Het eduID concept heeft als uitgangspunt dat iedere instelling een unieke targeted eduID identifier krijgt zodat diensten onderling geen profiel kunnen opbouwen. De eindgebruiker kan er door het geven van toestemming wel voor zorgen dat twee diensten met elkaar kunnen praten door gebruik te maken van API-security. Ook zijn vor bijzondere scenario's API's beschikbaar om een targeted eduID-identifier van een andere instelling om te ruilen voor een eigen eduID identifier.
Welke eduID identifiers?
De huidige eduID levert de volgende identifiers aan SURFconext:
Attribuut | Waarde (voorbeeld) |
|
|
|
|
|
|
|
|
Een dienst sluit aan op SURFconext. Deze dienst kan dan de volgende identifiers ontvangen (met gebruik van dezelfde waarde voorbeelden als hierboven):
Attribuut | Gebruik | Waarde (voorbeeld) |
| Een persistent NameID bevat een willekeurige en unieke code om de gebruiker voor deze Service Provider te identificeren. Deze blijft blijft hetzelfde over verschillende sessies. Deze kan gebruikt worden als een gebruiker wel herkend moet worden tussen verschillende logins (om bijvoorbeeld een profiel of instellingen op te staan), maar niet gekoppeld hoeft te worden aan andere systemen. | 69c803b4b218529bc4ae3ae0047cb5481e72c772 |
| Als terugkerende gebruikers niet herkend hoeven te worden is dit de meest privacy vriendelijke identifier. Het verandert bij elke login. | 8ac803b4b987655bc4ae3ae0463cb0098e982001 |
| Uniek identificeren van gebruikers, over diensten heen. Niet privacy vriendelijk. Door het toevoegen van de domeinnaam geschikt voor multi-tenant diensten. |
|
| Uniek identificeren van gebruikers, over diensten heen. Niet privacy vriendelijk. |
|
| Unieke identifier voor een eduID gebruiker, die per instelling gelijk is. Hierdoor geschikt voor onderwijsprocessen, waarbij bijvoorbeeld het SIS en het ELO van instelling A dezelfde identifier ontvangen, maar privacy vriendelijk omdat een andere instelling voor dezelfde gebruiker een andere identifier ontvangt. Indien instellingen willen communiceren over een gerbuiker kan dat alleen nadat de gebruiker (via oauth) toestemming daarvoor heeft gegeven. |
|