eduroamUID

Systém etlog umožnuje koncovým uživatelům sítě eduroam zobrazit informace o jejich aktivitě. Předpokládá, že eduroam identita uživatele je shodná s hodnotou atributu eduPersonPrincipalName. V případě, že to není pravda, může domovské IdP implementovat atribut eduroamUID a v něm předávat eduroam identitu uživatele.

Na úrovní SAML zprávy je atribut identifikován jako http://eduroam.cz/attributes/eduroamUID. Implementace na straně Shibboleth IdP 3 (konfigurační soubor attribute-resolver.xml) může vypadat např. takto:

attribute-resolver-eduroamuid.xml

<AttributeDefinition id="eduroamUID" xsi:type="ScriptedAttribute">
  <Dependency ref="uid" />
  <AttributeEncoder xsi:type="SAML1String" name="http://eduroam.cz/attributes/eduroamUID" />
  <AttributeEncoder xsi:type="SAML2String" name="http://eduroam.cz/attributes/eduroamUID" friendlyName="eduroamUID" />
  <Script>
    <![CDATA[
      if (typeof uid != "undefined" && uid != null) {
          eduroamUID.addValue (uid.getValues().get(0) + "@eduroam.%{idp.scope}");
      }
      ]]>
    </Script>
</AttributeDefinition>

IdP musí tento atribut uvolňovat minimálně pro entityID https://monitor.eduroam.cz/shibboleth a https://attributes.eduid.cz/shibboleth. Chcete-li uvolňovat atribut eduroamUID jen službám z federace eduID.cz, které si tento atribut vyžádají v metadatech, ukázka pravidla pro Shibboleth IdP 3 (konfigurační soubor attribute-filter.xml) je zde:

attribute-filter-eduroamuid.xml

<AttributeFilterPolicy id="eduroamUID">
 
    <PolicyRequirementRule xsi:type="OR">
        <Rule xsi:type="InEntityGroup" groupID="https://eduid.cz/metadata" />
    </PolicyRequirementRule>
 
    <AttributeRule attributeID="eduroamUID">
        <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false" />
    </AttributeRule>
 
</AttributeFilterPolicy>