[HREF-tech] eduID kerdesek

Váradi Zsuzsanna varadi.zsuzsanna at rh.uni-obuda.hu
2013. Május. 30., Cs, 16:47:39 CEST 

Sziasztok,

On 2013.05.30., at 14:02, Frank Tamás <sitya at niif.hu> wrote:

> [Kedves href-tech-et olvasó Kollégák, bekapcsollak titeket is a threadbe, mert a levél második felében olvasható kérdésre talán ti közelebbről látjátok a pontos választ]
> 
> Kedves Misi,
> 
> On 2013.05.30., at 12:00, M.Toth-Abonyi at cc.u-szeged.hu wrote:
> 
>> Quoting Frank Tamás <sitya at niif.hu>:
>> 
>>> On 2013.05.07., at 14:46, Toth-Abonyi Mihaly <M.Toth-Abonyi at cc.u-szeged.hu> wrote:
>>> 
>>>> Amikor az IdP hozzájárulást kér az attribútumok átadásahoz
>>>> az SP felé, akkor ott egyesével választhatja-e ki a felhasználó,
>>>> hogy milyen attribútum átadásához járul hozzá, vagy az összesre
>>>> kell igent vagy nemet mondania?
>>> 
>>> Nem válogathat, csak egy pakkban kezelhető a hozzájárulás, vagy annak elvetése.
>> 
>> Erre a kérdésre visszatérek. Legalább arra van-e mód, hogy külön járuljon
>> hozzá a felhasználó a kötelező, és külön az ajánlott attribútum pakk átadásához?
>> Ezeknek a hozzájárulásoknak ugyanis más-más az eredménye. Ha a
>> kötelező attribútumok (valamelyikének) átadásához nem járul hozzá a felhasználó,
>> akkor nem veheti igénybe az adott szolgáltatást. Míg ha csak az ajánlott
>> attribútumok átadásához nem járul hozzá, akkor igénybe vehetné a szolgáltatást
>> a kötelező attribútumok átadásával.
>> Vagy erre a különbségtételre van-e valamilyen más megoldás, működő modell?
> 
> A gyakorlat azt mutatja (és ez kifejezetten cél is), hogy az SP-k a lehető legkevesebb attribútumot kérik, jellemzően azokat, melyekre tényleg szükségük van. A kért attribútumok a metadatában is felsorolásra kerülnek, és mindegyik mellé kerülhet egy nyomatékosító logikai >> isRequired="true" << érték is, ami azt jelenti, hogy az adott attribútum kiadása nélkül tényleg el sem tud indulni a szolgáltatás a felhasználó számára. Ahol nincs ilyen nyomatékosítás, azon attribútumok kiadásánál érdemes egyáltalán csak elgondolkodni, hogy az IdP kiadja, vagy sem. Ezek jellemzően kényelmi funkciókat szolgáló attribútumok (pl. displayName). De fontos, hogy ez a nyomatékosítás nem csak a föderációban kötelezőként definiált attribútumok mellé kerülhet oda. Az, hogy az SP mely attribútum mellé teszi ezt oda, az az ő dolga, de nyilván célszerű úgy gondolkodnia, hogy figyelembe veszi a föderációs besorolását az adott attribútumnak (kötelező, ajánlott, opcionális). Ezzel együtt viszont az IdP-nek is joga van bármilyen attribútumot kiadni, vagy nem kiadni egy-egy SP-re külön szabályt alkotva. 
> 
> Hogy a kérdés lényegi pontjára is válaszoljak: jelenleg mindkét, a föderációban használt IdP implementációjához tartozik ún. "consent modul", de mindkét megoldásnál csak összesítve lehet nyugtázni az attribútumok kiadását, vagy a kiadás megtagadását, ami együtt jár azzal, hogy a szolgáltatást nem fogja tudni igénybe venni a felhasználó, mert nem is tud tovább lépni. A szeparált jóváhagyásra nem ismerek megoldást, elvileg nem lehetetlen implementálni ezt a funkciót, de őszintén szólva nem igazán látom létjogosultságát. Ha az IdP úgy látja jónak, akkor megszűri a nem kötelező attribútumok kiadását, de ha ő nem szűr, akkor jó eséllyel a felhasználónak sem származik belőle hátránya, ha az adott adat róla kikerül.
> 
>> A további kérdéseim az eduPersonScopedAffiliation-nel kapcsolatosak:
> 
> A levél további részével kapcsolatban első körben meghallgatnám a föderációban már részt vevő oktatási intézmények - a kérdéssel közelebbről már találkozó - kollégáinak véleményét.
> 
>> student:
>> 
>> 1.) A már felvett, de még nem beiratkozott hallgatókat az eduID föderáció
>> "student"-nek tekinti-e vagy csak "affiliate" jogviszonyt rendeljünk hozzájuk?
>> 
>> 2.) A hallgatói jogviszonyt szüneteltetők (félévkihagyó, passzív hallgatók)
>> a szüneteltetés idejére maradjanak-e "member, student"-ek, vagy minősítsük őket
>> vissza "affiliate"-té?
>> 
>> alum:
>> 
>> Erre van-e valamilyen definíció, konszenzus az eduID-n belül? Például az adott
>> egyetemen lezárt tanulmányokhoz kötés? Vagy bárki lehet, akinek volt hallgatói
>> jogviszonya az adott egyetemen?
>> 
>> Ezekben a kérdésekben persze mi is dönthetünk, de úgy gondoljuk, hogy a föderációnak az ilyen kérdéseket egységesen kell kezelnie a szolgáltatók
>> felé. Ne legyen az, hogy az egyik egyetemen a félévkihagyó hallgató "student",
>> a másikon csak "affiliate".
>> 
>> Ha ezekről van leírás, RTFM is lehet a válasz, az "M" megjelölésével :)
> 

Ha jol emlekszem, nalunk csak member lesz a diak, a student csak az aktiv hallgato. Az LDAPsync-ben mintha igy lenne, mivel ilyenkor szerintem nem kapunk attributumot a felhasznalora a Neptun interface-tol. De holnap megnezem pontosan. 

Mondjuk meg nem probaltam ki (vagy nem emlekszem az eredmenyre), hogy mi van olyan esetben, ha valakinek mar megvolt a student attributum egyszer, es passziv felevre megy, hogy ilyenkor hogyan valtozik a user statusza, de szerintem ilyen esetben csak member lesz az illeto..

Udv: Zsuzsa
OE


> üdv,
> Tamás
> 
> 
> --
> Frank Tamás
> 
> NIIFI AAI
> eduid.hu
> 
> 
> _______________________________________________
> HREF-tech mailing list
> HREF-tech at listserv.niif.hu
> https://listserv.niif.hu/mailman/listinfo/href-tech

További információk a(z) HREF-tech levelezőlistáról