Versions Compared

Old Version 96

changes.mady.by.user André Klaver

Saved on

compared with

New Version 106

changes.mady.by.user Thijs Kinkhorst

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Note

De SAML2-implementatie van SURFconext voldoet aan het SAML2int profiel 0.2.1.

In de header op bovenstaande link staat dat het werk aan saml2int is verhuisd naar Kantara Initiative. SURFconext houdt zich tot nader orde aan de SAML2int-profielversie 0.2.1.

Info

Voordat je je gaat verdiepen in de theoretische zaken op deze pagina, loont het om onze 'best practice' pagina (EN) te lezen. Hier krijg je een introductie tot en hoe attributen het beste gebruikt kunnen worden in SURFconext.

...

Omschrijving

Attribuutnaam

Definitie

Data type

Voorbeeld

ID

(NameID)
urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

eduPerson (1)

UTF8 string
(unbounded)

bd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Surname

urn:mace:dir:attribute-def:sn
urn:oid:2.5.4.4

X.520

UTF8 string
(unbounded)

Vermeegen
孝慈

Given name or first name

urn:mace:dir:attribute-def:givenName
urn:oid:2.5.4.42

X.520

UTF8 string
(unbounded)

Mërgim Lukáš
Þrúður

Common name or Full Name

urn:mace:dir:attribute-def:cn
urn:oid:2.5.4.3

X.520

UTF8 String
(unbounded)

Prof.dr. Mërgim Lukáš Vermeegen
加来 千代, PhD.

Display name

urn:mace:dir:attribute-def:displayName
urn:oid:2.16.840.1.113730.3.1.241

RFC2798

UTF8 String
(unbounded)

Prof.dr. Mërgim L. Vermeegen
加来 千代, PhD.

Email address

urn:mace:dir:attribute-def:mail
urn:oid:0.9.2342.19200300.100.1.3

RFC4524

RFC-5322 address
(max 256 chars)

m.l.vermeegen@university.example.org
maarten.'t.hart@uniharderwijk.nl 
"very.unusual.@.but valid.nonetheless"@example.com
 mlv@[IPv6:2001:db8::1234:4321]

Organization

urn:mace:terena.org:attribute-def:schacHomeOrganization
urn:oid:1.3.6.1.4.1.25178.1.2.9

Schac

RFC-1035 domain string

example.nl
something.example.org  

Organization Type

urn:mace:terena.org:attribute-def:schacHomeOrganizationType
urn:oid:1.3.6.1.4.1.25178.1.2.10

Schac

RFC-2141 URN
see Schac standard    

urn:mace:terena.org:schac:homeOrganizationType:int:university
urn:mace:terena.org:schac:homeOrganizationType:es:opi

Employee/student number

urn:schac:attribute-def:schacPersonalUniqueCode
urn:oid:1.3.6.1.4.1.25178.1.2.14

Schac

RFC-2141 URN
see SURFnet registry 

urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456
urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567

Affiliation

urn:mace:dir:attribute-def:eduPersonAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.1

eduPerson (1)

Enum type (UTF8 String)

employee, student, faculty, member, affiliate, pre-student
(staff is niet meer in gebruik; library-walk-in, alum zijn niet toegestaan)

Scoped affiliation urn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.9		eduPerson (1)UTF8 String
user@domain

student@uniharderwijk.nl
employee@uniharderwijk.nl

Entitlement

urn:mace:dir:attribute-def:eduPersonEntitlement
urn:oid:1.3.6.1.4.1.5923.1.1.1.7

eduPerson (1)

RFC-2141 URN
Multi-valued

Wordt gedefineerd per dienst (zie Standardized values for eduPersonEntitlement)

PrincipalName

urn:mace:dir:attribute-def:eduPersonPrincipalName
urn:oid:1.3.6.1.4.1.5923.1.1.1.6

eduPerson (1)

UTF8 String
user@scope

piet.jønsen@example.edu
not.a@vålîd.émail.addreß

isMemberOf

urn:mace:dir:attribute-def:isMemberOf
urn:oid:1.3.6.1.4.1.5923.1.5.1.1

eduMember

RFC-2141 URN
Multi-valued

urn:collab:org:surf.nl
urn:collab:org:clarin.org

uid

urn:mace:dir:attribute-def:uid
urn:oid:0.9.2342.19200300.100.1.1

RFC4519

UTF8 String
(max 256 chars)

s9603145
flåp@example.edu

preferredLanguage

urn:mace:dir:attribute-def:preferredLanguage
urn:oid:2.16.840.1.113730.3.1.39

RFC2798
BCP47

List of BCP47 language tags

nl
nl, en-gb;q=0.8, en;q=0.7

ORCID

urn:mace:dir:attribute-def:eduPersonORCID

urn:oid:1.3.6.1.4.1.5923.1.1.1.16

eduPerson (1)

URL registered

with ORCID.org

 http://orcid.org/0000-0002-1825-0097
ECK IDurn:mace:surf.nl:attribute-def:eckidSURF / Edu-KURL zoals gedefinieerd door Edu-K https://ketenid.nl/spv1/eacf3765ad342...cf3a11fe9cab2365f95da3e9965501f7c98e (Attribuut korter gemaakt voor de leesbaarheid)

...

titleMinimale vereiste aantal attributen voor IdP's die op SURFconext aansluiten
SURFCRM ID
urn:mace:

...

surf.nl:attribute-def:surf-crm-idSURFGUID van de aangesloten instelling zoals in SURF CRMad93daef-0911-e511-80d0-005056956c1a
Warning
titleMinimale vereiste aantal attributen voor IdP's die op SURFconext aansluiten

