...
Note |
---|
De SAML2-implementatie van SURFconext voldoet aan het SAML2int profiel 0.2.1. |
Info |
---|
Voordat je je gaat verdiepen in de theoretische zaken op deze pagina, loont het om onze 'best practice' pagina (EN) te lezen. Hier krijg je een introductie tot en hoe attributen het beste gebruikt kunnen worden in SURFconext. |
Table of Contents |
---|
...
In de header op bovenstaande link staat dat het werk aan saml2int is verhuisd naar Kantara Initiative. SURFconext houdt zich tot nader order aan de SAML2int-profielversie 0.2.1. |
Note | ||
---|---|---|
| ||
Voor contentaanbieders hanteert SURFconext (in overleg met het samenwerkingsverband van de Nederlandse universiteitsbibliotheken en de Koninklijke Bibliotheek (UKB), Hogeschoolbibliotheken (SHB)) een apart beleid voor het vrijgeven van attributen. De volgende zijn toegestaan:
|
Info |
---|
Voordat je je gaat verdiepen in de theoretische zaken op deze pagina, loont het om onze 'best practice' pagina (EN) te lezen. Hier krijg je een introductie tot en hoe attributen het beste gebruikt kunnen worden in SURFconext. |
Table of Contents |
---|
Anchor | ||||
---|---|---|---|---|
|
De identiteit van een gebruiker wordt doorgestuurd in de vorm van een element wat het NameID heet. Iedere IdP wordt verplicht een NameID mee te sturen. Vanwege privacy genereert SURFconext een nieuwe NameID en plaatst een kopie daarvan in het attribuut eduPersonTargetedID, maar alleen als het NameIID geconfigureerd is als persistent (dus niet indien het als transient is geconfigureerd).
Wij bevelen sterk aan dat Service Providers het NameID of eduPersonTargetedID gebruiken om gebruikers uniek te identificeren. Het NameID is, in tegenstelling tot bijvoorbeeld het e-mailadres, stabiel en zal niet snel veranderen (uitgezonderd het gebruik van 'transient' identifiers). SURFconext genereert een NameID voor iedere nieuwe gebruiker. Deze is uniek voor de gebruiker en specifiek voor een bepaalde SP. Dit zorgt ervoor dat SP's deze informatie niet kan correleren met andere diensten.
Er zijn twee typen NameId's:
urn:oasis:
De identiteit van een gebruiker wordt doorgestuurd in de vorm van een element wat het NameID heet. Iedere IdP wordt verplicht een NameID mee te sturen. Vanwege privacy genereert SURFconext een nieuwe NameID en plaatst een kopij daarvan in het attribuut eduPersonTargetedID, maar alleen als het NameIID geconfigureerd is als persistent (dus niet indien het als transient is geconfigureerd).
Wij bevelen sterk aan dat Service Providers het NameID of eduPersonTargetedID gebruiken om gebruikers uniek te identificeren. Het NameID is, in tegenstelling tot bijvoorbeeld het e-mailadres, stabiel en zal niet snel veranderen (uitgezonderd het gebruik van 'transient' identifiers). SURFconext genereert een NameID voor iedere nieuwe gebruiker. Deze is uniek voor de gebruiker en specifiek voor een bepaalde SP. Dit zorgt ervoor dat SP's deze informatie niet kan correleren met andere diensten.
Er zijn twee typen NameId's:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
Een persistent NameID bevat een willekeurige en unieke code om de gebruiker voor deze Service Provider te identificeren. Deze blijft blijft hetzelfde over verschillende sessies.urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Deze bevat een willekeurige unieke code om de gebruiker voor deze Service Provider uniek te identificeren tijdens een sessie. Wanneer de gebruikerssessie bij SURFconext verloopt en de gebruiker opnieuw aanmeldt op een dienst, wordt een nieuwe tijdelijke, transiente, NameID gegenereerd.
