Çekirdek Nitelikler
YETKİM Üyesi Kimlik Sağlayıcılar ihtiyaçlarına göre (erişecekleri servislerin ihtiyaçlarına göre) birçok nitelik üretebilir/yayımlayabilirler. Ancak YETKİM içi ya da federasyonlar arası (eduGAIN) servis kullanımlarında sorun çıkmaması için çekirdek bir nitelik kümesini üretebilmesi/yayımlayabilmesi gerekmektedir.
Bu çekirdek niteliklerin anlamları, özellikleri, alabilecekleri değerler, vb. hakkında bilgiler aşağıda verilmiştir. YETKİM üyesi kimlik sağlayıcılar, nitelikleri, buradaki tanımlarına göre üretmekle/yayımlamakla yükümlüdürler, bunun sayesinde ortak çalışabilirlik mümkün ve kolay olacaktır.
(*) Değerlerin Adedi, bu niteliğe verilebilecek değer sayısını göstermektedir. tek; niteliğin tek bir değer alabileceğini belirtir, çok ise niteliğin birden çok değer alabileceğini belirtir.
givenName |
---|
OID: oid:2.5.4.42 |
Tanımı: Kişinin adı |
Değerlerinin Adedi: tek |
Referans: eduPerson#givenName |
Örnek: Ayşe,Fatma , Mehmet Ali, |
Açıklama: Normalde bu nitelik birden fazla değer alabilir. Örneğin, Mehmet Ali
için Mehmet
ve Ali
ama YETKİM’de bu alan bir kere kullanılmalıdır, Mehmet Ali
gibi.
sn (surname) |
---|
OID: oid:2.5.4.4 |
Tanımı: Kişinin soyadı |
Değerlerinin Adedi: tek |
Referans: eduPerson#sn |
Örnek: Kaya , Yıldız Şahin |
Açıklama: Normalde bu nitelik birden fazla değer alabilir. Örneğin, Yıldız Şahin
için Yıldız
ve Şahin
ve hatta Yıldız-Şahin
ama YETKİM’de bu alan bir kere kullanılmalıdır, Yıldız Şahin
gibi.
displayName |
---|
OID: oid:2.16.840.1.113730.3.1.241 |
Tanımı: Kişinin adı gösterilirken kullanılacak, kişinin tercih edilen adı. Genelde “givenName sn” şeklindedir |
Değerlerinin Adedi: tek |
Referans: eduPerson#displayName |
Örnek: Elif Değerli , Ahmet Kara |
OID: oid:0.9.2342.19200300.100.1.3 |
Tanımı: Kişinin eposta adresi. |
Değerlerinin Adedi: çok |
Referans: eduPerson#mail |
Örnek: ahmet.yigit@ankara.edu.tr , elifk@ankara.edu.tr |
Açıklama: Bu niteliğin birden fazla değeri olabilir, ancak kullanici@universite.edu.tr
kurumsal eposta adresi biçiminde olması tercih edilir.
schacHomeOrganization |
---|
OID: oid:1.3.6.1.4.1.25178.1.2.9 |
Tanımı:: Kişinin dahil olduğu ev kurumun (home organization) alan adı |
Değerlerinin Adedi: tek |
Referans: SCHAC |
Örnek: istanbul.edu.tr |
schacHomeOrganizationType |
---|
OID: oid:1.3.6.1.4.1.25178.1.2.10 |
Tanımı:: Kişinin dahil olduğu ev kurumun türü. |
Değerlerinin Adedi: çok |
Referans:: SCHAC |
Örnek: urn:schac:homeOrganizationType:int:university , urn:schac:homeOrganizationType:int:researchHospital , urn:schac:homeOrganizationType:int:nren , urn:schac:homeOrganizationType:int:other |
Açıklama: YETKİM’de üniversiteler urn:schac:homeOrganizationType:int:university
kullanmalı.
