Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Note

De SAML2-implementatie van SURFconext voldoet aan het SAML2int profiel 0.2.1.

In de header op bovenstaande link staat dat het werk aan saml2int is verhuisd naar Kantara Initiative. SURFconext houdt zich tot nader orde aan de SAML2int-profielversie 0.2.1.

Info

Voordat je je gaat verdiepen in de theoretische zaken op deze pagina, loont het om onze 'best practice' pagina (EN) te lezen. Hier krijg je een introductie tot en hoe attributen het beste gebruikt kunnen worden in SURFconext.

...

Warning
titleOpmerking

De attributen NameID (indien geconfigureerd als persistent) en eduPersonTargetedID, wat feitelijk een kopie is van het NameID, zijn onveranderlijk maar dit is zo tot op zekere hoogte. In sommige gevallen kan het zijn dat er door een service provider of een identity provider keuzes gemaakt worden die er voor zorgen dat het NameID toch wijzigt. Het NameID, zoals gebruikt in de SAML assertion naar de service provider bij het aanmelden op de dienst, is een samenstelling van de attributen uid, schacHomeOrganization, het Entity ID van de service provider samen met een geheim wat gebruik maakt van een SHA algoritme. Als een instelling of dienstverlener er voor kiest bij een dienst die al in productie is één van deze attributen aan te passen zal het er toe leiden dat SURFconext een nieuw NameID en eduPersonTargetedID gaat genereren. Dit kan tot gevolg hebben dat gebruikers geen toegang meer hebben tot hun profielen bij diensten. Als wij zien dat een instelling dan wel dienstverlener voornemens is één van deze attributen aan te passen zullen wij dit ter sprake brengen en ze wijzen op de gevolgen.

Links

...

...

  • : systeembeheerders worden op enig moment gevraagd

...

  • de metadata van hun account te delen voor analyses. Ga dan naar deze pagina en klik op de 'Mail to SURFconext' knop. We nemen contact met u op wanneer we de ingediende metadata hebben beoordeeld. Deze pagina toont u ook de gedeelde attributen.

Attributenschema's

...

Attributenschema's

Een attributenschema is een abstracte representatie van de karakteristieken van een object, en de relatie tot andere objecten.

...

Omschrijving

Attribuutnaam

Definitie

Data type

Voorbeeld

ID

(NameID)
urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

eduPerson (1)

UTF8 string
(unbounded)

bd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Surname

urn:mace:dir:attribute-def:sn
urn:oid:2.5.4.4

X.520

UTF8 string
(unbounded)

Vermeegen
孝慈

Given name or first name

urn:mace:dir:attribute-def:givenName
urn:oid:2.5.4.42

X.520

UTF8 string
(unbounded)

Mërgim Lukáš
Þrúður

Common name or Full Name

urn:mace:dir:attribute-def:cn
urn:oid:2.5.4.3

X.520

UTF8 String
(unbounded)

Prof.dr. Mërgim Lukáš Vermeegen
加来 千代, PhD.

Display name

urn:mace:dir:attribute-def:displayName
urn:oid:2.16.840.1.113730.3.1.241

RFC2798

UTF8 String
(unbounded)

Prof.dr. Mërgim L. Vermeegen
加来 千代, PhD.

Email address

urn:mace:dir:attribute-def:mail
urn:oid:0.9.2342.19200300.100.1.3

RFC4524

RFC-5322 address
(max 256 chars)

m.l.vermeegen@university.example.org
maarten.'t.hart@uniharderwijk.nl 
"very.unusual.@.but valid.nonetheless"@example.com
mlv@[IPv6:2001:db8::1234:4321]

Organization

urn:mace:terena.org:attribute-def:schacHomeOrganization
urn:oid:1.3.6.1.4.1.25178.1.2.9

Schac

RFC-1035 domain string

example.nl
something.example.org  

Organization Type

urn:mace:terena.org:attribute-def:schacHomeOrganizationType
urn:oid:1.3.6.1.4.1.25178.1.2.10

Schac

RFC-2141 URN
see Schac standard    

urn:mace:terena.org:schac:homeOrganizationType:int:university
urn:mace:terena.org:schac:homeOrganizationType:es:opi

