PAPI Archivos

The PAPI authentication and authorization framework

PAPI@LISTSERV.REDIRIS.ES

Opciones: Vista Clásica

Use Monospaced Font
Mostrar las partes HTML
Esconda cabeceras de correo

Tema: [<< Primero] [< Prev] [Siguiente >] [Último >>]

Print Responder
Mime-Version: 1.0 (Apple Message framework v936)
Content-Type: text/plain; charset=ISO-8859-1; format=flowed; delsp=yes
Date: Fri, 30 Jul 2010 11:23:34 +0200
X-IronPort-AV: E=Sophos;i="4.55,286,1278280800"; d="scan'208";a="26778722"
Reply-To: The PAPI authentication and authorization framework <[log in para visualizar]>
Emisor: Jaime Pérez <[log in para visualizar]>
Content-Transfer-Encoding: quoted-printable
Sender: The PAPI authentication and authorization framework <[log in para visualizar]>
Received: by LISTSERV.REDIRIS.ES (LISTSERV-TCP/IP release 16.0) with spool id 1410816 for [log in para visualizar]; Fri, 30 Jul 2010 11:23:34 +0200 from irisout3.rediris.es (irisout3.rediris.es [130.206.24.5]) by listserv.rediris.es (Postfix) with ESMTP id 2E1EBE890 for <[log in para visualizar]>; Fri, 30 Jul 2010 11:23:34 +0200 (CEST) from fury.rediris.es ([130.206.6.36]) by cain.rediris.es with ESMTP/TLS/AES128-SHA; 30 Jul 2010 11:18:39 +0200
X-Mailer: Apple Mail (2.936)
Parts/Attachments: text/plain (59 lines)
Buenas,

No hace mucho tiempo estuvimos hablando sobre la posibilidad de  
incluir atributos en la asercin que no fuesen estrictamente atributos  
del usuario, sino atributos relativos al protocolo o incluso a la  
operacin concreta de la federacin, como por ejemplo, un atributo que  
indique si el usuario ha expresado ya su consentimiento para entregar  
el resto de atributos a un PoA PAPI. Esto es lo que dimos en llamar  
"atributos operacionales".

Pues bien, desde ayer tenemos en el phpPoA2 una primera implementacin  
que da soporte a este tipo de atributos. La idea es que como la  
reimplementacin del PoA en PHP soporta espacios de nombres en los  
atributos, dependiendo del espacio de nombres se puede pedir al PoA  
que entregue un atributo operacional en lugar de un atributo del  
usuario. De momento, y a falta de confirmacin, existen dos espacios  
de nombres autoexplicativos:

urn:mace:rediris.es:papi:protocol
urn:mace:rediris.es:papi:attributes

De esta forma, se le puede solicitar un atributo operacional al  
phpPoA2 con el mtodo getAttribute(), indicando el nombre del atributo  
y el espacio de nombres del protocolo (codificado con la constante  
NS_PAPI_PROTOCOL). De momento he diferenciado los atributos  
operacionales con un prefijo "_papi_" delante del nombre del atributo,  
pero esto puede cambiar. Para pedir el atributo no es necesario  
incluir el prefijo.

As mismo, se han incluido otra serie de parmetros dentro del espacio  
de nombres de atributos operacionales. Son los siguientes:

- PROTO_ATTR_AS_ID: el identificador del AS que ha autenticado al  
usuario. Se corresponde con el tradicional "@xxxxx" que cierra una  
asercin PAPI.
- PROTO_ATTR_KEY: el identificador de la transaccin PAPI por la cual  
se autentica al usuario.
- PROTO_ATTR_EXPIRE_TIME: el tiempo unix en el que caduca la  
autenticacin para el usuario actual.

A modo de ejemplo, obtener el identificador del AS que autentic al  
usuario, es tan sencillo como:

$poa = new PoA("app");
$poa->authenticate();
$id = $poa->getAttribute(PROTO_ATTR_AS_ID, NS_PAPI_PROTOCOL);

Un saludo,

--
Jaime Prez
Middleware Engineer
RedIRIS National Research and Development Network

pgp: CD22D621
web: http://www.rediris.es
xmpp: [log in para visualizar]
blog: http://blog.rediris.es/middleware

ATOM RSS1 RSS2