Warning | ||
---|---|---|
| ||
De attributen NameID (indien geconfigureerd als persistent) en eduPersonTargetedID, wat feitelijk een kopie is van het NameID, zijn onveranderlijk maar dit is zo tot op zekere hoogte. In sommige gevallen kan het zijn dat er door een service provider of een identity provider keuzes gemaakt worden die er voor zorgen dat het NameID toch wijzigt. Het NameID, zoals gebruikt in de SAML assertion naar de service provider bij het aanmelden op de dienst, is een samenstelling van de attributen uid, schacHomeOrganization, het Entity ID van de service provider samen met een geheim wat gebruik maakt van een SHA algoritme. Als een instelling of dienstverlener er voor kiest bij een dienst die al in productie is één van deze attributen aan te passen zal het er toe leiden dat SURFconext een nieuw NameID en eduPersonTargetedID gaat genereren. Dit kan tot gevolg hebben dat gebruikers geen toegang meer hebben tot hun profielen bij diensten. Als wij zien dat een instelling dan wel dienstverlener voornemens is één van deze attributen aan te passen zullen wij dit ter sprake brengen en ze wijzen op de gevolgen. |
...
Veranderen van attributen
Als u een account heeft bij een instelling die aangesloten is bij SURFconext kunt u informatie krijgen over attributen die u deelt met SURFconext door onze profielpagina te bezoeken. Deze pagina geeft u inzicht in persoonlijke gegevens, die door uw instelling via SURFconext zijn verstrekt, naar welke dienst zijn doorgestuurd. Voor nieuwe IdP's of voor IdP's die hun omgeving upgraden, zullen systeembeheerders op enig moment gevraagd worden om de metadata van hun account te delen voor analyses. Ga naar deze pagina en klik op de 'Mail to SURFconext' knop. We nemen contact met u op wanneer we de ingediende metadata hebben beoordeeld. Deze pagina toont u ook de gedeelde attributen.
- Profiel Pagina: https://profile.surfconext.nl/
- Mail response van Identity Provider aan SURFconext en review je attributen: https://engine.surfconext.nl/authentication/sp/debug
Attributenschema's
Identity Provider is het belangrijk je te beseffen dat het veranderen van attributen in productie op SURFconext op wat voor manier ook invloed kan hebben op de diensten waar gebruikers toegang toe hebben. Attributen die je aan SURFconext aanbiedt, worden gebruikt om profielen aan te maken, waaraan vaak gegevens worden gekoppeld. Het veranderen van een attribuut kan ongewenste resultaten hebben, zoals gebruikers die geen toegang meer hebben tot hun waardevolle gegevens. Een voorbeeld hiervan is het aanpassen van de manier waarop je (onder andere) het e-mailadres invult. Bijvoorbeeld: het wijzigen van 'student.123456@university.nl' in 'john.doe@university.nl'. Bent je van plan dit te doen of start je een project waar dit het geval is? Neem dan contact met ons op en stuur een e-mail naar support@surfconext.nl.
Links
- Tabel met attributen die we onze instellingen aanbevelen om vrij te geven https://wiki.surfnet.nl/display/surfconextdev/Vereiste+attributen
- Profiel pagina https://profile.surfconext.nl/ , laat zien welke attributen er door uw IdP worden doorgegeven aan SURFconext
- Voor nieuwe IdP's of voor IdP's die hun omgeving upgraden: systeembeheerders worden op enig moment gevraagd de metadata van hun account te delen voor analyses. Ga dan naar deze pagina en klik op de 'Mail to SURFconext' knop. We nemen contact met u op wanneer we de ingediende metadata hebben beoordeeld. Deze pagina toont u ook de gedeelde attributen.
Attributenschema's
Een Een attributenschema is een abstracte representatie van de karakteristieken van een object, en de relatie tot andere objecten.
...
