O Shibboleth Davaocu Identiteta
Shibboleth je softver otvorenog koda, koji je razvio Shibboleth Consortium, a implementira SAML standard. SAML (Security Assertion Markup Language) je OASIS standard i XML radni okvir za razmenu informacija o autentifikaciji i autorizaciji. Shibboleth mehanizam rada:
- Krajnji korisnik pristupa željenom AMRES servisu putem veb-pregledača,
- Servis zahteva autentifikaciju i krajnji korisnik se redirektuje na Davaoca Identiteta (IdP) (krajnji korisnik treba da izabere svoju matičnu instituciju iz liste ponuđenih),
- Korisnik unosi svoje kredencijale na stranici Davaoca Identiteta,
- Ako je autentifikacija uspešna, odgovor se šalje krajnjem korisniku i servisu,
- Servis proverava odgovor,
- Ako je sve u redu, korisnik pristupa servisu.
Korišćenjem svog digitalnog identiteta, korisnik može da pristupi servisima koji se nude u okviru Federacije Identiteta.
Federacija Identiteta značajno pojednostavljuje inter-institucionalno korišćenje veb-servisa. U okviru Federacije Identiteta, krajnji korisnik poseduje jedan digitalni identitet (skup korisničkog imena, lozinke i drugih podataka o njemu) koji mu obezbeđuje matična institucija u kojoj radi ili studira. Korišćenjem tog digitalnog identiteta, krajnji korisnik može pristupiti servisima koji se nude kroz Federaciju Identiteta. U Federaciji Identiteta, institucije koje svojim korisnicima obezbeđuju digitalni identitet nazivaju se Davaoci Identiteta, a institucije koje nude resurse su Davaoci servisa.
Više o iAMRES Federaciji Identiteta možete pročitati na AMRES sajtu https://amres.ac.rs/cp/institucije/iamres-federacija-identiteta.
U nastavku je naveden spisak atributa koji može da proseđuje Shibboleth Davalac Identiteta u okviru iAMRES Federacije Identiteta:
- cn atribut predstavlja ime i prezime korisnika.
- eduPersonPrincipalName atribut predstavlja Jedinstveni ID osobe sa domenom uz sinaksu :
<uid>@<domen_institucije>
, npr. petar@institucija.ac.rs. - givenName atribut predstavlja ime korisnika.
- o atribut predstavlja naziv institucije.
- eduPersonAffiliation atribut definiše način na koji je osoba povezana sa institucijom (moguće vrednosti su: student, učenik, nastavni kadar, zaposleni, spoljni saradnik, korisnik usluge, gost).
- eduPersonScopedAffiliation atribut definiše način na koji je osoba povezana sa institucijom, sa domenom, uz sintaksu:
<rsEduPersonAffiliation>@<domen_institucije>
, npr. zaposleni@institucija.ac.rs. - sn atribut predstavlja prezime korisnika.
- displayName atribut predstavlja ime i prezime korisnika.
- mail atribut predstavlja imejl adresu korisnika.
- eduPersonEntitlement je specijalna vrsta atributa koji se koristi za autorizaciju. Može se koristiti da bi se utvrdilo da li korisnik ima pravo da koristi određeni servis.
- schacPersonalUniqueCode atribut predstavlja ESI identifikator studenta.
- schacHomeOrganization atribut sadrži scope vrednost Davaoca Identiteta, tj. zvaničan domen institucije.
- schacHomeOrganizationType atribut predtavlja tip institucije i može sadržati jednu od vrednosti sa stranice https://wiki.refeds.org/pages/viewpage.action?pageId=44957715#SCHACURNRegistry-homeOrganizationType
- eduPersonAssurance atribut predstavlja skup URI vrednoti koje označavaju stepen usklađenosti sa specifičnim standardima za potvrdu identiteta
- persistentent NameID je jedinstveni trajni identifikator korisnika, kreiran od pesistentId vrednosti.
- eduPersonTargetedID atriibut predstavlja trajni identifikator korisnika. Davalac Identiteta smešta persistent NameID vrednost u eduPersonTargetedID atribut kada komunicira sa određenim Davaocem Servisa ukoliko on to zahteva. Ovaj atribut će uskoro prestati da se koristi.
- samlPairwiseID je NOVI jedinstveni trajni identifikator korisnika, kreiran od pesistentId vrednosti.