Employee/student number

urn:schac:attribute-def:schacPersonalUniqueCode
urn:oid:1.3.6.1.4.1.25178.1.2.14

Schac

RFC-2141 URN
see SURFnet registry 

urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456
urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567

Affiliation

urn:mace:dir:attribute-def:eduPersonAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.1

eduPerson (1)

Enum type (UTF8 String)

employee, student, faculty, member, affiliate, pre-student
(staff is niet meer in gebruik; library-walk-in, alum zijn niet toegestaan)

Scoped affiliation urn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.9
eduPerson (1)UTF8 String
user@domain

student@uniharderwijk.nl
employee@uniharderwijk.nl

Entitlement

urn:mace:dir:attribute-def:eduPersonEntitlement
urn:oid:1.3.6.1.4.1.5923.1.1.1.7

eduPerson (1)

RFC-2141 URN
Multi-valued

Wordt gedefineerd per dienst (zie Standardized values for eduPersonEntitlement)

PrincipalName

urn:mace:dir:attribute-def:eduPersonPrincipalName
urn:oid:1.3.6.1.4.1.5923.1.1.1.6

eduPerson (1)

UTF8 String
user@scope

piet.jønsen@example.edu
not.a@vålîd.émail.addreß

isMemberOf

urn:mace:dir:attribute-def:isMemberOf
urn:oid:1.3.6.1.4.1.5923.1.5.1.1

eduMember

RFC-2141 URN
Multi-valued

urn:collab:org:surf.nl
urn:collab:org:clarin.org

uid

urn:mace:dir:attribute-def:uid
urn:oid:0.9.2342.19200300.100.1.1

RFC4519

UTF8 String
(max 256 chars)

s9603145
flåp@example.edu

preferredLanguage

urn:mace:dir:attribute-def:preferredLanguage
urn:oid:2.16.840.1.113730.3.1.39

RFC2798
BCP47

List of BCP47 language tags

nl
nl, en-gb;q=0.8, en;q=0.7

ORCID

urn:mace:dir:attribute-def:eduPersonORCID

urn:oid:1.3.6.1.4.1.5923.1.1.1.16

eduPerson (1)

URL registered

with ORCID.org

http://orcid.org/0000-0002-1825-0097
ECK IDurn:mace:surf.nl:attribute-def:eckidSURF / Edu-KURL zoals gedefinieerd door Edu-K https://ketenid.nl/spv1/eacf3765ad342...cf3a11fe9cab2365f95da3e9965501f7c98e (Attribuut korter gemaakt voor de leesbaarheid)

...

titleMinimale vereiste aantal attributen voor IdP's die op SURFconext aansluiten
SURFCRM IDurn:mace:

...

surf.nl:attribute-def:

...

Info
titleVerouderde attributen

SURFconext beschouwt de attributen nlEduPersonOrgUnit, nlEduPersonStudyBranch en nlStudielinkNummer als verouderd. Deze worden niet meer toegepast bij nieuw op te voeren IdP's en SP's in SURFconext. Als je al een IdP of SP bij SURFconext hebt geregistreerd die gebruik maakt van deze attributen kunnen deze tot nader orde gebruikt worden.

Gedetailleerde beschrijvingen van de attributen

...

Zie de paragraaf Identifiers van een gebruiker.

...

urn:mace

urn:mace:dir:attribute-def:sn

urn:oid

urn:oid:2.5.4.4

Multiplicity

single
surf-crm-idSURFGUID van de aangesloten instelling zoals in SURF CRMad93daef-0911-e511-80d0-005056956c1a
Info
titleVerouderde attributen

SURFconext beschouwt de attributen nlEduPersonOrgUnit , nlEduPersonStudyBranch en nlStudielinkNummer als verouderd. Deze worden niet meer toegepast bij nieuw op te voeren IdP's en SP's in SURFconext. Als je al een IdP of SP bij SURFconext hebt geregistreerd die gebruik maakt van deze attributen kunnen deze tot nader order gebruikt worden.

Gedetailleerde beschrijvingen van de attributen

Anchor
id
id
ID

Zie de paragraaf Identifiers van een gebruiker.

