Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

SURFconext ondersteunt het vrijgeven van de volgende attributen:

Friendly name Omschrijving 
Attribute name

Attribuutnaam

S/M

Definition Definitie 

Data type

Example Voorbeeld 

ID

(NameID)
urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

 

eduPerson

UTF8 string
(unbounded)

bd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Surname

urn:mace:dir:attribute-def:sn
urn:oid:2.5.4.4

 

X.520

UTF8 string
(unbounded)

Vermeegen
?

Given name

urn:mace:dir:attribute-def:givenName
urn:oid:2.5.4.42

 

X.520

UTF8 string
(unbounded)

Mërgim Lukáš
??

Common name

urn:mace:dir:attribute-def:cn
urn:oid:2.5.4.3

 

X.520

UTF8 String
(unbounded)

Prof.dr. Mërgim Lukáš Vermeegen
? ??, PhD.

Display name

urn:mace:dir:attribute-def:displayName
urn:oid:2.16.840.1.113730.3.1.241

 

RFC2798

UTF8 String
(unbounded)

Prof.dr. Mërgim L. Vermeegen
? ??, PhD.

Email address

urn:mace:dir:attribute-def:mail
urn:oid:0.9.2342.19200300.100.1.3

 

RFC4524

RFC-5322 address
(max 256 chars)

m.l.vermeegen@university.example.org
"very.unusual.@.unusual.com"@example.com
<ac:structured-macro ac:name="unmigrated-wiki-markup" ac:schema-version="1" ac:macro-id="c21afd4dd06be825-477fe023-46b04492-a0649452-d8768ee4b77a21af9edddcb1"><ac:plain-text-body><![CDATA[mlv@[IPv6:2001:db8::1234:4321]

]]></ac:plain-text-body></ac:structured-macro>

Organization

urn:mace:terena.org:attribute-def:schacHomeOrganization
urn:oid:1.3.6.1.4.1.25178.1.2.9

 

Schac

RFC-1035 domain string

university.example.org
 

Organization Type

urn:mace:terena.org:attribute-def:schacHomeOrganizationType
urn:oid:1.3.6.1.4.1.25178.1.2.10

 

Schac

RFC-2141 URN
see Schac standard

urn:mace:terena.org:schac:homeOrganizationType:int:university
urn:mace:terena.org:schac:homeOrganizationType:es:opi

Affiliation

urn:mace:dir:attribute-def:eduPersonAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.1

 

eduPerson

Enum type (UTF8 String)

faculty, student, staff, (alumalumn, member, affiliate, employee, library-walk-in)

Entitlement

urn:mace:dir:attribute-def:eduPersonEntitlement
urn:oid:1.3.6.1.4.1.5923.1.1.1.7

 

eduPerson

RFC-2141 URN
Multi-valued

to be determined per service

PrincipalName

urn:mace:dir:attribute-def:eduPersonPrincipalName
urn:oid:1.3.6.1.4.1.5923.1.1.1.6

 

eduPerson

UTF8 String
user@domain

not.a@vålîd.émail.addreß
??@aninstitutionname

isMemberOf

urn:mace:dir:attribute-def:isMemberOf
urn:oid:1.3.6.1.4.1.5923.1.5.1.1

 

eduMember

RFC-2141 URN
Multi-valued

urn:collab:org:surf.nl
urn:collab:org:clarin.org

uid

urn:mace:dir:attribute-def:uid
urn:oid:0.9.2342.19200300.100.1.1

 

RFC4519

UTF8 String
(max 256 chars)

s9603145
flåp@example.edu

preferredLanguage

urn:mace:dir:attribute-def:preferredLanguage
urn:oid:2.16.840.1.113730.3.1.39

 

RFC2798
BCP47

List of BCP47 language tags

nl
nl, en-gb;q=0.8, en;q=0.7

eduPersonTargetedID

urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

 

eduPerson

UTF8 string
(unbounded)

24d66f51ac1c0b140e617af335b9abb4b8d88a5b

Note that not all identity providers might make all attributes available.

Detailed attribute descriptions

ID

...

Gedetailleerde beschrijvingen van de attributen

ID

Zie de paragraaf Identifiers van een gebruiker.

Surname

urn:mace

urn:mace:dir:attribute-def:sn

urn:oid

urn:oid:2.5.4.4

Multiplicity

single-valued

Description

The surname of a person (including any words such as "van", "de", "von" etc.) used for personalisation; this can be a combination of existing attributes.

