Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: iets duidelijker dat alum door de idp niet doorgelaten mag worden

...

urn:mace

urn:mace:dir:attribute-def:eduPersonAffiliation

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.1

Multiplicity

multi-valued

Beschrijving

Geeft de relatie aan tussen de gebruiker en zijn instelling. De volgende waarden zijn toegestaan binnen SURFconext:

  • student — een bij de Instelling ingeschreven student, extraneus of cursist
  • employee — een persoon met een aanstelling dan wel een arbeidsovereenkomst bij de Instelling
  • staff — Alle academische staf (wetenschappelijk personeel, of WP) en docenten
  • member — Iedereen die tenminste één van de bovenstaande waardes heeft is automatisch ook member

De volgende waarde(n) zijn toegestaan, maar worden (nog) niet gebruikt door diensten:

  • affiliate — een persoon die anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd is om de dienst te gebruiken

Gebruik de bovenstaande voorbeelden om vast te stellen welke waarde een gebruiker krijgt. Indien de definities niet toereikend zijn, gebruik gezond verstand.

Opmerkingen 

  • Alle gebruikers die als affiliation staff, employee or student hebben, moeten ook de waarde member hebben.
  • Identity Providers kunnen intern aanvullende waarden gebruiken voor het affiliation-attribuut, zoals alumn alum. Volgens het beleid van SURFconext krijgen die mogen deze gebruikers geen toegang krijgen tot SURFconext (dit dient de IdP zelf af te dwingen).
  • Andere waarden die in de eduPerson-standaard worden genoemd zijn faculty, library-walk-in. Deze waarden worden niet gebruikt in SURFconext.
  • Volgens de eduPerson-standaard zijn de waarden van dit attribuut niet hoofdlettergevoelig. Vanwege compatibiliteit eisen wij in SURFconext echter bovenstaande waarden met kleine letters.

...

urn:maceurn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oidurn:oid:1.3.6.1.4.1.1466.115.121.1.15
Multiplicitymulti-valued
Data typeUTF8 String of the form affiliation@subdomain (zie onder)
Beschrijving

Beschrijft de relatie tussen de gebruiker en een specifiek (beveiligings) domein van de thuisnetwerk. De waarden bestaan uit een relatie en beveiligings domein, verbonden met een @-teken, b.v. <affiliation@sub.domain.nl>. Op deze manier kan de relatie tussen een gebruiker en het beveiligingsdomain nauwkeurig vastgelegd worden. Zo kan bijvoorbeeld vastgelegd worden dat een gebruiker student is bij de faculteit natuurkunde of een secretaresse werkt voor een bepaalde afdeling van een faculteit.

Het affiliation-gedeelte moet een van de toegestane waarden van het eduPersonAffiliation attribuut zijn (zie boven). Op dit moment zijn dat:

  • student — een bij de Instelling ingeschreven student, extraneus of cursist
  • employee — een persoon met een aanstelling dan wel een arbeidsovereenkomst bij de Instelling
  • staff — Alle academische staf (wetenschappelijk personeel, of WP) en docenten
  • member — Iedereen die tenminste één van de bovenstaande waardes heeft is automatisch ook member

De volgende waarde(n) zijn toegestaan, maar worden (nog) niet gebruikt door diensten:

  • affiliate — een persoon die anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd is om de dienst te gebruiken

Het domein gedeelte moet een subdomein zijn van de schacHomeOrganization van de gebruiker. Dit subdomein hoeft niet in DNS te bestaan. Als bijvoorbeeld de schacHomeOrganization van de gebruiker uniharderwijk.nl is, kan het domein gedeelte van eduPeronScopedAffiliation science.uniharderwijk.nl, physics.science.uniharderwijk.nl, enz. zijn.

VoorbeeldenZie boven
Opmerkingen
  • Dit attribuut kan gebruikt worden om de faculteit, veld, studie, afdeling waar de gebruiker mee verbonden is te beschrijven.
  • Omdat het attribuut meerwaardig is, kan een gebruiker zowel student bij de ene als medewerker van de andere afdeling zijn.
  • Er is geen gemeenschappelijk register voor geldige subdomein namensubdomeinnamen. staff@cs.uniharderwijk.nl zou kunnen aangeven dat een gebruiker lid is van de academische staff van de informatica faculteit van de Universiteit van Harderwijk, terwijl staff@cs.surfnet.nl een medewerker van de "Community Support" afdeling bij SURFnet zou kunnen zijn. Daarom moet voor de interpretatie van dit attribuut altijd overleg plaatsvinden tussen de SP's (consumerende partij) en de uitgevende IdP's (uitgevende partij).

...