Anchor
sn
sn
Surname

urn:mace

urn:mace:dir:attribute-def:sn

urn:oid

urn:oid:2.5.4.4

Multiplicity

single-valued

Data typeUTF8 string (unbounded)

Omschrijving

De achternaam van een gebruiker (Inclusief woorden als “van”, “de”, “von” etc.) en wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen.

VoorbeeldVermeegen 
孝慈

Opmerking


...

urn:mace

urn:mace:dir:attribute-def:givenName

urn:oid

urn:oid:2.5.4.42

Multiplicity

single-valued

Data typeUTF8 string (unbounded)

Beschrijving

Voornaam / 'name known by'; combinatie van titel, initialen, en 'name known by' zijn mogelijk.

Voorbeeld

Jan Klaassen
Mërgim K. Lukáš Lukáš
Þrúður

Opmerking



Anchor
cn
cn
Common name

...

urn:maceurn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oidurn:oid:1.3.6.1.4.1.1466.115.121.1.15
Multiplicitymulti-valued
Data typeUTF8 String of the form affiliation@domain (zie onder)
Beschrijving

Beschrijft de relatie tussen de gebruiker en het domein van zijn thuisorganisatie. Het affiliation-gedeelte moet een van de toegestane waarden van het eduPersonAffiliation attribuut zijn (zie direct hierboven).

De waarde is de rol van de de gebruiker en de algemene domeinnaam van de instelling. Feitelijk kan eduPersonScopedAffiliation dus gedefinieerd worden als: <eduPersonAffiliation> "@" <schacHomeOrganization>. Dit attribuut is net als eduPersonScopedAffiliation eduPersonAffiliation meerwaardig.

Het domein-gedeelte moet de schacHomeOrganization van de gebruiker zijn (of een subdomein ervan). 

Voorbeeldenstudent@uniharderwijk.nl
faculty@uniharderwijk.nl
Opmerkingen
  • Dit attribuut is primair een andere manier om de informatie uit eduPersonAffiliation en schacHomeOrganization door te geven. Het wordt aangeraden dit attribuut te voeren naast eduPersonAffliation en schacHomeOrganization, omdat sommige SPs in plaats van die twee losse attributen, dit attribuut vragen.
  • Dit attribuut kan indien gewenst ook gebruikt worden om die rol binnen een faculteit, veld, studie, afdeling waar de gebruiker mee verbonden is te beschrijven. Omdat het attribuut meerwaardig is, kan een gebruiker zowel student bij de ene als medewerker van de andere afdeling zijn.

...

urn:mace

urn:mace:dir:attribute-def:eduPersonPrincipalName

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.6

Multiplicity

single-valued

Data type

UTF8 String voor een gebruiker in de vorm user@scope

Beschrijving

Unieke identifier voor een gebruiker 

Voorbeeldenpiet.jønsen@example.edu
not.a@vålîd.émail.addreß

Opmerkingen

  • Dit is een scoped identifier voor een persoon. Het moet worden weergegeven als user@scope, waarbij de gebruiker een naamgebaseerde identificatiecode voor een persoon is. De scope moet deel uitmaken van het administratief domein van het identiteitssysteem waar de identifier werd aangemaakt en toegewezen. Een IdP kan meerdere scopes hebben, bv. piet@studenthartingcollege.nl of piet@hartingcollege.nl. Deze Pieten zijn verschillende personen die scopes meekrijgen die geregistreerd zijn door hartingcollege.nl.
  • Het is gebruikelijk om schacHomeOrganization te gebruiken als scope, als er geen andere scopes zijn gedefinieerd.
  • Deze waarde lijkt op een e-mailadres maar wordt NIET gebruikt als e-mailadres. Meestal kan e-mail niet aan dit 'adres' gestuurd worden.
  • Hoewel deze waarde een gebruiker uniek identificeert, is het niet gegarandeerd dat de waarde ervan in alle gevallen vast blijft. Gebruik dit attribuut daarom liever niet om gebruikers uniek te identificeren. Gebruik in plaats daarvan het NameID.
  • Het domein-deel dient een door de instelling gecontroleerd domein te zijn, liefst hetzelfde als of een subdomein van de schacHomeOrganization.
  • SURFconext neemt in zijn configuratie op welk domein-deel gebruikt mag worden door de instelling zodat afwijkende waarden gesignaleerd kunnen worden.

...