Er is een minimum aantal attributen nodig om een IdP aan te sluiten op SURFconext. Lees op deze pagina welke je als Identity Provider minimaal moet confgurren, of in de configuratiehandleidingen op deze pagina: 'Handleidingen en Richtlijnen'.

uid en urn:mace:terena.org:attribute-def:schacHomeOrganization ontbreken zal een fatale fout onstaan omdat deze nodig zijn om de NameID te genereren. Uw IdP kan niet worden aangesloten op SURFconext zonder deze. Als de attributen urn:mace:mace:dir:dir:attribute-def:displayName en urn:mace:dir:attribute-def:mail niet worden geleverd, wordt een waarschuwing gegeven. Veel diensten zijn hiervan afhankelijk. Bovenstaande attributen zijn het absolute minimum en zullen er waarschijnlijk toe leiden dat veel diensten niet gekoppeld kunnen worden met uw instelling. Lever de attributen aan zoals beschreven op deze pagina of die aangegeven in de configuratiehandleidingen op deze pagina: 'Handleidingen en Richtlijnen'.
Info
titleVerouderde attributen

SURFconext beschouwt de attributen nlEduPersonOrgUnit , nlEduPersonStudyBranch en nlStudielinkNummer

Info
titleVerouderde attributen

SURFconext beschouwt de attributen nlEduPersonOrgUnit, nlEduPersonStudyBranch en nlStudielinkNummer als verouderd. Deze worden niet meer toegepast bij nieuw op te voeren IdP's en SP's in SURFconext. Als je al een IdP of SP bij SURFconext hebt geregistreerd die gebruik maakt van deze attributen kunnen deze tot nader orde order gebruikt worden.

Gedetailleerde beschrijvingen van de attributen

...

urn:mace

urn:mace:dir:attribute-def:givenName

urn:oid

urn:oid:2.5.4.42

Multiplicity

single-valued

Data typeUTF8 string (unbounded)

Beschrijving

Voornaam / 'name known by'; combinatie van titel, initialen, en 'name known by' zijn mogelijk.

Voorbeeld

Jan Klaassen
Mërgim K. Lukáš Lukáš
Þrúður

Opmerking



Anchor
cn
cn
Common name

...

urn:mace

urn:mace:dir:attribute-def:eduPersonTargetedID

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Multiplicity

single-valued

Data typeUTF8 string (unbounded)

Beschrijving 

Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID (maar alleen als het NameID is geconfigureerd als persistent) welke door SURFconext zelf wordt gegenereerd. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext.

Voorbeeldbd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Opmerkingen 

Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken.

...

deze altijd overschreven door SURFconext.

Voorbeeldbd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Opmerkingen 

Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken.


Anchor
orcid
orcid
eduPersonOrcid

urn:mace

urn:mace:dir:attribute-def:eduPersonOrcid

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.16

Multiplicity

multi-valued (maar zie onder)

Data type

URL, geregistreerd via ORCID.org

Beschrijving 

Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097

Voorbeelden

http://orcid.org/0000-0002-1825-0097

http://orcid.org/0000-0001-9351-8252

Opmerkingen 

Zie voor achtergrondinformatie over ORCID: https://www.surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html

Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven.


Anchor
eckid
eckid
ECK ID

urn:mace

urn:mace:

dir

surf.nl:attribute-def:

eduPersonOrcid

eckid

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.16

-

Multiplicity

multi

single-valued

(maar zie onder)

Beschrijving 

Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097

Voorbeelden

http://orcid.org/0000-0002-1825-0097

http://orcid.org/0000-0001-9351-8252

Opmerkingen 

Zie voor achtergrondinformatie over ORCID:

Data type

URL

, geregistreerd via ORCID.org

zoals gespecificeerd door Edu-K, geheel in onderkast

Beschrijving 

Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs.

Examples

https://ketenid.nl/spv1/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e

Opmerkingen 

Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”.

Voor meer informatie zie

https://www.

surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html

Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven.

...

eck-id.nl. Als u deze claiminformatie ophaalt uit een externe bron, zoals een Enterprise Active Directory, LDAP of een Microsoft SQL-server, kunt u aangepaste 'attribute store' definiëren voor het opvragen van de ECK-ID-claim . Lees dit Microsoft blog om meer te weten te komen

Anchor
surfcrmid
surfcrmid
SURF CRM ID

urn:mace

urn:mace:surf.nl:attribute-def:eckid:surf.nl:attribute-def:surf-crm-id

urn:oid

urn:oid:1.3.6.1.4.1.1076.20.100.10.50.2

urn:oid

-

Multiplicity

single-valued

Data type

URL zoals gespecificeerd door Edu-K, geheel in onderkast

Description 

Educatieve Content Keten Identifier (ECK ID) is een pseudonieme identificatie voor toegang tot leermaterialen voor primair, secundair en middelbaar beroepsonderwijs.

Examples

https://ketenid.nl/spv1/eacf3765ad342feb5f65c2bf8194b4ccc3d68cec3c01d3c260636747a2b06d092fcc3a8d655bbdc4ae7d815ed005cf3a11fe9cab2365f95da3e9965501f7c98e

Microsoft GUID

Beschrijving

Het GUID van de organisatie (aangesloten instelling) waar de idp van de gebruiker toe behoort, zoals gebruikt in het SURF CRM.

Voorbeelden

ad93daef-0911-e511-80d0-005056956c1a

Opmerkingen 

SURF specifiek en alleen te gebruiken voor SURF-eigen SP's die ook een koppeling hebben met het SURF CRM.

Uitsluitend in te zetten na overleg met SURFnet.

Notes 

Dit attribuut mag alleen gebruikt worden voor “de toegang tot en het gebruik van digitale leermiddelen of het digitaal afnemen van toetsen en examens”.

Voor meer informatie zie https://www.eck-id.nl