...
Note |
---|
De SAML2-implementatie van SURFconext voldoet aan het SAML2int profiel 0.2.1. In de header op bovenstaande link staat dat het werk aan saml2int is verhuisd naar Kantara Initiative. SURFconext houdt zich tot nader orde order aan de SAML2int-profielversie 0.2.1. |
Note | ||
---|---|---|
| ||
Voor contentaanbieders hanteert SURFconext (in overleg met het samenwerkingsverband van de Nederlandse universiteitsbibliotheken en de Koninklijke Bibliotheek (UKB), Hogeschoolbibliotheken (SHB)) een apart beleid voor het vrijgeven van attributen. De volgende zijn toegestaan:
|
Info |
---|
Voordat je je gaat verdiepen in de theoretische zaken op deze pagina, loont het om onze 'best practice' pagina (EN) te lezen. Hier krijg je een introductie tot en hoe attributen het beste gebruikt kunnen worden in SURFconext. |
...
De identiteit van een gebruiker wordt doorgestuurd in de vorm van een element wat het NameID heet. Iedere IdP wordt verplicht een NameID mee te sturen. Vanwege privacy genereert SURFconext een nieuwe NameID en plaatst een kopij kopie daarvan in het attribuut eduPersonTargetedID, maar alleen als het NameIID geconfigureerd is als persistent (dus niet indien het als transient is geconfigureerd).
...
Omschrijving | AttribuutnaamDefinitie | Data type | Voorbeeld | ||
---|---|---|---|---|---|
(SAML NameID ) element | eduPerson (1) | UTF8 string | bd09168cf0c2e675b2def0ade6f50b7d4bb4aae | ||
urn:mace:dir:attribute-def:sn | X.520 | UTF8 string | Vermeegen | ||
urn:mace:dir:attribute-def:givenName | X.520 | UTF8 string | Mërgim Lukáš | ||
urn:mace:dir:attribute-def:cn | X.520 | UTF8 String | Prof.dr. Mërgim Lukáš Vermeegen | ||
urn:mace:dir:attribute-def:displayName | UTF8 String | Prof.dr. Mërgim L. Vermeegen | |||
urn:mace:dir:attribute-def:mail | RFC-5322 address (max 256 chars) | m.l.vermeegen@university.example.org | |||
urn:mace:terena.org:attribute-def:schacHomeOrganization | RFC-1035 domain string | example.nl | |||
urn:mace:terena.org:attribute-def:schacHomeOrganizationType | RFC-2141 URN | urn:mace:urn:mace:terena.org:schac:homeOrganizationType:int:university | |||
Employee/student number | urn:schac:attribute-def:schacPersonalUniqueCode | Schac | RFC-2141 URN | urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456 urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567 | |
urn:mace:dir:attribute-def:eduPersonAffiliation | eduPerson (1) | Enum type (UTF8 String) | employee, student, faculty, member, affiliate, pre-student | ||
Scoped affiliation | urn:mace:dir:attribute-def:eduPersonScopedAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9 | eduPerson (1) | UTF8 String user@domain | student@uniharderwijk.nl | |
urn:mace:dir:attribute-def:eduPersonEntitlement | eduPerson (1) | RFC-2141 URN | Wordt gedefineerd Wordt gedefinieerd per dienst (zie Standardized values for eduPersonEntitlement) | ||
urn:mace:dir:attribute-def:eduPersonPrincipalName | eduPerson (1) | UTF8 String | pietpiet.jønsen@example.edu | ||
urn:mace:dir:attribute-def:isMemberOf | eduMember | RFC-2141 URN | urn:collab:org:surf.nl | ||
urn:mace:dir:attribute-def:uid | UTF8 String | s9603145 | |||
urn:mace:dir:attribute-def:preferredLanguage | List of BCP47 language tags | nl | |||
ORCID | urn:mace:dir:attribute-def:eduPersonORCID urn:oid:1.3.6.1.4.1.5923.1.1.1.16 eduPerson (1) | URL registered with ORCID.org | http://orcid.org/0000-0002-1825-0097 | ||