Notes Beschrijving 

De achternaam van een gebruiker(inclusief woorden als 'van', 'de', 'von' etc.) die wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen.

Opmerkingen 

 

Given name

urn:mace

urn:mace:dir:attribute-def:givenName

urn:oid

urn:oid:2.5.4.42

Multiplicity

single-valued

Description Beschrijving 

Given name Voornaam / "'name known by"; combinations of title, initials, and "name known by" are possible. Notes '; combinatie van titel, initialen, en 'name known by' zijn mogelijk.

Opmerkingen 

 

Common name

urn:mace

urn:mace:dir:attribute-def:cn

urn:oid

urn:oid:2.5.4.3

Multiplicity

multi-valued

Description Beschrijving 

Full name Volledige naam.

Notes

For example, a typical name of a person in an English-speaking country comprises a personal title (e.g. Mr., Ms., Rd, Professor, Sir, Lord), a first name, middle name(s), last name, generation qualifier (if any, e.g. Jr.) and decorations and awards (if any, e.g. Opmerkingen 

Bijvoorbeeld: een gebruikersnaam in een Engelssprekend land bevat een persoonlijke titel (bijvoorbeeld dhr., mw., professor, mijnheer, Lord), een voornaam, 2e (en verdere) naam, achternaam, kwalificatie van de generatie (als die er is, bijvoorbeeld Jr.) en onderscheidingen en prijzen (als die er zijn; bijvoorbeeld een onderscheiding Commander of the Order of the British Empire, CBE).

Display name

urn:mace

urn:mace:dir:attribute-def:displayName

urn:oid

urn:oid:1.3.6.1.4.1.1466.115.121.1.15

Multiplicity

single-valued

Description

Name as displayed in applications

Notes

 This attribute can typically be changed by the end-users themselves, and is therefore not very suitable for identification

Beschrijving 

Naam zoals weergegeven in applicaties.

Opmerkingen

Gebruikers veranderen dit attribuut normaal gesproken zelf. Daarom is deze niet geschikt voor identificatie.

Email address

urn:mace

urn:mace:dir:attribute-def:mail

urn:oid

urn:oid:0.9.2342.19200300.100.1.3

Multiplicity

multi-valued

Description Beschrijving 

e-mail addressmailadres; syntax in accordance with overeenstemming met RFC 5322.

Notes

  • Multiple email addresses are allowed
  • An email address is not necessarily the email address of this person at the institution.
  • Do not use this attribute to uniquely identify a user.  Use the NameId  instead.
  • A user's email address may change over time, or an IdP may allow a user to change this value themselves. This makes that attribute unsuitable for authentication and authorization purposes

    Opmerkingen 

    • Meerdere e-mailadressen zijn toegestaan.
    • Het e-mailadres hoeft niet noodzakelijk het e-mailadres van de gebruiker bij de organisatie te zijn.
    • Gebruik dit attribuut niet om een gebruiker uniek te identificeren. Gebruik daarvoor het NameID.
    • Het e-mailadres van een gebruiker kan na verloop van tijd veranderen, of je kunt een gebruiker toestaan om deze zelf te veranderen. Dit maakt het attribuut ongeschikt voor authenticatie- en autorisatiedoeleinden.

    uid

    urn:mace

    urn:mace:dir:attribute-def:uid

    urn:oid

    urn:oid:1.3.6.1.4.1.1466.115.121.1.15

    Multiplicity

    multi-valued

    Description

    The unique code for a person that is used as the login name within the institution.

    Notes

  • The uid is not a unique identifier for SURFconext users.  Uid values are at most unique for each IdP.
  • Ideally the uid is not only a login name/code but also an identifier that is guaranteed as being unique within the institution over the course of time. At the moment, there is no such guarantee.
  • Use the NameId for unique identifiers in SURFconext rather than uid.
  • Use the eduPersonPrincipalName attribute if a human-readable unique identifier is required
  • A uid may contain any unicode character. E.g., "

    Beschrijving  

    De unieke code voor een persoon, die als inlognaam wordt gebruikt binnen een organisatie.