Omschrijving | AttribuutnaamDefinitie | Data type | Voorbeeld | |
---|---|---|---|---|
(SAML NameID ) element | eduPerson (1) | UTF8 string | bd09168cf0c2e675b2def0ade6f50b7d4bb4aae | |
urn:mace:dir:attribute-def:sn | UTF8 string | Vermeegen | ||
urn:mace:dir:attribute-def:givenName | X.520 | UTF8 string (unbounded) | Mërgim Lukáš | |
urn:mace:dir:attribute-def:cn | UTF8 String | Prof.dr. Mërgim Lukáš Vermeegen | ||
urn:mace:dir:attribute-def:displayName | UTF8 String (unbounded) | Prof.dr. Mërgim L. Vermeegen | ||
urn:mace:dir:attribute-def:mail | RFC-5322 address | m.l.vermeegen@university.example.org | ||
urn:mace:terena.org:attribute-def:schacHomeOrganization | RFC-1035 domain string | example.nl | ||
urn:mace:terena.org:attribute-def:schacHomeOrganizationType | RFC-2141 URN | urn:mace:terena.org:schac:homeOrganizationType:int:university | ||
Employee/student number | urn:schac:attribute-def:schacPersonalUniqueCode | Schac | RFC-2141 URN | urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456 urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567 |
urn:mace:dir:attribute-def:eduPersonAffiliation | employee, student, faculty, member, affiliate, pre-student | |||
Scoped affiliation | urn:mace:dir:attribute-def:eduPersonScopedAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9 | eduPerson (1) | UTF8 String user@domain | student@uniharderwijk.nl |
urn:mace:dir:attribute-def:eduPersonEntitlement | eduPerson (1) | RFC-2141 URN | Wordt gedefineerd per dienst (Wordt gedefinieerd per dienst (zie Standardized values for eduPersonEntitlement) | |
urn:mace:dir:attribute-def:eduPersonPrincipalName | eduPerson (1) | UTF8 String | piet.jønsen@example.edu | |
urn:mace:dir:attribute-def:isMemberOf | eduMember | RFC-2141 URN | urn:collab:org:surf.nl | |
urn:mace:dir:attribute-def:uid | UTF8 String (max 256 chars) | s9603145 | ||
urn:mace:dir:attribute-def:preferredLanguage | List of BCP47 language tags | nl | ||
ORCID | urn:mace:dir:attribute-def:eduPersonORCID urn:oid:1.3.6.1.4.1.5923.1.1.1.16 | eduPerson (1) | URL registered with ORCID.org | http://orcid.org/0000-0002-1825-0097 |
ECK IDAssurance | urn:mace: surf.nldir:attribute-def: eckideduPersonAssurance urn:oid:1.3.6.1.4.1.5923.1.1.1.11 | https://refeds.org/assurance/ID/unique | ||
ECK ID | urn:mace:surf.nl:attribute-def:eckid | SURF / Edu-K | URL zoals gedefinieerd door Edu-K | https://ketenid.nl/spv1/eacf3765ad342...cf3a11fe9cab2365f95da3e9965501f7c98e (Attribuut korter gemaakt voor de leesbaarheid) |
Warning | ||
---|---|---|
| ||
Er is een minimum aantal attributen nodig om een IdP aan te sluiten op SURFconext. Als de attributen urn:mace:dir:attribute-def:uid en urn:mace:terena.org:attribute-def:schacHomeOrganization ontbreken zal een fatale fout onstaan omdat deze nodig zijn om de NameID te genereren. Uw IdP kan niet worden aangesloten op SURFconext zonder deze. Als de attributen urn:mace:mace:dir:dir:attribute-def:displayName en urn:mace:dir:attribute-def:mail niet worden geleverd, wordt een waarschuwing gegeven. Veel diensten zijn hiervan afhankelijk. Bovenstaande attributen zijn het absolute minimum en zullen er waarschijnlijk toe leiden dat veel diensten niet gekoppeld kunnen worden met uw instelling. Lever de attributen aan zoals beschreven op deze pagina of die aangegeven in de configuratiehandleidingen op deze pagina: 'Handleidingen en Richtlijnen'. |
Info | ||
---|---|---|
| ||
SURFconext beschouwt de attributen nlEduPersonOrgUnit, nlEduPersonStudyBranch en nlStudielinkNummer als verouderd. Deze worden niet meer toegepast bij nieuw op te voeren IdP's en SP's in SURFconext. Als je al een IdP of SP bij SURFconext hebt geregistreerd die gebruik maakt van deze attributen kunnen deze tot nader orde gebruikt worden. |
Gedetailleerde beschrijvingen van de attributen
...