eduPersonAffiliation |
---|
OID: oid:1.3.6.1.4.1.5923.1.1.1.1 |
Tanımı: Kişinin kurumuyla olan ilişkisi (geniş kapsamda – broad category). |
Değerlerinin Adedi: çok |
Referans: eduPerson#eduPersonAffiliation |
Örnek: student , faculty , member |
Açıklama: Bu nitelik student
, faculty
, staff
, affiliate
, alum
, library-walk-in
değerlerinden birini veya birden fazlasını alabilir. Bu değerlerin manaları aşağıdaki gibidir:
faculty
: akademik personel,student
: öğrenci,staff
: idari personel,member
: kurumla doğrudan ilişkisi olan herkes; bu durumdafaculty
,student
,staff
olan herkesmember
da olmalı.faculty
,student
,staff
olmayan ama kurumla ilişkisimember
olarak tanımlanabilecek kişiler demember
olmalı.affiliate
: kurumla doğrudan ilişkisi olmayan,member
olarak tanımlanamayacak (çalışan ya da öğrenci olmayan) kişiler. Örneğin, Misafirler, öğrenci velileri, dış denetçiler, vb.alum
: mezunlibrary-walk-in
: kurum dışından gelip kütüphaneyi kullanan kişiler (çok yaygın olarak kullanılacağını düşünmüyoruz)
Örneğin bu niteliğin değeri;
- Akademik personel için:
faculty
vemember
, - Öğrenci için
student
vemember
, - İdari personel için
staff
vemember
- Doktora öğrencisi bir araştırma görevlisi için
faculty
,student
vemember
, - Üniversitede yüksek lisans yapan bir idari personel için
staff
,student
vemember
, - Öğrenci velisi için
affiliate
- Mezun öğrenciler için
alum
- Kurum ile ilişkisi
staff
,faculty
vestudent
olarak tanımlanamayan ama kurumun tam bir çalışanı olan kişi içinmember
olur. Nitelikte faculty
, staff
ve student
değerlerinden biri varsa, otomatik olarak nitelikte member
değeri de olması gerekmektedir.
eduPersonScopedAffiliation |
---|
OID: oid:1.3.6.1.4.1.5923.1.1.1.9 |
Tanımı: Kişinin belirli bir güvenlik alanı (kapsam – scope) içindeki ilişkisi (geniş kapsamda) |
Değerlerinin Adedi: çok |
Referans: eduPerson#eduPersonScopedAffiliation |
Örnek: student@izmir.edu.tr , faculty@izmir.edu.tr , member@izmir.edu.tr |
Açıklama: Değeri x@y şeklindedir. x, eduPersonAffiliation niteliğinde alınabilecek değerler olabilir (örn. student
, faculty
, vb.). y ise güvenlik alanıdır (kapsam – scope). y eduPersonPrincipalName değerinin @’den sonraki değeri ile aynıdır.
Örneğin; kapsam’ınız (scope) izmir.edu.tr
ise bu niteliğin değeri;
- öğrenci için,
student@izmir.edu.tr
,member@izmir.edu.tr
, - akademik personel için,
faculty@izmir.edu.tr
,member@izmir.edu.tr
,
olacaktır.
Bu nitelik servis sağlayıcılar tarafından sıklıkla kullanılmaktadır. Niteliğin değeri aynı anda hem kişinin kurumla ilişkisini hem de kurum bilgisini içermektedir.
eduPersonPrincipalName |
---|
OID: oid:1.3.6.1.4.1.5923.1.1.1.6 |
Tanımı: Kişi için kapsamı (scope) olan bir tanımlayıcı (identifier) |
Değerlerinin Adedi: tek |
Referans:: eduPerson#eduPersonPrincipalName |
Örnek: elif.kocak@adana.edu.tr , efy24@adana.edu.tr |
Açıklama: Bu niteliğin değeri kullanıcı@kapsam
şeklinde olmalıdır. kullanıcı
verilen kapsam
‘da benzersiz (unique) olmalıdır. Aynı kapsam
‘da birden fazla kullanıcı aynı kullanıcı
’yı kullanmamalıdır. Tüm zamanlar için, kullanılmış bir kullanıcı@kapsam
, başka bir kişi için kullanılmamalıdır.
Bu niteliğin değeri eposta adresine benzese de ve çoğu zaman eposta ile aynı olsa da, bu nitelik değeri eposta gibi kullanılmamalıdır.
