Versions Compared

Old Version 33

changes.mady.by.user Raoul Teeuwen

Saved on

compared with

New Version 34

changes.mady.by.user Femke Morsch

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Tabel was niet meer zichtbaar door macro. Deze heb ik verwijderd.

...

Uiteraard kan het zijn dat niet al deze mogelijkheden door de dienstverlener worden ondersteund.

 


Expand
titleNoot: identificatie van de gebruiker binnen de dienst

Een complicerende factor bij deze methode is dat bij het inloggen de identiteit van de gebruiker moet worden vastgesteld. Minimaal één van de attributen die de dienst bij logins via SURFconext binnenkrijgt, zal dus overeen moeten komen met de identiteit die de instelling in de dienst heeft aangemaakt. De gebruikelijke manieren van identificeren van SURFconextgebruikers vindt echter plaats met de  NameId  of met het  eduPersonPrincipleName -attribuut; deze komen in dit geval typisch niet in aanmerking voor identificatie, omdat dit afgeleide attributen zijn die (meestal) niet aanwezig zijn in de IdM-systemen van de instelling. We raden daarom aan om voor dit scenario een medewerker- of studentnummer door te geven via het  schacPersonalUniqueCode -attribuut. Identificatie op basis van het  uid -attribuut raden wij af voor diensten van externe leveranciers, omdat dit attribuut bij de meeste instellingen de loginnaam van de gebruiker bevat, en het uit veiligheidsoverwegingen geen goed idee is om deze buiten de instelling te gebruiken

...

 De volgende attributen komen in aanmerking:

  • eduPersonAffiliation : dit attribuut geeft de rollen aan die een gebruiker heeft binnen de instelling. Op basis van dit attribuut is het dus mogelijk om alleen medewerkers, of juist alleen studenten, toegang te geven tot een bepaalde dienst.   
  • eduPersonScopedAffiliation : dit attribuut geeft de rollen aan die een gebruiker heeft binnen onderdelen van een instelling.
    Zo kan bijvoorbeeld worden aangegeven dat iemand een docent/onderzoeker is bij de faculteit wiskunde ( faculty@math.uniharderwijk.nl ), of een student bij de faculteit rechten (student@law.uniharderwijk.nl).  Op basis hiervan kan dus zowel toegang worden verleend aan gebruikers van een specifiek onderdeel (bv., het instituut voor origamikunst member@origami.uniharderwijk.nl) van een instelling, of aan gebruikers met een specifieke rol binnen zo'n onderdeel (bv., docentent/onderzoekers van de sterrenkundeafdeling faculty@astro.uniharderwijk.nl).
  • eduPersonEntitlement : dit attribuut kan waarden bevatten die een gebruiker specifiek toegang geven tot één (groep van) diensten. Om toegang te krijgen tot een data-opslagdienst, zou een gebruiker bijvoorbeeld de volgende entitlement-waarde moeten hebben: "urn:x-surfnet:hippedienst.example.edu:access:true". 

...

In onderstaande tabel worden de belangrijkste eigenschappen van de verschillende  manieren van afscherming nogmaals met elkaar vergeleken.

typebeheerafscherming ondersteuning SP
Provisioningafhankelijk van SP
instelling of decentraal 		SPvereist
Attributen

instelling: IAM-beheer

SURFconextniet nodig
SPvereist
Groepeninstellingsgroepeninstelling:
IAM-beheer of decentaal		SURFconextniet nodig
SPvereist
SURFconext TeamsdecentraalSURFconextniet nodig
SPvereist

Schematisch

 


Neem voor opmerkingen of vragen gerust contact op met het SURFconext Supportteam (support@surfconext.nl)