Zie de paragraaf Identifiers van een gebruiker.
SURFCRM ID | urn:mace:surf.nl:attribute-def: surf-crm-id | ad93daef-0911-e511-80d0-005056956c1a |
MS AuthnMethodsReferences | urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport http://schemas.microsoft.com/claims/multipleauthn | |
OrganizationalUnitName | urn:mace:dir:attribute-def:ou | Industrial Engineering & Innovation Sciences |
Info | ||
---|---|---|
| ||
SURFconext beschouwt de attributen nlEduPersonOrgUnit , nlEduPersonStudyBranch en nlStudielinkNummer als verouderd. Deze worden niet meer toegepast bij nieuw op te voeren SP's in SURFconext. Als je al een IdP of SP bij SURFconext hebt geregistreerd die gebruik maakt van deze attributen kunnen deze tot nader order gebruikt worden. |
Gedetailleerde beschrijvingen van de attributen
Anchor | ||||
---|---|---|---|---|
|
Zie de paragraaf Identifiers van een gebruiker.
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:dir:attribute-def:sn |
urn:oid | urn:oid:2.5.4.4 |
Multiplicity | single-valued |
Data type | UTF8 string (unbounded) |
Omschrijving | De achternaam van een gebruiker (Inclusief tussenvoegsels als “van”, “de”, “von” etc.) en wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen. |
Voorbeeld | Vermeegen 孝慈 |
Opmerking |
Anchor | ||||
---|---|---|---|---|
|
...
urn:mace | urn:mace:dir:attribute-def: |
givenName | |
urn:oid | urn:oid:2.5.4. |
42 | |
Multiplicity | single-valued |
Data type | UTF8 string (unbounded) |
Omschrijving
De achternaam van een gebruiker (Inclusief woorden als “van”, “de”, “von” etc.) en wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen.
孝慈
Opmerking
...
Beschrijving | Voornaam / 'name known by'; combinatie van titel, initialen, en 'name known by' zijn mogelijk. |
Voorbeeld | Jan Klaassen |
Opmerking | Tussenvoegsels horen hier niet. Die komen in attribuut Surname. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:dir:attribute-def: |
cn | |
urn:oid | urn:oid:2.5.4. |
3 |
Multiplicity |
multi-valued | |
Data type | UTF8 |
string (unbounded) |
Beschrijving
Omschrijving | Volledige naam. |
Voorbeeld |
Jan Klaassen
Mërgim K. Lukáš
Þrúður
Opmerking
...
urn:mace | urn:mace:dir:attribute-def:cn |
urn:oid | urn:oid:2.5.4.3 |
Multiplicity | multi-valued |
Data type | UTF8 string (unbounded) |
Omschrijving | Volledige naam. |
Voorbeeld | Prof.dr. Mërgim Lukáš Vermeegen 加来 千代Prof.dr. Mërgim Lukáš Vermeegen 加来 千代, PhD. |
Opmerking | Bijvoorbeeld: een gebruikersnaam in een Engelssprekend land bevat een persoonlijke titel (bijvoorbeeld dhr., mw., professor, mijnheer, Lord), een voornaam, 2e (en verdere) naam, achternaam, kwalificatie van de generatie (als die er is, bijvoorbeeld Jr.) en onderscheidingen en prijzen (als die er zijn; bijvoorbeeld een onderscheiding Commander of the Order of the British Empire, CBE). |
...
urn:mace | urn:mace:dir:attribute-def:uid |
urn:oid | urn:oid:0.9.2342.19200300.100.1.1 |
Multiplicity | single-valued (multi-valued in de specificatie, maar in SURFconext is slechts 1 waarde toegestaan) |
Data type | UTF8 String (max 256 chars); gebruik van spaties en @ -characters wordt afgeraden |
Omschrijving | De unieke code voor een persoon, die als inlognaam wordt gebruikt binnen een organisatie. |
Voorbeelden | s9603145 |
Opmerkingen |
|
...