ECK IDAssurance | urn:mace: surf.nldir:attribute-def: eckideduPersonAssurance urn:oid:1.3.6.1.4.1.5923.1.1.1.11 | https://refeds.org/assurance/ID/unique | |||
ECK ID | urn:mace:surf.nl:attribute-def:eckid | https:// | SURF / Edu-K | URL zoals gedefinieerd door Edu-K | https://ketenid.nl/spv1/eacf3765ad342...cf3a11fe9cab2365f95da3e9965501f7c98e (Attribuut korter gemaakt voor de leesbaarheid) |
SURFCRM ID | urn:mace:surf.nl:attribute-def: surf-crm-id | SURF | GUID van de aangesloten instelling zoals in SURF CRM | ad93daef-0911-e511-80d0-005056956c1a | |
MS AuthnMethodsReferences | Microsoft | URI | urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport http://schemas.microsoft.com/claims/multipleauthn | ||
OrganizationalUnitName | urn:mace:dir:attribute-def:ou | Industrial Engineering & Innovation Sciences |
Info | ||
---|---|---|
| ||
Info | ||
| ||
SURFconext beschouwt de attributen nlEduPersonOrgUnit , nlEduPersonStudyBranch en nlStudielinkNummer als verouderd. Deze worden niet meer toegepast bij nieuw op te voeren IdP's en SP's in SURFconext. Als je al een IdP of SP bij SURFconext hebt geregistreerd die gebruik maakt van deze attributen kunnen deze tot nader order gebruikt worden. |
...
urn:mace | urn:mace:dir:attribute-def:sn |
urn:oid | urn:oid:2.5.4.4 |
Multiplicity | single-valued |
Data type | UTF8 string (unbounded) |
Omschrijving | De achternaam van een gebruiker (Inclusief woorden tussenvoegsels als “van”, “de”, “von” etc.) en wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen. |
Voorbeeld | Vermeegen 孝慈 |
Opmerking |
...
urn:mace | urn:mace:dir:attribute-def:givenName |
urn:oid | urn:oid:2.5.4.42 |
Multiplicity | single-valued |
Data type | UTF8 string (unbounded) |
Beschrijving | Voornaam / 'name known by'; combinatie van titel, initialen, en 'name known by' zijn mogelijk. |
Voorbeeld | Jan Klaassen |
Opmerking | Tussenvoegsels horen hier niet. Die komen in attribuut Surname. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:dir:attribute-def:cn |
urn:oid | urn:oid:2.5.4.3 |
Multiplicity | multi-valued |
Data type | UTF8 string (unbounded) |
Omschrijving | Volledige naam. |
Voorbeeld | Prof.dr. Mërgim Lukáš Vermeegen 加来 千代, PhD. |
Opmerking | Bijvoorbeeld: een gebruikersnaam in een Engelssprekend land bevat een persoonlijke titel (bijvoorbeeld dhr., mw., professor, mijnheer, Lord), een voornaam, 2e (en verdere) naam, achternaam, kwalificatie van de generatie (als die er is, bijvoorbeeld Jr.) en onderscheidingen en prijzen (als die er zijn; bijvoorbeeld een onderscheiding Commander of the Order of the British Empire, CBE). |
...
urn:mace | urn:mace:dir:attribute-def:uid |
urn:oid | urn:oid:0.9.2342.19200300.100.1.1 |
Multiplicity | single-valued (multi-valued in de specificatie, maar in SURFconext is slechts 1 waarde toegestaan) |
Data type | UTF8 String (max 256 chars); gebruik van spaties en @ -characters wordt afgeraden |
Omschrijving | De unieke code voor een persoon, die als inlognaam wordt gebruikt binnen een organisatie. |
Voorbeelden | s9603145 |
Opmerkingen |
|
...
urn:mace | urn:mace:terena.org:attribute-def:schacHomeOrganization |
urn:oid | urn:oid:1.3.6.1.4.1.25178.1.2.9 |
Multiplicity | single-valued |
Data type | RFC-1035 domain string. Dit MOET een secondary-level domein zijn die in beheer is van de instelling. Bij voorkeur wordt de hoofd-domeinnaam van de instelling gebruikt. |
Omschrijving | The user's organization using the organization's domain name; syntax in accordance with RFC 1035. |
Voorbeelden | uniharderwijk.nl |
Opmerkingen |
|
...