    Opmerkingen

    • Het uid is geen unieke identifier voor gebruikers van SURFconext. Uid-waarden zijn hoogstens uniek voor elke Identity Provider.
    • In het ideale geval is de uid niet alleen een inlognaam/-code, maar ook een identifier die gegarandeerd uniek is binnen een organisatie. Op dit moment is zo'n garantie er echter niet.
    • Gebruik liever het NameID voor unieke identifiers binnen SURFconext dan het uid.
    • Gebruik het eduPersonPrincipalName-attribuut als een door mensen leesbare unieke identifier nodig is.
    • Een uid kan elk unicodeteken bevatten. Bijvoorbeeld: 'org:surfnet.nl:joe von stühl" ' is a valid een geldig uid.
    • SURFconext translates vertaalt @-characters tekens in the het uid to underscores.  Yes, this means that uids are not guaranteed to be uniquenaar underscores. Dit betekent dat uid's niet gegarandeerd uniek zijn.

    Home organisation

    urn:mace

    urn:mace:terena.org:attribute-def:schacHomeOrganization

    urn:oid

    urn:oid:1.3.6.1.4.1.25178.1.2.9

    Multiplicity

    single-valued

    Description

    The user's organisation using the organisation's domain name; syntax in accordance with Beschrijving 

    De organisatie van de gebruiker gebruikt de domeinnaam van de organisatie; syntax in overeenstemming met RFC 1035. 

    Notes

     In the past, SURFconext used to send the home organisation in the attribute

    Opmerkingen 

    In het verleden stuurde SURFconext vaak de 'home organisation' in het attribuut urn:oid:1.3.6.1.4.1.1466.115.121.1.15,

    which

    wat incorrect was

    incorrect

    .

      Since 2013, the correct

    Sinds 2013 is het correcte oid urn:oid:1.3.6.1.4.1.25178.1.2.9

    is

    in

    use.  For reasons of compatibility, the old (wrong) key is also still sent.  It should not be used in new implementations

    gebruik. Om redenen van compatibiliteit wordt de oude (verkeerde) string ook nog steeds opgestuurd. Deze moet niet worden gebruikt in nieuwe implementaties.

    Organization type

    urn:mace

    urn:mace:terena.org:attribute-def:schacHomeOrganizationType

    urn:oid

    urn:oid:1.3.6.1.4.1.25178.1.2.10

    Multiplicity

    single-value

    Description

    designation of the type of organisation as defined on Beschrijving 

    Naam van het type organisatie zoals gedefinieerd op http://www.terena.org/registry/terena.org/schac/homeOrganizationType

    Notes Opmerkingen 

    • Attribute values are registered by Terena on Terena registreert de attribuutwaarde op http://www.terena.org/registry/terena.org/schac/homeOrganizationType
    • The only allowed values in use in SURFconext are "affiliate", "student" and "employee."
    • In practice, this attribute is not in use.
    • De enige toegestane waarden binnen SURFconext zijn 'affiliate', 'student' en 'werknemer'.
    • In de praktijk is dit attribuut niet in gebruik.

    Affiliation

    urn:mace

    urn:mace:dir:attribute-def:eduPersonAffiliation

    urn:oid

    urn:oid:1.3.6.1.4.1.5923.1.1.1.1

    Multiplicity

    multi-valued

    Description

    Indicates the relationship between the user and his home organisation.  The following values are permitted Beschrijving

    Geeft de relatie aan tussen de gebruiker en zijn thuisnetwerk. De volgende waarden zijn toegestaan:

    • student — student
    • employeeall employeesalle werknemers
    • staffacademic staffacademische staf

    Notes

    Identity providers might internally use additional values for the affilication attribute, such as alum or affiliate.  Per SURFconext policy, such users are not allowed access to SURFconext.
    (warning) The attribute values are case senitive! Opmerkingen 

    Identity Providers kunnen intern aanvullende waarden gebruiken voor het affiliation-attribuut, zoals alumnus of affiliate. Volgens het beleid van SURFconext krijgen die gebruikers geen toegang tot SURFconext.

    (warning)  De waardes van dit attribuut zijn hoofdlettergevoelig! 'Employee' is dus fout (dat moet 'employee' zijn).

    Entitlements

    urn:mace

    urn:mace:dir:attribute-def:eduPersonEntitlement

    urn:oid

    urn:oid:1.3.6.1.4.1.5923.1.1.1.7

    Multiplicity

    multi-value

    Description Beschrijving 

    entitlement rechten; custom URI (URL or of URN) that indicates an entitlement to somethingdie aangeeft welke rechten een gebruiker heeft.