Bu nitelik genelde kullanıcı dostu bir değere sahip olur ayse.gezer@bursa.edu.tr
gibi, ama olmak zorunda da değildir; örneğin 743567@bursa.edu.tr
.
Normalde belli bir kapsam
‘da kullanılmış kullanıcı
bir daha kullanılmamalıdır ya da bir kişinin kullanıcı
‘sı değiştirilmemelidir, ancak kurum, zorunluluklardan kaynaklı, bu kurala uyamayabilir. Bu nedenle, eduPersonPrincipalName niteliğini kullanacak olan servis sağlayıcılar bu durumu göz önünde bulundurmalıdır.
eduPersonTargetedID |
---|
OID: oid:1.3.6.1.4.1.5923.1.1.1.10 |
Tanımı: Kişi için kalıcı (persistent), yeniden atanmayan (non-reassigned), opak ve hedefli (targeted) bir tanımlayıcı. |
Değerlerinin Adedi: çok |
Referans: eduPerson#eduPersonTargetedID |
Örnek:
<saml:NameID
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
NameQualifier="https://kimlik.universite.edu.tr/simplesaml/saml2/idp/metadata.php"
SPNameQualifier="https://sp.servis.com.tr/simplesaml/module.php/saml/sp/metadata.php/ornek-servis"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
1e4774a0270be2d549196deebb61b1f20d183bc4
</saml:NameID>
Açıklama: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent biçimindeki SAML V2.0 Ad Tanımlayıcısının (Name ID) soyutlanmış -nitelik haline getirilmiş- bir sürümüdür. Başka bir deyişle bu nitelik değeri; {kişi için bir tanımlayıcı, servis sağlayıcı varlık kimliği ve kimlik sağlayıcı varlık kimliğinden} oluşan bir demettir.
Ad Tanımlayıcı (Name ID), kimlik sunucusundan, kullanıcı doğrulaması sonrası gelen SAML Assertion mesajında bulunur ve kullanıcıyı (Subject) tanımlar. Nitelik değildir.
Her servis sağlayıcı için farklı bir kişi tanımlayıcısı olur (hedefli tanımlayıcı – targeted identifier).
Kişi tanımlayıcısı kalıcıdır (persistent). Çok uzun süreler geçerlidir.
Tanımlayıcı opaktır. Tanımlayıcının değerinden, kişisel bir bilgi elde edilemez. Bu gizliliği sağlar.
Kişi tanımlayıcısı benzersizdir. Aynı kimlik sağlayıcı ve aynı servis sağlayıcı kapsamında başka bir kişi aynı tanımlayıcı değerine sahip olamaz.
Kişi tanımlayıcısı tekrar kullanılamaz.
Kalıcı Ad Tanımlayıcısı (persistent NameID) ve dolayısıyla eduPersonTargetedID genelde belli nitelik(ler)in değerleri ve tuz (salt) kullanılarak, bir algoritma yardımı ile hesaplanır. Hesaplanan bu değerin tüm zamanlarda benzersiz olabilmesi için kullanılan niteliğin/niteliklerin değerinin tüm zamanlarda benzersiz olması gerekmektedir.
Örneğin, kullanıcı adını tutan username
niteliği bu hesaplamada kullanılamaz, çünkü aynı kullanıcı adı 2 yıl sonra başka bir kişi için de kullanılabilir. Yani bugünkü ali
kullanıcısı ile 2 yıl sonraki ali
kullanıcısı aynı kullanıcı olmayabilir. Ama Kalıcı Ad Tanımlayıcısını username
niteliği ile hesaplarsak, iki ali
kullanıcısı için de aynı değeri hesaplamış oluruz, yani farklı kişiler olmalarına rağmen aynı tanımlayıcıya sahip olurlar.
Örneğin, uid
niteliğinde, kişiye ait başka kimse tarafından kullanılmayan ve kullanılmayacak bir kullanıcı kimliği tutuluyorsa (unix userid, uuid gibi), bu nitelik Kalıcı Ad Tanımlayıcısı hesaplamasında kullanılabilir, çünkü her kişinin farklı uid
değerleri olacaktır ve hesaplanan tanımlayıcı da farklı değerlere sahip olacaktır.