urn:mace | urn:schac:attribute-def:schacPersonalUniqueCode |
urn:oid | urn:oid:1.3.6.1.4.1.25178.1.2.14 |
Multiplicity | multi-value |
Data-type | RFC-2141 URN (zie SURFnet SURF uri registry) |
Omschrijving | Het interne studentnummer, medewerkernummer of persoonsnummer van de gebruiker. En/of de European Student Identifier gebruikt in Erasmus+-studentuitwisseling. |
Voorbeelden | urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456 urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567 urn:schac:personalUniqueCode:int:esi:example.nl:123123 |
Opmerkingen |
|
Anchor | ||||
---|---|---|---|---|
|
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Data type | UTF8 String (only the values enumerated below are allowed) |
Beschrijving | Geeft de relatie aan tussen de gebruiker en zijn instelling. De volgende waarden zijn toegestaan binnen SURFconext:
Gebruik Alleen de bovenstaande voorbeelden om vast te stellen waardes kunnen worden gebruikt in SURFconext. Stel aan de hand van de voorbeelden vast welke waarde een gebruiker krijgt. Indien de definities niet toereikend zijnje twijfelt of een gebruiker al dan niet binnen een definitie valt, gebruik gezond verstand. |
Voorbeelden | Zie beschrijving |
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:eduPersonScopedAffiliation |
urn:oid | urn:oid:1.3.6.1.4.1.14665923.1151.1211.1.159 |
Multiplicity | multi-valued |
Data type | UTF8 String of the form affiliation@domain (zie onder) |
Beschrijving | Beschrijft de relatie tussen de gebruiker en het domein van zijn thuisorganisatie. Het affiliation-gedeelte moet een van de toegestane waarden van het eduPersonAffiliation attribuut zijn (zie direct hierboven). De waarde is de rol van de de gebruiker en de algemene domeinnaam van de instelling. Feitelijk kan eduPersonScopedAffiliation dus gedefinieerd worden als: <eduPersonAffiliation> "@" <schacHomeOrganization>. Dit attribuut is net als eduPersonAffiliation meerwaardig. Het domein-gedeelte moet de schacHomeOrganization van de gebruiker zijn (of een subdomein ervan). |
Voorbeelden | student@uniharderwijk.nl faculty@uniharderwijk.nl |
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:eduPersonEntitlement |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.7 |
Multiplicity | multi-value |
Data type | RFC-2141 URN |
Beschrijving | rechten; een URI (URL of URN) die aangeeft welke rechten een gebruiker heeft. |
Voorbeelden |
|
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:isMemberOf |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.5.1.1 |
Multiplicity | multi-valued |
Data type | RFC-2141 URN |
Beschrijving | Somt de samenwerkende organisaties op waarvan de gebruiker lid is. |
Voorbeeld | urn:collab:org:surf.nl |
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:eduPersonTargetedID |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.10 |
Multiplicity | single-valued |
Data typeUTF8 string (unbounded) | XML-struct, kopie van het NameID |
Beschrijving | Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID (maar alleen als het NameID is geconfigureerd als persistent) welke door SURFconext zelf wordt gegenereerd. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext. |
Voorbeeldbd09168cf0c2e675b2def0ade6f50b7d4bb4aae | <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">bd09168cf0c2e675b2def0ade6f50b7d4bb4aae</saml:NameID> |
Opmerkingen | Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons vrijgegeven attributen en dus niet gebruikt door elke SP als een attribuut uitgelezen kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruikenHet eduPersonTargetedID is letterlijk een kopie, inclusief XML dus, van het NameID uit de assertion. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:dir:attribute-def:eduPersonOrcid |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.16 |
Multiplicity | multi-valued (maar zie onder) |
Data typeDatatype | URL, geregistreerd via ORCID.org |
Beschrijving | Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097 |
Voorbeelden | |
Opmerkingen Zie voor achtergrondinformatie over ORCID: https://www.surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html | Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven. |
Anchor |
---|
...
|
...
|
...
