====== MyAcademicID IAM Service ======
^ Názov služby | MyAcademicID Identity and Access Management (IAM) Service |
^ Poskytovateľ | GÉANT |
^ entityID | <nowiki>https://proxy.prod.erasmus.eduteams.org/metadata/backend.xml</nowiki> |
^ Opis | Program Erasmus\\ Iniciatíva týkajúca sa európskej študentskej karty\\  Projekt MyAcademicID\\ Poskytovanie služieb pre podporu digitalizácie Erasmus+ |
^ Požadované atribúty | [[attributes:displayName|displayName]] a/alebo [[attributes:cn|cn]] a/alebo [[attributes:givenName|givenName]] + [[attributes:sn|sn]],\\  [[attributes:mail|mail]], schacPersonalUniqueCode,\\ [[attributes:schacHomeOrganization|schacHomeOrganization]], eduPersonScopedAffiliation,\\ ktorýkoľvek z nasledovných: Persistent NameID,\\ eduPersonPrincipalName*, eduPersonTargetedID,\\ eduPersonUniqueId, eduPersonOrcid,\\ subject-id, pairwise-id |
*eduPersonPrincipalName je možné použiť, iba ak je splnená jedna z nasledujúcich podmienok: i) IdP podporuje kategóriu entít R&S, ii) uvoľnený je obsah atribútu eduPersonAssurance s hodnotou <nowiki>https://refeds.org/assurance/ID/eppn-unique-no-reassign</nowiki>

Prostredníctovm [[https://wiki.geant.org/display/SM/MyAcademicID+Identity+and+Access+Management+Service|služby MyAcademicID IAM]] je v prostredí federácie zabezpečovaná správa identít a riadenie prístupu pre služby z portfólia [[https://ec.europa.eu/education/education-in-the-eu/european-student-card-initiative_sk|iniciatívy týkajúcej sa európskej študentskej karty]] a pripojenie službieb priamo podporujúcich digitalizáciu Erasmus+.

Zoznam pripojených služieb:

  * [[https://learning-agreement.eu/|OLA - Online Learning Agreement]]
  * [[https://erasmusapp.eu/|Erasmus+ App]]
  * [[https://phdhub.eu/|PhD Hub]]

Kontrola pripravenosti poskytovateľov identity na uvoľňovanie atribútov voči MyAcademicID:

  * [[https://myacademicid.devtest.eduteams.org|Attribute Release Test Service Provider]]

Informácia o množine atribútov, ktorých obsah poskytovateľ identity po príhlásení používateľa uvoľnil kontrolnej alebo produčnej službe MyAcademicID je s oneskorením jedného dňa verejne k dispozícii vo forme reportu na nasledovnej stránke:

  * [[https://wiki.geant.org/display/SM/IdP+Status+Report|IdP Status Report]]

V zozname atribútov, ktoré pripojené služby pre svoju funkcionalitu vyžadujú, je uvedený aj atribút schacPersonalUniqueCode. Atribút schacPersonalUniqueCode sa v prípade vymenovaných služieb používa na transport tkz. európskeho čísla študenta.

===== European Student Identifier =====

Špecifikácia s popisom jedinečného európskeho čísla študenta, t.j. [[https://wiki.geant.org/display/SM/European+Student+Identifier|European Student Identifier (ESI)]], dáva akademickým inštitúciám možnosť voľby pri jeho tvorbe. Jedna možnosť je využiť pri jeho tvorbe jedinečný identifikátor osoby vo vzdelávacom systéme, teda ekvivalent imatrikulačného čísla platného v rámci celého štátu, ktoré môže byť osobe pridelené napr. v okamihu jej kontaktu so vzdelávacím systémom.

Inštitúcie, ktoré majú k dispozícii jedinečný identifikátor osoby vo vzdelávacom systéme s platnosťou v rámci celého štátu, tvoria ESI nasledovným spôsobom:

<code>
urn:schac:personalUniqueCode:int:esi:sk:<imatrikulacnecislo>
</code>

Poznámka:
  * Pole s oznacenim "<imatrikulacnecislo>" je určené pre celoštátne imatrikulačné číslo (bez lomených zátvoriek)

Alternatívou k celoštátne jedinečnému identifikátoru je použiť identifikátor osoby, ktorého jedinečnosť je zaručená len v rámci danej akademickej inštitúcie.

<code>
urn:schac:personalUniqueCode:int:esi:<scope>:<id>
</code>

Poznámky:
  * Pole s označenim "<scope>" zodpovedá domovskej doméne akademickej inštitúcie.
  * Pole s označenim "<id>" je určené pre identifiátor osoby jedinečný v rámci akademickej inštitúcie.

===== Rola administrátora EWP =====

Rola administrátora EWP ([[https://esci-sd.atlassian.net/wiki/spaces/EWP/pages/10879178/EWP+Administrator|Erasmus Without Papers Admin Role]]) bola definovaná, aby umožnila oprávneným zástupcom vysokých škôl zúčastňujúcich sa na aktivitách programu Erasmus+ pristupovať k EWP nástrojom (napríklad [[https://registrationportal.erasmuswithoutpaper.eu/|Registračný portál]]). Prostredníctvom EWP nástrojov môžu administrátori spravovať EWP nastavenia svojich škôl a tým kontrolovať spôsob, akým je škola zastúpená v EWP sieti.

Vysoké školy podporujúce [[https://wiki.geant.org/display/SM/EWP+Admin+Role|rolu administrátora EWP]] sprostredkujú túto informáciu o príslušných zamestnancoch službe MyAcademicID formou uvoľnenia atribútu eduPersonEntitlement s nasledujúcou hodnotou:

<code>
urn:geant:erasmuswithoutpaper.eu:ewp:admin
</code>

==== Implementácia ====

Pre transport ESI sa používa atribút schacPersonalUniqueCode. Nastavenie politiky pre uvoľnenie ESI a podobne aj oprávnenia administrátora EWP službám, ktoré majú pridelenú tkz. [[https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category|kategóriu entít ESI]], by v rámci Shibboleth IdP v konfigurácii filtra attribute-filter.xml vyzeralo nasledovne:

<code xml>
<AttributeFilterPolicy id="entity-category-european-student-identifier">
    <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
        attributeName="http://macedir.org/entity-category"
        attributeValue="https://myacademicid.org/entity-categories/esi" />
    <AttributeRule attributeID="schacPersonalUniqueCode">
        <PermitValueRule xsi:type="ValueRegex" regex="^urn:schac:personalUniqueCode:int:esi:.*" />
    </AttributeRule>
    <AttributeRule attributeID="eduPersonEntitlement">
        <PermitValueRule xsi:type="AND">
            <Rule xsi:type="AttributeInMetadata" onlyIfRequired="false" />
            <Rule xsi:type="Value" value="urn:geant:erasmuswithoutpaper.eu:ewp:admin"/>
        </PermitValueRule>
    </AttributeRule>
</AttributeFilterPolicy>
</code>

Organizácie v role poskytovateľa identity alebo služby vo federácii s potrebou prihlásiť svoje IdP alebo SP ku [[https://wiki.geant.org/display/SM/European+Student+Identifier+Entity+Category|kategórii entít ESI]] (ESI EC), ktoré zároveň spĺňajú registračné kritériá pre ESI EC, môžu prostredníctvom zodpovednej osoby [[https://www.safeid.sk/doc/join|kontaktovať]] prevádzkovateľa federácie.