Note sul rilascio degli attributi e regolamento per l’uso dell’autenticazione federata IDEM-GARR-AAI

L’utilizzo delle credenziali di Active Directory all’interno del sistema di autenticazione federata IDEM-GARR-AAI è soggetto a restrizioni in quanto per suo tramite si accede a servizi esterni all’Università di Cagliari.

Si precisa che quanto segue è valido anche per l’accesso ai servizi interni erogati tramite il Service Provider dell’Università di Cagliari che però al momento è ancora in fase di test.

Le credenziali per l’accesso ai servizi forniti dalla Federazione IDEM-GARR-AAI ed ai servizi interni offerti tramite il Service Provider dell’Università di Cagliari sono private e non cedibili ad alcuno per nessun motivo e a nessun titolo, pena la revoca degli attributi necessari all’accesso (ed in casi gravi anche la revoca delle credenziali stesse), oltre ad eventuali conseguenze sul piano penale.

L’utente deve sapere che il sistema di autenticazione rilascia al Service Provider esterno una serie di attributi LDAP indispensabili per l’autenticazione ed in assenza dei quali non è possibile la fornitura del servizio richiesto; non tutti i Service Provider richiedono gli stessi attributi, in particolare il set minimo di attributi richiesti non può prescindere da ePTID ed ePSA, oltre – eventualmente – all’entitlement (eduPersonEntitlement, v. sotto).

Tali attributi sono:

ou Attributo descrittivo dell’Ateneo
sAMAcccountName Nome utente
cn Nome e cognome dell’utente
givenName Nome di battesimo dell’utente
sn Cognome dell’utente
email Indirizzo e-mail dell’utente
telephoneNumber Numero di telefono dell’utente V. nota 1
employeeNumber Numero di matricola dell’utente V. nota 2
preferredLanguage Lingua preferita dall’utente (madrelingua)
eduPersonEntitlement Abilitazioni particolari V. nota 3
eduPersonPrincipalName Attributo “scoped” derivato dal sAMA V. nota 4
eduPersonAffiliation Grado di affiliazione all’interno dell’organizzazione V. nota 5
eduPersonScopedAffiliation Scoped derivato dal precedente V. nota 4
eduPersonTargetedID Attributo che permette la gestione di sessioni in forma anonima V. nota 6
schacHomeOrganization Attributo scoped dell’ente di appartenenza
schacHomeOrganizationType Attributo che identitfica il tipo di ente di appartenenza
l Luogo di residenza V. nota 7
st Provincia di residenza V. nota 7
c Nazione di residenza V. nota 7

 

NOTE

(1) Il numero di telefono è richiesto esplicitamente da alcuni SP (per esempio Nilde)

(2) Al momento non implementato

(3) L’entitling in particolare serve per poter accedere alle risorse bibliografiche e ad altre risorse simili

(4) Gli attributi scoped derivano da quelli base con aggiunta del suffisso di organizzazione

(5) L’affiliazione prevede i seguenti valori:

Member – Staff:    Personale docente/tecnico/amministrativo

        Member – Staff – Emeritus: Professori emeriti

Member – Student:  studenti

Affiliate:     Visiting Professors ed assimilati

Alum (non assegnato per ora nella nostra LDAP): laureati

(6) Attributo che permette la gestione di sessioni in forma anonima non essendo memorizzato in LDAP ma calcolato grazie ad un algoritmo casuale direttamente da Shibboleth (valore=IdPNameQualifier!SPNameQualifier!stringa_opaca) e non essendo riassegnato.

(7) Attributi indispensabili per l’accesso a Moodle.

 

Di seguito si riporta un esempio (fittizio: il solo EPTID è reale ed è quello rilasciato al SP di test del GARR per chi scrive) degli attributi rilasciati alla connessione:

ou –> ou=utenti,dc=amm,dc=unica,dc=it
uid –> prova
cn –> User Prova
givenName –> User
sn –> Prova
email –> prova@unica.it
telephoneNumber –> 0706751234
employeeNumber –> 123456
preferredLanguage –> it
eduPersonEntitlement –> urn:mace:dir:entitlement:common-lib-terms
eduPersonPrincipalName –> prova@unica.it
eduPersonAffiliation –> staff;  member
eduPersonScopedAffiliation –> staff@unica.it;  member@unica.it
eduPersonTargetedID –> https://idp.unica.it/idp/shibboleth!https://sp2-test.garr.it/shibboleth!2YNU7YCQnZw1yh9cBSm0H2e8Yjs=
schacHomeOrganizationType –> urn:schac:homeOrganizationType:int:university
schacHomeOrganization –> unica.it
l –> CAGLIARI
st –> CA
c –> IT

Inoltre, a partire dalla versione 3 (ottobre 2016), l’Identity Provider dell’Università di Cagliari memorizza in un database alcuni attributi che nelle versioni precedenti erano calcolati di volta in volta; in particolare:

localEntity –> entityID dell’IdP (https://idp.unica.it/idp/shibboleth)
peerEntity  –> entityID del SP (https://serviceProvider.supplier.org/idp/shibboleth)
persistentId –> equivalente a localEntity!peerEntity!stringa opaca
principalName –> v. tabella sopra
localId –> userid dell’utente sull’IdP
peerProvidedId  –> userid assegnato all’utente dal SP (se assegnato, altimenti il valore è NULL)
creationDate –> data Unix di creazione del record
deactivationDate –> data Unix di disattivazione della uid (nel nostro caso, NULL)