eduPersonAssurance
urn:mace | urn:mace: surf.nldir:attribute-def: eckideduPersonAssurance |
urn:oid | - |
Multiplicity | single-valued |
Data type | URL zoals gespecificeerd door Edu-K, geheel in onderkast |
Beschrijving | Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs. |
urn:oid:1.3.6.1.4.1.5923.1.1.1.16 | |
Multiplicity | multi-valued |
Datatype | URL |
Beschrijving | Set URIs die compliance met bepaalde standaarden voor identiteitszekerheid aangeven |
VoorbeeldenExamples | https:// ketenidrefeds. nlorg/assurance/spv1 ID/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e |
Opmerkingen | Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”. Voor meer informatie zie https://www.eck-id.nl. Als u deze claiminformatie ophaalt uit een externe bron, zoals een Enterprise Active Directory, LDAP of een Microsoft SQL-server, kunt u aangepaste 'attribute store' definiëren voor het opvragen van de ECK-ID-claim . Lees dit Microsoft blog om meer te weten te komen. |
...
unique https://refeds.org/assurance/IAP/medium | |
Opmerkingen | Uitspraak van de instelling (IdP) over specifieke aspecten van het vaststellen van de identiteit of sterkte van de authenticatie, conform de standaarden zoals beschreven in het REFEDS Assurance Framework. Zie voor meer informatie Vrijgeven van eduPersonAssurance. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:surf.nl:attribute-def:surf-crm-ideckid | ||
urn:oid | urn:oid:1.3.6.1.4.1.1076.20.100.10.50.2 | - | |
Multiplicity | single- | Multiplicity | single-valued |
Data type | Microsoft GUID | ||
Beschrijving | Het GUID van de organisatie (aangesloten instelling) waar de idp van de gebruiker toe behoort, zoals gebruikt in het SURF CRM. | ||
Voorbeelden | ad93daef-0911-e511-80d0-005056956c1a | ||
Opmerkingen | SURF specifiek en alleen te gebruiken voor SURF-eigen SP's die ook een koppeling hebben met het SURF CRM. Uitsluitend in te zetten na overleg met SURFnet. |
...
URL zoals gespecificeerd door Edu-K, geheel in onderkast | |
Beschrijving | Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs. |
Voorbeelden | https://ketenid.nl/spv1/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e |
Opmerkingen | Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”. Voor meer informatie zie https://www.eck-id.nl. Als u deze claiminformatie ophaalt uit een externe bron, zoals een Enterprise Active Directory, LDAP of een Microsoft SQL-server, kunt u aangepaste 'attribute store' definiëren voor het opvragen van de ECK-ID-claim . Lees dit Microsoft blog om meer te weten te komen. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:surf.nl:attribute-def:surf-crm-id |
urn:oid | urn:oid:1.3.6.1.4.1.1076.20.100.10.50.2 |
Multiplicity | single-valued |
Data type | Microsoft GUID |
Beschrijving | Het GUID van de organisatie (aangesloten instelling) waar de idp van de gebruiker toe behoort, zoals gebruikt in het SURF CRM. |
Voorbeelden | ad93daef-0911-e511-80d0-005056956c1a |
Opmerkingen |
|
Anchor | ||||
---|---|---|---|---|
|
Name | http://schemas.microsoft.com/claims/authnmethodsreferences |
Multiplicity | multi-valued |
Data type | URI |
Beschrijving | De AuthnContext-referenties die betrokken zijn geweest bij de authenticatie van de betreffende gebruiker. |
Voorbeelden |
|
Opmerkingen |
|
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:dir:attribute-def:ou |
urn:oid | urn:oid:2.5.4.11 |
Multiplicity | multi-valued |
Data type | UTF-8 string |
Beschrijving | Organisatieonderdeel. Geeft de afdeling, het team of de faculteit aan waarmee de gebruiker is verbonden binnen de uitgevende instelling. Dit attribuut kan meerdere waarden hebben, zodat meerdere afdelingen, teams of faculteiten kunnen worden vermeld |
Voorbeelden |
|
Opmerkingen |
|
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:eduid.nl:1.1 |
Multiplicity | single-valued |
Data type | UTF-8 string |
Beschrijving | De getargete unieke eduID-identifier voor een gebruiker |
Voorbeelden | 658b6b41-7c13-431d-b3b4-663e9077c24c |
Opmerkingen |
|
Name
http://schemas.microsoft.com/claims/authnmethodsreferences
Multiplicity
multi-valued
URI
Beschrijving
De AuthnContext-referenties die betrokken zijn geweest bij de authenticatie van de betreffende user.
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
http://schemas.microsoft.com/claims/multipleauthn
Opmerkingen
|