.1.1.1.6

Multiplicity

single-valued

Data type

UTF8 String voor een gebruiker in de vorm user@scope

Beschrijving

Unieke identifier voor een gebruiker 

Voorbeelden piet.jønsen@example.edu
not.a@vålîd.émail.addreß

Opmerkingen

  • Dit is een scoped identifier voor een persoon. Het moet worden weergegeven als user@scope, waarbij de gebruiker een naamgebaseerde identificatiecode voor een persoon is. De scope moet deel uitmaken van het administratief domein van het identiteitssysteem waar de identifier werd aangemaakt en toegewezen. Een IdP kan meerdere scopes hebben, bv. piet@studenthartingcollege.nl of piet@ hartingcollege .nl. Deze Pieten zijn verschillende personen die scopes meekrijgen die geregistreerd zijn door hartingcollege.nl.
  • Het is gebruikelijk om schacHomeOrganization te gebruiken als scope, als er geen andere scopes zijn gedefinieerd.
  • Deze waarde lijkt op een e-mailadres maar wordt NIET gebruikt als e-mailadres. Meestal kan e-mail niet aan dit 'adres' gestuurd worden.
  • Hoewel deze waarde een gebruiker uniek identificeert, is het niet gegarandeerd dat de waarde ervan in alle gevallen vast blijft. Gebruik dit attribuut daarom liever niet om gebruikers uniek te identificeren. Gebruik in plaats daarvan het NameID.
  • Het domein-deel dient een door de instelling gecontroleerd domein te zijn, liefst hetzelfde als of een subdomein van de schacHomeOrganization.
  • SURFconext neemt in zijn configuratie op welk domein-deel gebruikt mag worden door de instelling zodat afwijkende waarden gesignaleerd kunnen worden.


Anchor
isMemberOf
isMemberOf
isMemberOf


urn:mace

urn:mace:dir:attribute-def:isMemberOf

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Multiplicity

multi-valued

Data typeRFC-2141 URN 

Beschrijving

Somt de samenwerkende organisaties op waarvan de gebruiker lid is.

Voorbeeld urn:collab:org:surf.nl
Opmerkingen
  • Attribuutwaarden zijn URI’s (URN of URL).
  • De enige waarde die momenteel ondersteund wordt, is urn:collab:org:surf.nl, die aangeeft dat het thuisnetwerk van de gebruiker lid is van SURFnet.
  • In de toekomst kan dit attribuut gebruikt worden om te bepalen of een gebruiker lid is van een samenwerkingsorganisatie.
  • Dit attribuut wordt gegenereerd door SURFconext en is beschikbaar voor SP's. IdP's moeten dit attribuut niet zetten.

Anchor
preferredLanguage
preferredLanguage
Preferred Language

urn:mace

urn:mace:dir:attribute-def:

isMemberOf

preferredLanguage

urn:oid

urn:oid:

1

2.

3

16.

6

840.1.

4

113730.

1

3.

5923.

1.

5.1.1

39

Multiplicity

multi

single-valued

Data type
RFC-2141 URN 
RFC2798 BCP47

Beschrijving

Somt de samenwerkende organisaties op waarvan de gebruiker lid is.

Voorbeeldurn:collab:org:surf.nl
Opmerkingen
  • Attribuutwaarden zijn URI’s (URN of URL).
  • De enige waarde die momenteel ondersteund wordt, is urn:collab:org:surf.nl, die aangeeft dat het thuisnetwerk van de gebruiker lid is van SURFnet.
  • In de toekomst kan dit attribuut gebruikt worden om te bepalen of een gebruiker lid is van een samenwerkingsorganisatie.
  • Dit attribuut wordt gegenereerd door SURFconext en is beschikbaar voor SP's. IdP's moeten dit attribuut niet zetten.

...

Een afkorting van 2 letters voor de voorkeurstaal volgens de ISO 639 codetabel; geen subcodes.

Veerbeelden

nl
en

Opmerkingen

Wordt gebruikt om aan te geven aan welke geschreven of gesproken taal de gebruiker de voorkeur geeft. Dit is nuttig voor internationale correspondentie of mens-computer-interactie. Waarden voor dit attribuuttype MOETEN overeenkomen met de definitie van het 'Accept-Language header field' in RFC 2068, met 1 uitzondering: de waarde ':' moet worden weggelaten.

