eduroamUID
Systém etlog umožnuje koncovým uživatelům sítě eduroam zobrazit informace o jejich aktivitě. Předpokládá, že eduroam identita uživatele je shodná s hodnotou atributu eduPersonPrincipalName
. V případě, že to není pravda, může domovské IdP implementovat atribut eduroamUID
a v něm předávat eduroam identitu uživatele.
Na úrovní SAML zprávy je atribut identifikován jako http://eduroam.cz/attributes/eduroamUID
. Implementace na straně Shibboleth IdP 3 (konfigurační soubor attribute-resolver.xml
) může vypadat např. takto:
- attribute-resolver-eduroamuid.xml
<AttributeDefinition id="eduroamUID" xsi:type="ScriptedAttribute"> <Dependency ref="uid" /> <AttributeEncoder xsi:type="SAML1String" name="http://eduroam.cz/attributes/eduroamUID" /> <AttributeEncoder xsi:type="SAML2String" name="http://eduroam.cz/attributes/eduroamUID" friendlyName="eduroamUID" /> <Script> <![CDATA[ if (typeof uid != "undefined" && uid != null) { eduroamUID.addValue (uid.getValues().get(0) + "@eduroam.%{idp.scope}"); } ]]> </Script> </AttributeDefinition>
IdP musí tento atribut uvolňovat minimálně pro entityID https://monitor.eduroam.cz/shibboleth
a https://attributes.eduid.cz/shibboleth
. Chcete-li uvolňovat atribut eduroamUID
jen službám z federace eduID.cz, které si tento atribut vyžádají v metadatech, ukázka pravidla pro Shibboleth IdP 3 (konfigurační soubor attribute-filter.xml
) je zde:
- attribute-filter-eduroamuid.xml
<AttributeFilterPolicy id="eduroamUID"> <PolicyRequirementRule xsi:type="OR"> <Rule xsi:type="InEntityGroup" groupID="https://eduid.cz/metadata" /> </PolicyRequirementRule> <AttributeRule attributeID="eduroamUID"> <PermitValueRule xsi:type="AttributeInMetadata" onlyIfRequired="false" /> </AttributeRule> </AttributeFilterPolicy>