    Notes

  • This attribute can be used to communicate entitlements, roles, etc, from identity providers to services, which can be used, for example, for authorization.
  • The values of this attribute are scoped to the identity provider that is authoritative for the attribute.  See also the SURFconext entitlement namespacing policy.

    Opmerkingen 

    • Dit attribuut kan gebruikt worden om rechten, rollen, enzovoort van Identity Providers door te geven aan diensten, zodat ze bijvoorbeeld gebruikt kunnen worden voor autorisatie.
    • De Identity Provider die geautoriseerd is voor dit attribuut bepaalt de waarde ervan.

    Principle name

    urn:mace

    urn:mace:dir:attribute-def:eduPersonPrincipalName

    urn:oid

    urn:oid:1.3.6.1.4.1.5923.1.1.1.6

    Multiplicity

    single-valued

    Description Beschrijving 

    Unique identifier for a user Unieke identifier voor een gebruiker.  

    Notes

  • Although this value resembles an email address, it MUST NOT be used as an email address. In many cases mail cannot be delivered to this "address".
  • Even though this value uniquely identifies a user, it is not guaranteed that it is persistent over sessions (even though it usually is).
  • Do not use this to uniquely identify users.  Use the NameId instead

    Opmerkingen

    • Deze waarde lijkt op een e-mailadres. Toch moet ze NIET gebruikt worden als e-mailadres. Meestal kan e-mail niet aan dit 'adres' gestuurd worden.
    • Hoewel deze waarde een gebruiker uniek identificeert, is het niet gegarandeerd dat de waarde ervan in alle gevallen vast blijft. Gebruik dit attribuut daarom niet om gebruikers uniek te identificeren. Gebruik in plaats daarvan het NameID.

    isMemberOf

    urn:mace

    urn:mace:dir:attribute-def:isMemberOf

    urn:oid

    urn:oid:1.3.6.1.4.1.5923.1.5.1.1

    Multiplicity

    multi-valued

    Description

    Lists the collaborative organisations the user is a member of.

    Notes

  • Attribute values are URIs (URN or URL)
  • Only current supported value

    Beschrijving 

    Somt de samenwerkende organisaties op waarvan de gebruiker lid is.

    Opmerkingen 

    • Attribuutwaarden zijn URI's (URN of URL).
    • De enige waarde die momenteel ondersteund wordt, is urn:collab:org:surf.nl, which indicated that the user's home institution is a member of SURFnetIn the future, this can be used to determine membership of non-institutional collaborative organisationsdie aangeeft dat het thuisnetwerk van de gebruiker lid is van SURFnet.
    • In de toekomst kan dit attribuut gebruikt worden om te bepalen of een gebruiker lid is van een samenwerkingsorganisatie.

    Preferred Language

    urn:mace

    urn:mace:dir:attribute-def:preferredLanguage

    urn:oid

    urn:oid:2.16.840.1.113730.3.1.39

    Multiplicity

    single-valued

    Description

    a two-letter abbreviation for the preferred language according to the ISO 639 language abbreviation code table; no subcodes.

    Notes

    Used to indicate an individual's preferred written or spoken language. This is useful for international correspondence or human-computer interaction. Values for this attribute type MUST conform to the definition of the Beschrijving 

    Een afkorting van 2 letters voor de voorkeurstaal volgens de ISO 639 codetabel; geen subcodes.

    Opmerkingen 

    Wordt gebruikt om aan te geven aan welke geschreven of gesproken taal de gebruiker de voorkeur geeft. Dit is nuttig voor internationale correspondentie of mens-computer-interactie. Waarden voor dit attribuuttype MOETEN overeenkomen met de definitie van het 'Accept-Language header field defined ' in RFC 2068 with one exception: ?the value ":" should be omitted.  , met 1 uitzondering: de waarde ':' moet worden weggelaten.

    EduPersonTargetedID

    urn:mace

    urn:mace:dir:attribute-def:eduPersonTargetedID

    urn:oid

    urn:oid:1.3.6.1.4.1.5923.1.1.1.10

    Multiplicity

    single-valued

    Description

    Automatically generated (and overwritten) by SURFconext with a copy from Subject -> NameID

    Notes

    This attribute is specified because Subject -> NameID is not part of the SAML 2.0 response Beschrijving 

    Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID welke door SURFconext zelf wordt gezet. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext.

    Opmerkingen 

    Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken.