...
Warning | ||
---|---|---|
| ||
De attributen NameID (indien geconfigureerd als persistent) en eduPersonTargetedID, wat feitelijk een kopie is van het NameID, zijn onveranderlijk maar dit is zo tot op zekere hoogte. In sommige gevallen kan het zijn dat er door een service provider of een identity provider keuzes gemaakt worden die er voor zorgen dat het NameID toch wijzigt. Het NameID, zoals gebruikt in de SAML assertion naar de service provider bij het aanmelden op de dienst, is een samenstelling van de attributen uid, schacHomeOrganization, het Entity ID van de service provider samen met een geheim wat gebruik maakt van een SHA algoritme. Als een instelling of dienstverlener er voor kiest bij een dienst die al in productie is één van deze attributen aan te passen zal het er toe leiden dat SURFconext een nieuw NameID en eduPersonTargetedID gaat genereren. Dit kan tot gevolg hebben dat gebruikers geen toegang meer hebben tot hun profielen bij diensten. Als wij zien dat een instelling dan wel dienstverlener voornemens is één van deze attributen aan te passen zullen wij dit ter sprake brengen en ze wijzen op de gevolgen. |
...
Veranderen van attributen
Als u een account heeft bij een instelling die aangesloten is bij SURFconext kunt u informatie krijgen over attributen die u deelt met SURFconext door onze profielpagina te bezoeken. Deze pagina geeft u inzicht in persoonlijke gegevens, die door uw instelling via SURFconext zijn verstrekt, naar welke dienst zijn doorgestuurd. Voor nieuwe IdP's of voor IdP's die hun omgeving upgraden, zullen systeembeheerders op enig moment gevraagd worden om de metadata van hun account te delen voor analyses. Ga naar deze pagina en klik op de 'Mail to SURFconext' knop. We nemen contact met u op wanneer we de ingediende metadata hebben beoordeeld. Deze pagina toont u ook de gedeelde attributen.
- Profiel Pagina: https://profile.surfconext.nl/
- Mail response van Identity Provider aan SURFconext en review je attributen: https://engine.surfconext.nl/authentication/sp/debug
Attributenschema's
Een attributenschema is een abstracte representatie van de karakteristieken van een object, en de relatie tot andere objecten.
SURFconext ondersteunt twee attributen schema's:
urn:oid
schema (SAML2.0 compliant)urn
schema (SAML1.1 compliant)
Beiden kunnen worden gebruikt om dezelfde informatie uit te drukken. De uitzondering hierop is het NameID, deze is enkel beschikbaar binnen het urn:oid schema. Standaard geeft SURFconext de attributen door in beide schema's als onderdeel van de assertion. Desalniettemin wordt het door elkaar gebruiken van de schema's afgeraden.
Attributenoverzicht
SURFconext ondersteunt het vrijgeven van de volgende attributen:
Identity Provider is het belangrijk je te beseffen dat het veranderen van attributen in productie op SURFconext op wat voor manier ook invloed kan hebben op de diensten waar gebruikers toegang toe hebben. Attributen die je aan SURFconext aanbiedt, worden gebruikt om profielen aan te maken, waaraan vaak gegevens worden gekoppeld. Het veranderen van een attribuut kan ongewenste resultaten hebben, zoals gebruikers die geen toegang meer hebben tot hun waardevolle gegevens. Een voorbeeld hiervan is het aanpassen van de manier waarop je (onder andere) het e-mailadres invult. Bijvoorbeeld: het wijzigen van 'student.123456@university.nl' in 'john.doe@university.nl'. Bent je van plan dit te doen of start je een project waar dit het geval is? Neem dan contact met ons op en stuur een e-mail naar support@surfconext.nl.
Links
- Tabel met attributen die we onze instellingen aanbevelen om vrij te geven https://wiki.surfnet.nl/display/surfconextdev/Vereiste+attributen
- Profiel pagina https://profile.surfconext.nl/ , laat zien welke attributen er door uw IdP worden doorgegeven aan SURFconext
- Voor nieuwe IdP's of voor IdP's die hun omgeving upgraden: systeembeheerders worden op enig moment gevraagd de metadata van hun account te delen voor analyses. Ga dan naar deze pagina en klik op de 'Mail to SURFconext' knop. We nemen contact met u op wanneer we de ingediende metadata hebben beoordeeld. Deze pagina toont u ook de gedeelde attributen.
Attributenschema's
Een attributenschema is een abstracte representatie van de karakteristieken van een object, en de relatie tot andere objecten.
SURFconext ondersteunt twee attributen schema's:
urn:oid
schema (SAML2.0 compliant)urn
schema (SAML1.1 compliant)
Beiden kunnen worden gebruikt om dezelfde informatie uit te drukken. De uitzondering hierop is het NameID, deze is enkel beschikbaar binnen het urn:oid schema. Standaard geeft SURFconext de attributen door in beide schema's als onderdeel van de assertion. Desalniettemin wordt het door elkaar gebruiken van de schema's afgeraden.
Attributenoverzicht
SURFconext ondersteunt het vrijgeven van de volgende attributen:
Omschrijving | Attribuutnaam | Definitie | Data type | Voorbeeld | |||
---|---|---|---|---|---|---|---|
(NameID) | |||||||
Omschrijving | Attribuutnaam | Definitie | Data type | Voorbeeld | |||
(NameID) | eduPerson (1) | UTF8 string | bd09168cf0c2e675b2def0ade6f50b7d4bb4aae | ||||
urn:mace:dir:attribute-def:sn | X.520 | UTF8 string | Vermeegen | ||||
Given name or first name | X.520 | 5923.1.1.1.10 | eduPerson (1) | UTF8 UTF8 string | Mërgim Lukáš bd09168cf0c2e675b2def0ade6f50b7d4bb4aaeÞrúður | ||
urn:mace:dir:attribute-def:cnsn | X.520 | UTF8 String string | Prof.dr. Mërgim Lukáš Vermeegen | ||||
urn:mace:dir:attribute-def:displayNamegivenName | 42 | X.520 | UTF8 string UTF8 String | Prof.dr. Mërgim L. Vermeegen | Mërgim Lukáš | ||
urn:mace:dir:attribute-def:mailcn | RFC-5322 address | m.l.vermeegen@university.example.org | |||||
urn:mace:terena.org:attribute-def:schacHomeOrganization | RFC-1035 domain string | example.nl | |||||
X.520 | UTF8 String | Prof.dr. Mërgim Lukáš Vermeegen | |||||
urn:mace:dir:attribute-def:displayName | UTF8 String | Prof.dr. Mërgim L. Vermeegen | |||||
urn:mace:dir:attribute-def:mail | RFC-5322 address | m.l.vermeegen@university.example.org | |||||
urn:mace:terena.org:attribute-def:schacHomeOrganizationType schacHomeOrganization | RFC-2141 URN | example.nl | |||||
urn:urn:mace:terena.org:attribute-def:schacHomeOrganizationType | RFC-2141 URN | urn:mace:terena.org:schac:homeOrganizationType:int:university | |||||
Employee/student number | urn:schac:attribute-def:schacPersonalUniqueCode | Schac | RFC-2141 URN | urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456 urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567 | |||
urn:mace:dir:attribute-def:eduPersonAffiliation | eduPerson (1) | Enum type (UTF8 String) | employee, student, faculty, member, affiliate, pre-student | ||||
Scoped affiliation | urn:mace:dir:attribute-def:eduPersonScopedAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9 | eduPerson (1) | UTF8 String user@domain | student@uniharderwijk.nl | |||
urn:mace:dir:attribute-def:eduPersonEntitlement | eduPerson (1) | RFC-2141 URN | Wordt gedefineerd per dienst (zie Standardized values for eduPersonEntitlement) | ||||
urn:mace:dir:attribute-def:eduPersonPrincipalName | eduPerson (1) | UTF8 String | piet.jønsen@example.edu | ||||
urn:mace:dir:attribute-def:isMemberOf | eduMember | RFC-2141 URN | urn:collab:org:surf.nl | ||||
urn:mace:dir:attribute-def:uid | UTF8 String | s9603145 | |||||
urn:mace:dir:attribute-def:preferredLanguage | List of BCP47 language tags | nl | |||||
ORCID | urn:mace:dir:attribute-def:eduPersonORCID urn:oid:1.3.6.1.4.1.5923.1.1.1.16 | eduPerson (1) | URL registered with ORCID.org | http://orcid.org/0000-0002-1825-0097 | |||
ECK ID | urn:mace:surf.nl:attribute-def:eckid | SURF / Edu-K | URL zoals gedefinieerd door Edu-K | https://ketenid.nl/spv1/eacf3765ad342...cf3a11fe9cab2365f95da3e9965501f7c98e (Attribuut korter gemaakt voor de leesbaarheid) |
...
title | Minimale vereiste aantal attributen voor IdP's die op SURFconext aansluiten |
---|
...
SURFCRM ID | urn:mace:surf.nl:attribute-def: surf-crm-id | SURF | GUID van de aangesloten instelling zoals in SURF CRM | ad93daef-0911-e511-80d0-005056956c1a |
MS AuthnMethodsReferences | Microsoft | URI | urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport http://schemas.microsoft.com/claims/multipleauthn |
Info | ||
---|---|---|
| ||
SURFconext beschouwt de attributen nlEduPersonOrgUnit , nlEduPersonStudyBranch en nlStudielinkNummer als verouderd. Deze worden niet meer toegepast bij nieuw op te voeren IdP's en SP's in SURFconext. Als je al een IdP of SP bij SURFconext hebt geregistreerd die gebruik maakt van deze attributen kunnen deze tot nader orde order gebruikt worden. |
Gedetailleerde beschrijvingen van de attributen
...
urn:mace | urn:mace:terena.org:attribute-def:schacHomeOrganization |
urn:oid | urn:oid:1.3.6.1.4.1.25178.1.2.9 |
Multiplicity | single-valued |
Data type | RFC-1035 domain string. Dit MOET een secondary-level domein zijn die in beheer is van de instelling. Bij voorkeur wordt de hoofd-domeinnaam van de instelling gebruikt. |
Omschrijving | The user's organization using the organization's domain name; syntax in accordance with RFC 1035. |
Voorbeelden | uniharderwijk.nl |
Opmerkingen |
|
...
