...
- on récupère les attributs utilisateurs de shibboleth, et éventuellement d'une BD sql
- les groupes/rôles sont construits via des règles sur les attributs utilisateurs directement
L'eppn (eduPersonPrincipalName) est utilisé comme clef métier, il doit donc figurer dans le ldap de l'établissement ?
esup-sgc comme esup-nfc-tag utilise comme clef métier de l'utilisateur final l'eduPersonPrincipalName (l'eppn) ; pour la carte, c'est le CSN (Card Serial Number) qui est utilisé.
Ainsi dans la collecte d'informations réalisée sur les différentes sources de données possibles (principalement shibboleth, ldap, sql) l'eppn est la clef qui permet de synchroniser les champs/données utilisateurs (userinfos) individiellement.
Le paramétrage des requêtes sql ont en paramètre ? l'eppn ; on aura alors des requêtes en where eppn=?
Pour le LDAP un filtre eduPersonPrincipalName eq ? est appliqué.
Aussi, pour pouvoir récupérer des champs utilisateurs au travers du ldap, l'attribut eduPersonPrincipalName est requis dans le ldap, et il est recommandé également de l'indexer (en eq).
Pour la partie SQL, le paramétrage de la requpête SQL complète rend la chose plus souple, on peut par exemple faire un where uid = replace(?, '@univ-ville.fr', '')
Les serveurs ESUP-SGC et ESUP-NFC-TAG sont shibbolethisés, leur déclaration en tant que Service Provider dans la fédération d'identités Renater est donc obligatoire ?
...