Het eduID concept heeft als uitgangspunt dat iedere instelling een unieke targeted eduID identifier krijgt zodat diensten onderling geen profiel kunnen opbouwen. De eindgebruiker kan er door het geven van toestemming wel voor zorgen dat twee diensten met elkaar kunnen praten door gebruik te maken van API-security. Ook zijn vor bijzondere scenario's  API's beschikbaar om een targeted eduID-identifier van een andere instelling om te ruilen voor een eigen eduID identifier.  

Welke eduID identifiers?

De huidige eduID levert de volgende identifiers aan SURFconext:

Attribuut

Waarde (voorbeeld)

NameID (persistent)

dc1da59d-2eb8-40c1-8bec-2495561aed24

eduPersonPrincipalName (EPPN)

dc1da59d-2eb8-40c1-8bec-2495561aed24@eduid.nl

uid

dc1da59d-2eb8-40c1-8bec-2495561aed24

urn:mace:eduid.nl:1.1

79d014e6-ca3c-4c42-adf2-acae0e3f2b4b

Een dienst sluit aan op SURFconext. Deze dienst kan dan de volgende identifiers ontvangen (met gebruik van dezelfde waarde voorbeelden als hierboven):

Attribuut

Gebruik

Waarde (voorbeeld)

NameID / eduPersonTargetedID (persistent)

Een persistent NameID bevat een willekeurige en unieke code om de gebruiker voor deze Service Provider te identificeren. Deze blijft blijft hetzelfde over verschillende sessies. Deze kan gebruikt worden als een gebruiker wel herkend moet worden tussen verschillende logins (om bijvoorbeeld een profiel of instellingen op te staan), maar niet gekoppeld hoeft te worden aan andere systemen.69c803b4b218529bc4ae3ae0047cb5481e72c772

NameID / eduPersonTargetedID (transient)

Als terugkerende gebruikers niet herkend hoeven te worden is dit de meest privacy vriendelijke identifier. Het verandert bij elke login.

8ac803b4b987655bc4ae3ae0463cb0098e982001

eduPersonPrincipalName (EPPN)

Uniek identificeren van gebruikers, over diensten heen. Niet privacy vriendelijk. Door het toevoegen van de domeinnaam geschikt voor multi-tenant diensten.

dc1da59d-2eb8-40c1-8bec-2495561aed24@eduid.nl

uid

Uniek identificeren van gebruikers, over diensten heen. Niet privacy vriendelijk. 

dc1da59d-2eb8-40c1-8bec-2495561aed24

urn:mace:eduid.nl:1.1

Unieke identifier voor een eduID gebruiker, die per instelling gelijk is. Hierdoor geschikt voor onderwijsprocessen, waarbij bijvoorbeeld het SIS en het ELO van instelling A dezelfde identifier ontvangen, maar privacy vriendelijk omdat een andere instelling voor dezelfde gebruiker een andere identifier ontvangt.

Indien instellingen willen communiceren over een gerbuiker kan dat alleen nadat de gebruiker (via oauth) toestemming daarvoor heeft gegeven.

79d014e6-ca3c-4c42-adf2-acae0e3f2b4b

  • No labels