Yukarıda bahsedildiği gibi username
tek başına tüm zamanlarda benzersiz olmayacaktır, ama username
ve creationDate
(hesap yaratma tarihi) birlikte tüm zamanlarda benzersiz olabilir hesaplamada iki nitelik birden kullanılabilir.
eduPersonEntitlement |
---|
OID: oid:1.3.6.1.4.1.5923.1.1.1.7 |
Tanımı: Kişinin belirli kaynaklar için yetkileri. Değeri URI (URL veya URN) şeklindedir |
Değerlerinin Adedi: çok |
Referans: eduPerson#eduPersonEntitlement |
Örnek: urn:mace:dir:entitlement:common-lib-terms , https://kimlik.diyarbakir.edu.tr/entitlement/proxy/ |
Açıklama: Genelde bu niteliğin değerlerini ve manalarını servis sağlayıcılar belirler. Örneğin https://kimlik.diyarbakir.edu.tr/entitlement/proxy/
yetkisine sahip kişiler, diyarbakir.edu.tr
‘e ait proxy hizmetini kullanabilirler. https://kimlik.diyarbakir.edu.tr/entitlement/proxy/admin
yetkisine sahip kişiler diyarbakir.edu.tr
‘e ait proxy hizmetinde Yönetici yetkisine sahip olurlar.
urn:mace:dir:entitlement:common-lib-terms
yetkisine sahip kişiler Elsevier ScienceDirect veritabanına erişim sağlayabilirler.
Servis sağlayıcı, kendi servisi için yetki tanımlarını yaparak, kişilere yetki dağıtım işini Ev Kurumlara devredebilir. Örneğin, yukarıda diyarbakir.edu.tr
‘deki proxy servisi için normal kullanıcı ya da yönetici yetkileri Ev Kurum (kimlik sağlayıcı) tarafından veriliyor (eduPersonEntitlement niteliği aracılığıyla), servis tarafında bir yetki dağıtımı yapılmıyor.
schacPersonalUniqueCode |
---|
OID: oid:1.3.6.1.4.1.25178.1.2.14 |
Tanımı: Kişi ile ilişkili benzersiz koddur. Öğrenci Numarası ya da personel numarası, vb. olabilir |
Değerlerinin Adedi: çok |
Referans: SCHAC, European Student Identifier Profile |
Örnek: urn:schac:personalUniqueCode:int:esi:sinop.edu.tr:54332-7 , urn:schac:personalUniqueCode:int:esi:kars.edu.tr:O92435 |
Açıklama: Bu nitelik Avrupa Öğrenci Tanımlayıcısı (European Student Identifier – ESI) bilgisini taşımak için kullanılmaktadır.
ESI, evrensel olarak benzersiz (globally unique), kalıcı (persistent), hedefsiz (non-targeted), protokol bağımsız (protocol neutral) ve veri aktarımı bağımsız (data transport neutral) bir tanımlayıcıdır.
YETKİM’de ESI şu şekilde tanımlanmalıdır:
urn:schac:personalUniqueCode:int:esi:<sHO>:<code>
<sHO>
: Kişinin kurumunun schacHomeOrganization değeri (örn. sinop.edu.tr)<code>
: kapsamı (scope) içinde öğrenciyi benzersiz olarak tanımlayan kod (örn. 54332-7
, O92435
). Kod değeri, RFC2141 belgesinin 2.2-2.4 bölümlerinde belirtilen gereklilikleri sağlamalıdır.
<sHO>
içinde, <code>
tüm zamanlar için bir öğrenciyi işaret etmelidir ve <code>
bilgisiyle, öğrenci bilgisine erişilebilinmelidir. Genelde <code>
öğrenci numarası olur. TC Kimlik Numarası kullanılması kesinlikle tavsiye edilmez.
Kağıtsız Erasmus hizmetlerine sorunsuz erişim için bu niteliğin üretilebilmesi/yayımlanabilmesi gerekmektedir.
Niteliğin değeri toplamda 255 karakteri geçmemelidir.