Anchor
eduPersonTargetedID
eduPersonTargetedID
EduPersonTargetedID


urn:mace

urn:mace:dir:attribute-def:preferredLanguageeduPersonTargetedID

urn:oid

urn:oid:2.16.840:1.3.6.1.4.1.1137305923.1.31.1.3910

Multiplicity

single-valued

Data typeRFC2798 BCP47

Beschrijving

Een afkorting van 2 letters voor de voorkeurstaal volgens de ISO 639 codetabel; geen subcodes.

Veerbeelden

nl
en

Opmerkingen

Wordt gebruikt om aan te geven aan welke geschreven of gesproken taal de gebruiker de voorkeur geeft. Dit is nuttig voor internationale correspondentie of mens-computer-interactie. Waarden voor dit attribuuttype MOETEN overeenkomen met de definitie van het 'Accept-Language header field' in RFC 2068, met 1 uitzondering: de waarde ':' moet worden weggelaten.

...

UTF8 string (unbounded)

Beschrijving 

Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID (maar alleen als het NameID is geconfigureerd als persistent) welke door SURFconext zelf wordt gegenereerd. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext.

Voorbeeldbd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Opmerkingen 

Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken.


Anchor
orcid
orcid
eduPersonOrcid

urn:mace

urn:mace:dir:attribute-def:eduPersonTargetedID

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Multiplicity

single-valued

Data typeUTF8 string (unbounded)

Beschrijving 

Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID (maar alleen als het NameID is geconfigureerd als persistent) welke door SURFconext zelf wordt gegenereerd. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext.

Voorbeeldbd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Opmerkingen 

Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken.

...

:eduPersonOrcid

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.16

Multiplicity

multi-valued (maar zie onder)

Data type

URL, geregistreerd via ORCID.org

Beschrijving 

Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097

Voorbeelden

http://orcid.org/0000-0002-1825-0097

http://orcid.org/0000-0001-9351-8252

Opmerkingen 

Zie voor achtergrondinformatie over ORCID: https://www.surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html

Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven.


Anchor
eckid
eckid
ECK ID

urn:mace

urn:mace:

dir

surf.nl:attribute-def:

eduPersonOrcid

eckid

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.16

-

Multiplicity

multi

single-valued

(maar zie onder)

Data type

URL

, geregistreerd via ORCID.org

Beschrijving 

Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097

Voorbeelden

http://orcid.org/0000-0002-1825-0097

http://orcid.org/0000-0001-9351-8252

Opmerkingen 

Zie voor achtergrondinformatie over ORCID:

zoals gespecificeerd door Edu-K, geheel in onderkast

Beschrijving 

Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs.

Examples

https://ketenid.nl/spv1/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e

Opmerkingen 

Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”.

Voor meer informatie zie https://www.

surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html

Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven.

...

eck-id.nl. Als u deze claiminformatie ophaalt uit een externe bron, zoals een Enterprise Active Directory, LDAP of een Microsoft SQL-server, kunt u aangepaste 'attribute store' definiëren voor het opvragen van de ECK-ID-claim . Lees dit Microsoft blog om meer te weten te komen

Anchor
surfcrmid
surfcrmid
SURF CRM ID

Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”.

Voor meer informatie zie https://www.eck-id.nl

urn:mace

urn:mace:surf.nl:attribute-def:eckid

urn:oid

-

:surf.nl:attribute-def:surf-crm-id

urn:oid

urn:oid:1.3.6.1.4.1.1076.20.100.10.50.2

Multiplicity

single-valued

Data type

URL zoals gespecificeerd door Edu-K, geheel in onderkast

Description 

Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs.

Examples

https://ketenid.nl/spv1/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e

Notes 

Microsoft GUID

Beschrijving

Het GUID van de organisatie (aangesloten instelling) waar de idp van de gebruiker toe behoort, zoals gebruikt in het SURF CRM.

Voorbeelden

ad93daef-0911-e511-80d0-005056956c1a

Opmerkingen 

SURF specifiek en alleen te gebruiken voor SURF-eigen SP's die ook een koppeling hebben met het SURF CRM.

Uitsluitend in te zetten na overleg met SURFnet.