IdP属性定义和释放介绍

        IdP和SP之间属性传递是CARSI联盟区分用户身份认证方和用户身份使用方、在应用系统资源中实现基于用户的访问控制的技术基础。在IdP端,需要“属性定义””属性释放”两个步骤。

        “属性定义”遵循标准的属性命名,将本地身份认证系统的属性名称和IdP即将释放给联盟SP的属性名称进行关联,为“属性释放”的准备阶段。“属性定义”的属性,可以选择允许或者不允许属性释放。

        “属性释放”是将已经定义好的属性释放给联盟SP的过程。IdP管理员可以配置将某个属性释放给所有SP或者某个SP。

       

        根据 “CARSI资源共享服务属性要求”,CARSI IdP目前需要定义四个属性,释放三个属性,需要释放的属性:

  • eduPersonScopedAffiliation:核心属性,标识用户的身份,取值为:faculty, student, staff, alum, member, affiliate, employee, other,后面加上@xxx.edu.cn。对应的身份分别为:教师、学生、员工、校友、成员、附属人员,聘用人员、其他。

  • eduPersonTargetedID(ePTID):推荐属性,是一个永久的,可读性不强的身份识别码,用于唯一标识用户身份,同一个idp的同一个用户为不同的sp提供不同的ePTID,在保护用户隐私的前提下支持sp区分用户。

  • eduPersonEntitlement(ePE):推荐属性,标识用户访问特定资源的权限的URI。表示用户有权限访问此资源。取值urn:mace:dir:entitlement:common-lib-terms表示遵守idp和图书馆类sp已经达成的线下协议,idp用户去访问sp资源。建议将此属性释放给指定SP。

需要定义的属性:

  • eduPersonPrincipalName:用于标识用户身份,取值为user@scope。为了保护用户隐私,2019年12月起,建议idp取消直接释放ePPN,用ePTID代替。仅作为ePTID属性的输入属性,并不对sp释放。


版权所有©北京大学计算中心