Versions Compared

Old Version 41

changes.mady.by.user Thijs Kinkhorst

Saved on

compared with

New Version 42

changes.mady.by.user Teun Fransen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Anchor
id
id
Identifiers van een gebruiker

Binnen de SAML-assertion wordt de De identiteit van een gebruiker wordt doorgestuurd in de vorm van een het NameID - element. Het NameID is gegarandeerd stabiel en onveranderlijk voor een gebruiker (behalve in gevallen van transient identifiers, zie hieronder). Identity Providers moeten een NameID meesturen, maar SURFconext genereert zelf voor elke identiteit een nieuwe NameID. Iedere IdP wordt verplicht een NameID mee te sturen. Vanwege privacy redenen genereert SURFconext een nieuwe en plaatst deze in het eduPersonTargetedID attribuut.

Wij bevelen sterk aan dat Service Providers het NameID of eduPersonTargetedID gebruiken om gebruikers uniek te identificeren (in plaats van een e-mailadres of andere attributen die kunnen veranderen). Het nameID wordt gegenereerd voor elke nieuwe gebruiker door SURFconext en is een hash over het uid, schacHomeorganization (samen een unieke gebruiker in de federatie), het SP-entityID en een secret. Het is daarmee zowel uniek voor die gebruiker en specifiek voor de SP, dus SP's kunnen ontvangen NameID's niet onderling correleren.SURFconext kan 2 verschillende typen NameID's genereren. Het NameID is, in tegenstelling tot bijvoorbeeld het e-mailadres, stabiel en zal niet snel veranderen (uitgezonderd het gebruik van 'transient' identifiers). SURFconext genereert een NameID voor iedere nieuwe gebruiker. Deze is uniek voor de gebruiker en specifiek voor een bepaalde SP. Dit zorgt ervoor dat SP's deze informatie kan correleren met andere diensten. Er zijn twee typen NameId's:

  • een 'persistent' NameID : Deze bevat een willekeurige unieke code urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    Deze bevat een willekeurige unieke code om de gebruiker voor deze Service Provider uniek te identificeren. Deze blijft staan tijdens verschillende sessies van dezelfde gebruiker met dezelfde dienst.
  • een 'transient' NameID urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    Deze bevat een willekeurige unieke code om de gebruiker voor deze Service Provider uniek te identificeren tijdens de sessie. Wanneer de gebruikerssessie bij SURFconext verloopt en de gebruiker opnieuw inlogt op een dienst, wordt een nieuwe tijdelijke NameID gegenereerd. Persistent en transient identifiers zien er uit als een 40 tekens lange hexadecimale string bijvoorbeeld: 'bd09168cf0c2e675b2def0ade6f50b7d4bb4aaef'. Deze vorm kan echter in de toekomst veranderen.

De 2 ondersteunde NameID-types, respectievelijk voor persistent en transient NameID-aanduidingen, :

  • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient

Attributenschema's

Attributenschema's

Een attributenschema is een abstracte representatie van de karakteristieken van een object, en de relatie tot andere objecten.

SURFconext ondersteunt twee attributen schema's:

  • urn:oid schema (SAML2.0 compliant) 
  • urn schema (SAML1.1 compliant) 

Beiden kunnen worden gebruikt om dezelfde informatie uit te drukken (behalve voor NameID, deze is enkel beschikbaar binnen het urn:oid schema). Standaard geeft SURFconext de attributen door in beide schema's als onderdeel van de assertion (legacy). Desaliettemin wordt het door elkaar gebruiken van de schema's afgeradenSURFconext ondersteunt 2 attributenschema's: het urn:oid schema en het urn:mace schema. Beide brengen dezelfde informatie over. SURFconext voorziet in attributen voor beide schema's als deel van de SAML-assertion. We raden af om beide schema's tegelijk te gebruiken, maar om redenen van legacy biedt SURFconext beide aan.

Attributenoverzicht

SURFconext ondersteunt het vrijgeven van de volgende attributen:

...