urn:mace | urn:schac:attribute-def:schacPersonalUniqueCode |
urn:oid | urn:oid:1.3.6.1.4.1.25178.1.2.14 |
Multiplicity | multi-value |
Data-type | RFC-2141 URN (zie SURFnet registry) |
Omschrijving | Het interne studentnummer, medewerkernummer of persoonsnummer van de gebruiker. |
Voorbeelden | urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456 urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567 |
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:eduPersonScopedAffiliation |
urn:oid | urn:oid:1.3.6.1.4.1.1466.115.121.1.15 |
Multiplicity | multi-valued |
Data type | UTF8 String of the form affiliation@domain (zie onder) |
Beschrijving | Beschrijft de relatie tussen de gebruiker en het domein van zijn thuisorganisatie. Het affiliation-gedeelte moet een van de toegestane waarden van het eduPersonAffiliation attribuut zijn (zie direct hierboven). De waarde is de rol van de de gebruiker en de algemene domeinnaam van de instelling. Feitelijk kan eduPersonScopedAffiliation dus gedefinieerd worden als: <eduPersonAffiliation> "@" <schacHomeOrganization>. Dit attribuut is net als eduPersonScopedAffiliation eduPersonAffiliation meerwaardig. Het domein-gedeelte moet de schacHomeOrganization van de gebruiker zijn (of een subdomein ervan). |
Voorbeelden | student@uniharderwijk.nl faculty@uniharderwijk.nl |
Opmerkingen |
|
...
urn:mace | urn:mace:dir:attribute-def:eduPersonTargetedID |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.10 |
Multiplicity | single-valued |
Data type | UTF8 string (unbounded) |
Beschrijving | Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID (maar alleen als het NameID is geconfigureerd als persistent) welke door SURFconext zelf wordt gegenereerd. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext. |
Voorbeeld | bd09168cf0c2e675b2def0ade6f50b7d4bb4aae |
Opmerkingen | Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken. |
...
van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:dir:attribute-def:eduPersonOrcid |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.16 |
Multiplicity | multi-valued (maar zie onder) |
Data type | URL, geregistreerd via ORCID.org |
Beschrijving | Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097 |
Voorbeelden | |
Opmerkingen | Zie voor achtergrondinformatie over ORCID: https://www.surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace:surf.nl:attribute-def:eckid |
urn:oid | - |
Multiplicity | single-valued |
Data type | URL zoals gespecificeerd door Edu-K, geheel in onderkast |
Beschrijving | Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs. |
Examples | https://ketenid.nl/spv1/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e |
Opmerkingen | Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”. Voor meer informatie zie https://www.eck-id.nl. Als u deze claiminformatie ophaalt uit een externe bron, zoals een Enterprise Active Directory, LDAP of een Microsoft SQL-server, kunt u aangepaste 'attribute store' definiëren voor het opvragen van de ECK-ID-claim . Lees dit Microsoft blog om meer te weten te komen. |
Anchor | ||||
---|---|---|---|---|
|
urn:mace | urn:mace: |
surf.nl:attribute-def: |
surf-crm-id | |
urn:oid | urn:oid:1.3.6.1.4.1. |
1076.20. |
100. |
10. |
50. |
2 |
Multiplicity |
single-valued |
Data type |
URL, geregistreerd via ORCID.org
Beschrijving
Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097
Opmerkingen
Zie voor achtergrondinformatie over ORCID: https://www.surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html
Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven.
...
Microsoft GUID | |
Beschrijving | Het GUID van de organisatie (aangesloten instelling) waar de idp van de gebruiker toe behoort, zoals gebruikt in het SURF CRM. |
Voorbeelden | ad93daef-0911-e511-80d0-005056956c1a |
Opmerkingen | SURF specifiek en alleen te gebruiken voor SURF-eigen SP's die ook een koppeling hebben met het SURF CRM. Uitsluitend in te zetten na overleg met SURFnet. |
Anchor | ||||
---|---|---|---|---|
|
Name | http://schemas.microsoft.com/claims/authnmethodsreferences |
Multiplicity | multi-valued |
Data type | URI |
Beschrijving | De AuthnContext-referenties die betrokken zijn geweest bij de authenticatie van de betreffende user. |
Voorbeelden |
|
Opmerkingen |
|
urn:mace | urn:mace:surf.nl:attribute-def:eckid |
urn:oid | - |
Multiplicity | single-valued |
Data type | URL zoals gespecificeerd door Edu-K, geheel in onderkast |
Description | Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs. |
Examples | https://ketenid.nl/spv1/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e |
Notes | Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”. Voor meer informatie zie https://www.eck-id.nl. Als u deze claiminformatie ophaalt uit een externe bron, zoals een Enterprise Active Directory, LDAP of een Microsoft SQL-server, kunt u aangepaste 'attribute store' definiëren voor het opvragen van de ECK-ID-claim . Lees dit Microsoft blog om meer te weten te komen. |