Export to PDFTable of Contents
eduPersonTargetedId
| Naziv: | Pseudonim korisnika |
|---|---|
| LDAP naziv: | eduPersonTargetedId |
| Opis: | Trajan identifikator korisnika koji razmenjuju davalac servisa i davalac identiteta. Nikada se ne dodeljuje ponovo i ne sadrži nikakve podatke o korisniku. Davalac identiteta koristi određenu vrednost atributa kada komunicira sa određenim davaocem servisa ili grupom davaoca servisa i ne otkriva ovu vrednost ni jednom drugom davaocu servisa. |
| Ldap sintaksa: | DirectoryString |
| Dopuštene vrednosti: | Nema posebnog šifarnika |
| Status: | Opcionalan |
| Frekvencija: | N |
| Poreklo: | eduPerson |
| Referenca: | eduPerson200806 |
| OID: | 1.3.6.1.4.1.5923.1.1.1.10 |
| Primer: | eduPersonTargetedId: kl83HlsnblqYskgh72Kfqkl |
Napomene vezane za upotrebu atributa:
Ukoliko je davaocu servisa neophodno da može da prepozna istog korisnika u njegovim različitim sesijama, u tu svrhu može da koristi atribut eduPersonTargetedId. Najčešća upotreba je personalizacija servisa odnosno čuvanje preferenci korisnika kroz njegove sesije. Drugi razlog može biti potreba da se prati aktivnost korisnika radi sprečavanja zloupotrebe servisa.
Atribut omogućava instituciji da davaocu servisa pruži trajan, negovoreći (engl. opaque), identifikator korisnika. Svakom davaocu servisa kome se izdaje ovaj atribut, davalac identiteta daje drugačiju vrednost za određenog korisnika. Atribut može imati više vrednosti (po jedna vrednost za svakog davaoca servisa kome se atribut izdaje).
eduPerson specifikacija zahteva da jednom dodeljena vrednost atributa eduPersonTargetedId, nikada ne sme biti ponovo dodeljena drugom korisniku. Međutim treba imati na umu da ne mogu svi davaoci identiteta garantovati da će određeni korisnik zauvek zadržati neku vrednost. Davaoci identiteta čak mogu svojim korisnicima dati opciju da se za njih generiše nova vrednost ako misle da im je privatnost ugrožena.
U zavisnosti od zahteva davaoca pristupa, vrednost može biti izražena u nekom od dva oblika. Format koji se često koristi unutar Shibboleth zajednice ima ime atributa urn:mace:dir:attribute-def:eduPersonTargetedID i njegova sintaksa je <pseudonim>@<administrativni domen davaoca identiteta>. Noviji format koji u većoj meri odgovara komercijalnim SAML implementacijama ima ime atributa urn:oid:1.3.6.1.4.1.5923.1.1.1.10 i on obuhvata ime entiteta davaoca pristupa, ime entiteta davaoca servisa i niz karaktera koji predstavljaju negovoreći indentifikator (pseudonim). Ove vrednosti su odvojene simbolom “!”. Ovaj format je podržan od strane Internet2 zajednice i može preuzeti primat nad prvim formatom.
EduPerson Specifikacija
Iako ovaj atribut ne mora biti sačuvan u određenom direktorijumu, on može biti generisan od njegove strane. U svakom slučaju, atribut se ovde definiše zbog njegove potencijalne upotrebe u drugim kontekstima servisa kao što su SAML assertions.
Vrednosti eduPersonTargetedId atributa ne treba dodeljivati ponovo.
Trajnost
Dodeljivanje vrednosti atributu eduPersonTargetedId nema definisano trajanje, ali bi ono trebalo da bude duže od jedne korisničke interakcije i dovoljno dugo da eduPersonTargetedId bude upotrebljiv kao ključ za određeni servis koji ga koristi. Takođe se mogu koristiti procedure kojima se radi privatnosti korisnika vrednost atributa osvežava. Pritom se davalac servisa obaveštava o ovim promenama, tako da se funkcionalnost servisa ne gubi.
Privatnost
Ovaj atribut je osmišljen da bi se sačuvala privatnost korisnika i da bi se onemogućilo da više nezavisnih servisa mogu da upoređivanjem vrednosti dovode u uzajamnu vezu aktivnosti korisnika. Iz tog razloga je neophodno da bude negovoreći (engl. opaque) i da nema veze sa ostalim korisnikovim identifikatorima kao što je korisničko ime ili eduPersonPrincipalName. Trećem licu bi trebalo biti teško da rekonstruiše vrednost koju treba vratiti određenom davaocu servisa.
Vrednost atributa može biti pseudo-slučajna vrednost koju generiše i čuva davalac identiteta, ili može biti izvedena kao neka funkcija nad identitetom davaoca servisa i drugih podataka koji su jedinstveni za korisnika.
Maksimalna dužina je 256 karaktera.
Jedinstvenost
Određena vrednost atributa namenjena je korišćenju od strane specifičnih servisa (obično samo jednog). Vrednosti atributa moraju biti jedinstvene unutar opsega davaoca identiteta i opsega davaoca servisa za koga je vrednost kreirana. Logički, vrednost atributa se sastoji od trojke: identifikator, davalac identiteta i davalac servisa.
Ponovno dodeljivanje
Posebna odlika ovog atributa je da je zabranjeno njegovo ponovno dodeljivanje. Obzirom da je vrednost identifikatora negovoreća, ona osim identifikacije korisnika nema nikakvo drugo značenje. Zbog toga određena vrednost atributa kreirana od strane davaoca identiteta ne sme biti ponovno dodeljena, tako da se sprečava da se njime određeni davalac servisa referiše na različite korisnike u različitim vremenskim trenucima.
