab. Üksuse atribuute võib olla ka mitu, kuid kõigil iskutel peab see olema samas vormis.

Kui märgitakse mitu üksust, siis need peavad olema paremalt vasakule (suuremast väiksemaks) hierarhilises järjekorras, mis tähendab, et iga kirjeldadtud üksus on endast paremal pool asuva üksuse alamüksus. Minimaalne vorm oleks kõige laiem kasutatav alamüksus näiteks teaduskond või kolledž.

Maksimaalne võib viia kuni õppekava või eriala tähiseni, kuid see tähendab, et ära peavad märgitud olema kõik üksused, mis seda sisaldavad. Näiteks: student@eriala.õppetool.instituut.teaduskond.ou.taat edu.ee

Aine (courseid)

EI KASUTATA! Kui tulevikus vaja läheb, siis sellisel kujul:
roll@ainekood.courseid.taat.edu.ee

Saab kasutada nii õppuri kui ainet õpetava õppejõu või muu ainega seotud töötaja rolli korral. Sobib väga hästi konkreetse ainega seotud ressurssidele ligipääsu andmiseks.


http://middleware.internet2.edu/eduperson/docs/internet2-mace-dir-eduperson-200806.html#eduPersonScopedAffiliation

preferredLanguage - Eelistatud keel

(The user's preferred language)
Võib olla mitu kirjet: JAH

Kasutaja eelistatud keeled, vastavuses RFC2068-ga

 http://tools.ietf.org/html/rfc2798#section-2.7

schacPersonalUniqueID - Isikukood

(National ID number)
Võib olla mitu kirjet: EI

Eesti isikukood. Esialgu jäi kokkulepe, et kui Eesti isikukood puudub, siis ei saadeta midagi.

Isikukood esitatakse üheteistkohalise numbrina vastavalt “Isikukood. EV ST 585-90” standardile, mille ette lisatakse koolonitega eraldatult riigi ja ID tüübi tähis, Eesti puhul “ee:EID:”

Teine võimalik variant on saata ka välismaalaste isikukoode koos riigi tähisega (et ei tekkiks kattumist), kuid see vajab läbi arutamist ja ühtse vormi loomist.

Näidiskuju: urn:schac:personalUniqueID:ee:EID:<idValue>, kus <idValue> on 11-kohaline isikukood (nt urn:schac:personalUniqueID:ee:EID:37101010021).

OID kujule vastab: urn:oid:1.3.6.1.4.1.25178.1.2.15

TAATi poolt kirjutatud atribuudid

schacHomeOrganization - Koduasutus

(Home organisation)
Võib olla mitu kirjet: EI

Kasutaja koduasutuse domeneeninimi.

eduPersonTargetedID - TAAT pseudonüüm

(Pseudonymous user ID)
Võib olla mitu kirjet: EI

Unikaalne TAAT kasutajatunnus. Sama kasutaja saab saab sama teenuse juures alati sama kasutajatunnuse, kuid eri teenuste juures erineva. Probleemide korral on kolme asutuse (teenusepakkuja, EENet, koduasutus) koostöös võimalik kasutajatunnuse kaudu tuvastada tegelik kasutaja, muudel juhtudel kasutajatunnus isikuandmeid ei paljasta.

Atribuut esitatakse alati 75-märgilise stringina.

https://www.internet2.edu/media/medialibrary/2013/09/04/internet2-mace-dir-eduperson-201203.html#eduPersonTargetedID