urn:mace | urn:mace:terena.org:attribute-def:schacHomeOrganization |
urn:oid | urn:oid:1.3.6.1.4.1.25178.1.2.9 |
Multiplicity | single-valued |
Data type | RFC-1035 domain string. Dit MOET een secondary-level domein zijn die in beheer is van de instelling. Bij voorkeur wordt de hoofd-domeinnaam van de instelling gebruikt. |
Omschrijving | The user's organization using the organization's domain name; syntax in accordance with RFC 1035. |
Voorbeelden | uniharderwijk.nl |
Opmerkingen |
|
...
urn:mace | urn:schac:attribute-def:schacPersonalUniqueCode |
urn:oid | urn:oid:1.3.6.1.4.1.25178.1.2.14 |
Multiplicity | multi-value |
Data-type | RFC-2141 URN (zie SURFnet SURF uri registry) |
Omschrijving | Het interne studentnummer, medewerkernummer of persoonsnummer van de gebruiker. En/of de European Student Identifier gebruikt in Erasmus+-studentuitwisseling. |
Voorbeelden | urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456 urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567 urn:schac:personalUniqueCode:int:esi:example.nl:123123 |
Opmerkingen |
|
Anchor | |||
---|---|---|---|
| |||
Anchor | |||
|
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Data type | UTF8 String (only the values enumerated below are allowed) |
Beschrijving | Geeft de relatie aan tussen de gebruiker en zijn instelling. De volgende waarden zijn toegestaan binnen SURFconext:
Gebruik Alleen de bovenstaande voorbeelden om vast te stellen waardes kunnen worden gebruikt in SURFconext. Stel aan de hand van de voorbeelden vast welke waarde een gebruiker krijgt. Indien de definities niet toereikend zijnje twijfelt of een gebruiker al dan niet binnen een definitie valt, gebruik gezond verstand. |
Voorbeelden | Zie beschrijving |
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:eduPersonScopedAffiliation |
urn:oid | urn:oid:1.3.6.1.4.1.14665923.1151.1211.1.159 |
Multiplicity | multi-valued |
Data type | UTF8 String of the form affiliation@domain (zie onder) |
Beschrijving | Beschrijft de relatie tussen de gebruiker en het domein van zijn thuisorganisatie. Het affiliation-gedeelte moet een van de toegestane waarden van het eduPersonAffiliation attribuut zijn (zie direct hierboven). De waarde is de rol van de de gebruiker en de algemene domeinnaam van de instelling. Feitelijk kan eduPersonScopedAffiliation dus gedefinieerd worden als: <eduPersonAffiliation> "@" <schacHomeOrganization>. Dit attribuut is net als eduPersonScopedAffiliation eduPersonAffiliation meerwaardig. Het domein-gedeelte moet de schacHomeOrganization van de gebruiker zijn (of een subdomein ervan). |
Voorbeelden | student@uniharderwijk.nl faculty@uniharderwijk.nl |
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:eduPersonEntitlement |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.7 |
Multiplicity | multi-value |
Data type | RFC-2141 URN |
Beschrijving | rechten; een URI (URL of URN) die aangeeft welke rechten een gebruiker heeft. |
Voorbeelden |
|
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:isMemberOf |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.5.1.1 |
Multiplicity | multi-valued |
Data type | RFC-2141 URN |
Beschrijving | Somt de samenwerkende organisaties op waarvan de gebruiker lid is. |
Voorbeeld | urn:collab:org:surf.nl |
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:eduPersonTargetedID |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.10 |
Multiplicity | single-valued |
Data typeUTF8 string (unbounded) | XML-struct, kopie van het NameID |
Beschrijving | Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID (maar alleen als het NameID is geconfigureerd als persistent) welke door SURFconext zelf wordt gegenereerd. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext. |
Voorbeeldbd09168cf0c2e675b2def0ade6f50b7d4bb4aae | <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">bd09168cf0c2e675b2def0ade6f50b7d4bb4aae</saml:NameID> |
Opmerkingen | Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons vrijgegeven attributen en dus niet gebruikt door elke SP als een attribuut uitgelezen kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken.Het eduPersonTargetedID is letterlijk een kopie, inclusief XML dus, van het NameID uit de assertion. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:dir:attribute-def:eduPersonOrcid |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.16 |
Multiplicity | multi-valued (maar zie onder) |
Data typeDatatype | URL, geregistreerd via ORCID.org |
Beschrijving | Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097 |
Voorbeelden | |
Opmerkingen Zie voor achtergrondinformatie over ORCID: https://www.surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html | Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven. |
...
