Atributos Emitidos por el IdP de la Udelar (actualizado 05/01/2016)¶
Los atributos emitidos siguen las pautas recomendadas para interoperabilidad a nivel internacional:
http://services.geant.net/edugain/Resources/Documents/GN3-11-012%20eduGAIN_attribute_profile.pdf
Para algunos SP de Udelar, también se emiten atributos particulares como los componentes del nombre y el documento.
La emisión de atributos se filtra por SP, es decir, en el IdP se configura qué atributos se emiten a cada SP.
Se puede visualizar un ejemplo de Assertion SAML emitido en el adjunto saml-response-idp-desa-nov2015.xml
Atributos¶
Core
| Atributo | AttributeName | Variable en SP | Ejemplo | Descripción |
|---|---|---|---|---|
| Documento | uid | uid/REMOTE_USER | UY-DO-12345678 | Documento, codificacion SIAP: <Pais>-<Tipo Documento>-<Numero documento>. Ver al final aclaraciones. |
| Nombre completo | cn | cn | JUAN PEDRO ROJAS MORENO | Nombres y apellidos |
| Apellidos | sn | sn | ROJAS MORENO | Apellidos |
| Nombres | gn | gn | JUAN PEDRO | Nombres |
| Nombre a mostrar | displayName | displayName | JUAN ROJAS | Nombres abreviado, a mostrar |
| Dirección email | juanrojas@gmail.com | Dirección de correo registrada en SIAP, no se exige que sea institucional |
eduPerson
| Atributo | AttributeName | Variable en SP | Ejemplo | Descripción |
|---|---|---|---|---|
| Afiliacion | eduPersonAffiliation | eduPersonAffiliation | staff | Afiliación, codificación estandar eduPerson, ver aclaración al final |
| Afiliacion + scope | eduPersonScopedAffiliation | eduPersonScopedAffiliation | staff@udelar.edu.uy | Afiliación con scope, codificación estandar eduPerson, el scope es siempre @udelar.edu.uy |
| Identificador del sujeto | eduPersonPrincipalName | eppn | 12345001@udelar.edu.uy | Identificador opaco con scope, único por usuario, no reasignable |
udelarPerson
| Atributo | AttributeName | Variable en SP | Ejemplo | Descripción |
|---|---|---|---|---|
| Primer Nombre | udelarPersonNombre1 | nombre1 | JUAN | |
| Segundo Nombre | udelarPersonNombre2 | nombre2 | PEDRO | |
| Primer Apellido | udelarPersonApellido1 | apellido1 | ROJAS | |
| Segundo Apellido | udelarPersonApellido2 | apellido2 | MORENO | |
| Tipo validacion | udelarPersonTipoValidacion | validacion | presencial | Indica la forma en que se realizó la validación de la identidad |
| Afiliacion + UE | udelarPersonAffiliation | udelarPersonAffiliation | staff@04 | Afiliación con codificación eduperson, seguido por @ y número de empresa de SIAP (por lo general, número de Unidad Ejecutora) |
schacOrganization
| Atributo | AttributeName | Variable en SP | Ejemplo | Descripción |
|---|---|---|---|---|
| Organizacion | schacHomeOrganization | udelar.edu.uy | Nombre organización, siempre udelar.edu.uy | |
| Tipo Organizacion | schacHomeOrganizationType | urn:schac:homeOrganizationType:int:higherEducationInstitution | Tipo de org. fijo. |
Documento¶
El documento se emite con codificación SIAP: <Pais>-<Tipo Documento>-<Numero documento>
- El país de documento son 2 caracteres (por ejemplo, para Uruguay es UY) Se utiliza la codificación ISO3166-alfa2 ( http://www.iso.org/iso/country_codes ), con una excepción: para el Reino Unido se utiliza el código UK (en forma similar al código utilizado en DNS).
- Los valores posibles para el tipo de documento son: DO (Documento o cedula), PA (Pasaporte), OT (Otro).
- El número de documento, en el caso de cédula uruguaya, es sin puntos ni guiones e inclye el dígito verificador. Por ejemplo, si el número es 1.234.567-8, se utiliza 12345678.
- Ejemplo completo de documento: UY-DO-12345678
Identificador del Sujeto¶
El Assertion SAML comunicado por el IdP incluye un identificador de sujeto que puede ser de tipo transitorio (transient) o persistente (persistent). El persistente es opaco, no reasignable, y targeted por servicio (diferenciado por SP para un mismo usuario).
Ejemplo de identificador persistente:
<saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="https://idp1.seciu.edu.uy/idp/shibboleth" SPNameQualifier="https://sp1.seciu.edu.uy/shibboleth" >qLEq7Ay684U+mCczMUjAGdgC4kw=</saml2:NameID>
Por defecto se emite un identificador transient, pero si el SP lo solicita, se emite el persistente.
Referencias:
http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201310.html#eduPersonTargetedID
Afiliación¶
Se utiliza la codificación estándar de eduPerson para informar la afiliación del sujeto con la institución.
Referencias:- http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201310.html#eduPersonAffiliation
- https://www.terena.org/activities/refeds/docs/ePSAcomparison_0_13.pdf
La afiliación es calculada según la categoría del cargo en SIAP. Valores en uso actualmente:
| Valor | Traduccion | Observaciones |
|---|---|---|
| staff | funcionario | Funcionario no docente (o pasantes) |
| faculty | docente | Funcionario docente (y becarios) |
| student | estudiante | Estudiantes |
Periodicidad de actualización de la afiliación: actualmente mensual (al 31/12/2015)