Page tree
Skip to end of metadata
Go to start of metadata

Persistent-id

Persistent-id on eduPersonTargetedId:tä vastaava käyttäjäkohtainen henkilöllisyyttä paljastamaton tunniste SAML2:ta käytettäessä, joka saa jokaisella tunnistautumiskerralla saman arvon.

Sen avulla voivat palvelut luoda personoituja palveluita käyttäjän todellista henkilöllisyyttä paljastamatta.

Persistent-id koostuu kolmesta osasta

  • IdP:n entityid

  • SP:n entityid

  • käyttäjäkohtainen satunnaismerkkijono

Yleensä näistä muodostetaan SP:ssa käyttöä varten yhdistetty merkkijono, jossa osiot on eroteltu huutomerkillä (!). Tällöin se siis näyttää esim. Ji9qzhbyzjNbNm4+BRGXSAHF2XQ=!!IdP_entityid!!SP_entityid

Persistent-id välittää joko NameID-muotoisena tunnisteena SAML-assertion otsikossa tai tavallisena attribuuttina muiden attribuuttien joukossa. Jotta tunniste on käyttäjälle aina sama kun käyttäjän siirtyessä tiettyyn palveluun, tulee tunniste tallentaa IdP:ssä.

EduGain-luottamusverkoston attribuuttimäärittelyissä (http://www.geant.net/service/edugain/resources/Pages/home.aspx) suositellaan persistent-id:n käyttöä henkilön tunnisteena. Lisäksi suurimman yhteensopivuuden saavuttamiseksi suositellaan asettamaan se sekä NameID:ksi että tavalliseksi attribuutiksi.

Persistent-id:n muodostaminen Shibboleth IdP:ssä

Yleisohjeet persistent-id:n käsittelystä IdP:ssä ja historiaa: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTargetedID

Persistent-id:n muodostaminen NameID:na: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPPersistentNameIdentifier

Persistent-id:n välittäminen attribuuttina: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAddAttribute

Peruslähtökohtana kuten kaikissa attribuuteissa, tulee ensimmäiseksi määritellä mistä perustiedot saadaan. Kun on tehty lähde persistent-id:lle, enkoodataan se lähetystä varten.  Ensin tehdään NameID:ta varten enkoodaus, jossa annetaan persistent-muotoinen nameid. NameID:na persistent-id:n käyttö vaatii tukea SP:lta, johon se lähetetään. Käytännössä kyseisen SP:n metadatatiedoissa tulee olla listattuna persistent-muotoinen NameID.

Persistent-id:n käyttö Shibboleth 2 SP:ssä

Persistent-id:n käsittely SP:ssa: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTargetedID#NativeSPTargetedID-SPProcessing