O Shibboleth Davaocu Identiteta

Shibboleth je softver otvorenog koda, koji je razvio Shibboleth Consortium, a implementira SAML standard. SAML (Security Assertion Markup Language) je OASIS standard i XML radni okvir za razmenu informacija o autentifikaciji i autorizaciji. Shibboleth mehanizam rada:

  1. Krajnji korisnik pristupa željenom AMRES servisu putem veb-pregledača,
  2. Servis zahteva autentifikaciju i krajnji korisnik se redirektuje na Davaoca Identiteta (IdP) (krajnji korisnik treba da izabere svoju matičnu instituciju iz liste ponuđenih),
  3. Korisnik unosi svoje kredencijale na stranici Davaoca Identiteta,
  4. Ako je autentifikacija uspešna, odgovor se šalje krajnjem korisniku i servisu,
  5. Servis proverava odgovor,
  6. Ako je sve u redu, korisnik pristupa servisu.

Korišćenjem svog digitalnog identiteta, korisnik može da pristupi servisima koji se nude u okviru Federacije Identiteta.

Federacija Identiteta značajno pojednostavljuje inter-institucionalno korišćenje veb-servisa. U okviru Federacije Identiteta, krajnji korisnik poseduje jedan digitalni identitet (skup korisničkog imena, lozinke i drugih podataka o njemu) koji mu obezbeđuje matična institucija u kojoj radi ili studira. Korišćenjem tog digitalnog identiteta, krajnji korisnik može pristupiti servisima koji se nude kroz Federaciju Identiteta. U Federaciji Identiteta, institucije koje svojim korisnicima obezbeđuju digitalni identitet nazivaju se Davaoci Identiteta, a institucije koje nude resurse su Davaoci servisa.

Više o iAMRES Federaciji Identiteta možete pročitati na AMRES sajtu https://amres.ac.rs/cp/institucije/iamres-federacija-identiteta.

U nastavku je naveden spisak atributa koji može da proseđuje Shibboleth Davalac Identiteta u okviru iAMRES Federacije Identiteta:

  • cn atribut predstavlja ime i prezime korisnika.
  • eduPersonPrincipalName atribut predstavlja Jedinstveni ID osobe sa domenom uz sinaksu : <uid>@<domen_institucije>, npr. petar@institucija.ac.rs.
  • givenName atribut predstavlja ime korisnika.
  • o atribut predstavlja naziv institucije.
  • eduPersonAffiliation atribut definiše način na koji je osoba povezana sa institucijom (moguće vrednosti su: student, učenik, nastavni kadar, zaposleni, spoljni saradnik, korisnik usluge, gost).
  • eduPersonScopedAffiliation atribut definiše način na koji je osoba povezana sa institucijom, sa domenom, uz sintaksu: <rsEduPersonAffiliation>@<domen_institucije>, npr. zaposleni@institucija.ac.rs.
  • sn atribut predstavlja prezime korisnika.
  • displayName atribut predstavlja ime i prezime korisnika.
  • mail atribut predstavlja imejl adresu korisnika.
  • eduPersonEntitlement je specijalna vrsta atributa koji se koristi za autorizaciju. Može se koristiti da bi se utvrdilo da li korisnik ima pravo da koristi određeni servis.
  • schacPersonalUniqueCode atribut predstavlja ESI identifikator studenta.
  • schacHomeOrganization atribut sadrži scope vrednost Davaoca Identiteta, tj. zvaničan domen institucije.
  • schacHomeOrganizationType atribut predtavlja tip institucije i može sadržati jednu od vrednosti sa stranice https://wiki.refeds.org/pages/viewpage.action?pageId=44957715#SCHACURNRegistry-homeOrganizationType
  • eduPersonAssurance atribut predstavlja skup URI vrednoti koje označavaju stepen usklađenosti sa specifičnim standardima za potvrdu identiteta
  • persistentent NameID je jedinstveni trajni identifikator korisnika, kreiran od pesistentId vrednosti.
  • eduPersonTargetedID atriibut predstavlja trajni identifikator korisnika. Davalac Identiteta smešta persistent NameID vrednost u eduPersonTargetedID atribut kada komunicira sa određenim Davaocem Servisa ukoliko on to zahteva. Ovaj atribut će uskoro prestati da se koristi.
  • samlPairwiseID je NOVI jedinstveni trajni identifikator korisnika, kreiran od pesistentId vrednosti.