in de praktijk lijkt het logisch niet meer dan één waarde mee te geven. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:dir:attribute-def:eduPersonAssurance |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.16 |
Multiplicity | multi-valued |
Datatype | URL |
Beschrijving | Set URIs die compliance met bepaalde standaarden voor identiteitszekerheid aangeven |
Voorbeelden | https://refeds.org/assurance/ID/unique https://refeds.org/assurance/IAP/medium |
Opmerkingen | Uitspraak van de instelling (IdP) over specifieke aspecten van het vaststellen van de identiteit of sterkte van de authenticatie, conform de standaarden zoals beschreven in het REFEDS Assurance Framework. Zie voor meer informatie Vrijgeven van eduPersonAssurance. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:surf.nl:attribute-def:eckid |
urn:oid | - |
Multiplicity | single-valued |
Data type | URL zoals gespecificeerd door Edu-K, geheel in onderkast |
Beschrijving | Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs. |
Voorbeelden | https://ketenid.nl/spv1/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e |
Opmerkingen | Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”. Voor meer informatie zie https://www.eck-id.nl. Als u deze claiminformatie ophaalt uit een externe bron, zoals een Enterprise Active Directory, LDAP of een Microsoft SQL-server, kunt u aangepaste 'attribute store' definiëren voor het opvragen van de ECK-ID-claim . Lees dit Microsoft blog om meer te weten te komen. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:surf.nl:attribute-def:surf-crm-id |
urn:oid | urn:oid:1.3.6.1.4.1.1076.20.100.10.50.2 |
Multiplicity | single-valued |
Data type | Microsoft GUID |
Beschrijving | Het GUID van de organisatie (aangesloten instelling) waar de idp van de gebruiker toe behoort, zoals gebruikt in het SURF CRM. |
Voorbeelden | ad93daef-0911-e511-80d0-005056956c1a |
Opmerkingen |
|
Anchor | ||||
---|---|---|---|---|
|
Name | http://schemas.microsoft.com/claims/authnmethodsreferences |
Multiplicity | multi-valued |
Data type | URI |
Beschrijving | De AuthnContext-referenties die betrokken zijn geweest bij de authenticatie van de betreffende gebruiker. |
Voorbeelden |
|
Opmerkingen |
|
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:dir:attribute-def:ou |
urn:oid | urn:oid:2.5.4.11 |
Multiplicity | multi-valued |
Data type | UTF-8 string |
Beschrijving | Organisatieonderdeel. Geeft de afdeling, het team of de faculteit aan waarmee de gebruiker is verbonden binnen de uitgevende instelling. Dit attribuut kan meerdere waarden hebben, zodat meerdere afdelingen, teams of faculteiten kunnen worden vermeld |
Voorbeelden |
|
Opmerkingen |
|
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace: |
eduid.nl: |
urn:oid
-
Multiplicity
single-valued
URL zoals gespecificeerd door Edu-K, geheel in onderkast
Description
Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs.
https://ketenid.nl/spv1/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e
Notes
Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”.
1.1 | |
Multiplicity | single-valued |
Data type | UTF-8 string |
Beschrijving | De getargete unieke eduID-identifier voor een gebruiker |
Voorbeelden | 658b6b41-7c13-431d-b3b4-663e9077c24c |
Opmerkingen |
|