Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

SURFconext kan 2 verschillende typen NameID’s NameID's genereren:

  • een 'persistent' NameID: Deze bevat een willekeurige unieke code om de gebruiker voor deze Service Provider uniek te identificeren. Deze blijft staan tijdens verschillende sessies van dezelfde gebruiker met dezelfde dienst.
  • een 'transient' NameID: Deze bevat een willekeurige unieke code om de gebruiker voor deze Service Provider uniek te identificeren tijdens de sessie. Wanneer de gebruikerssessie bij SURFconext verloopt en de gebruiker opnieuw inlogt op een dienst, wordt een nieuwe tijdelijke NameID gegenereerd. Persistent en transient identifiers zien er uit als een 40 tekens lange hexadecimale string bijvoorbeeld: ‘bd09168cf0c2e675b2def0ade6f50b7d4bb4aaef’'bd09168cf0c2e675b2def0ade6f50b7d4bb4aaef'. Deze vorm kan echter in de toekomst veranderen.

...

Attributenschema's

SURFconext ondersteunt 2 attributenschema’sattributenschema's: het urn:oid schema en het urn:mace schema. Beide brengen dezelfde informatie over. SURFconext voorziet in attributen voor beide schema’s schema's als deel van de SAML-assertion. We raden af om beide schema’s schema's tegelijk te gebruiken, maar om redenen van legacy biedt SURFconext beide aan.

...

Omschrijving 

Attribuutnaam

S/M

Definitie 

Data type

Voorbeeld 

ID

(NameID)
urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

 

eduPerson

UTF8 string
(unbounded)

bd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Surname

urn:mace:dir:attribute-def:sn
urn:oid:2.5.4.4

 

X.520

UTF8 string
(unbounded)

Vermeegen
?

Given name

urn:mace:dir:attribute-def:givenName
urn:oid:2.5.4.42

 

X.520

UTF8 string
(unbounded)

Mërgim Lukáš
??

Common name

urn:mace:dir:attribute-def:cn
urn:oid:2.5.4.3

 

X.520

UTF8 String
(unbounded)

Prof.dr. Mërgim Lukáš Vermeegen
? ??, PhD.

Display name

urn:mace:dir:attribute-def:displayName
urn:oid:2.16.840.1.113730.3.1.241

 

RFC2798

UTF8 String
(unbounded)

Prof.dr. Mërgim L. Vermeegen
? ??, PhD.

Email address

urn:mace:dir:attribute-def:mail
urn:oid:0.9.2342.19200300.100.1.3

 

RFC4524

RFC-5322 address
(max 256 chars)

m.l.vermeegen@university.example.org
"very.unusual.@.unusual.com"@example.com
mlv@[IPv6:2001:db8::1234:4321]

Organization

urn:mace:terena.org:attribute-def:schacHomeOrganization
urn:oid:1.3.6.1.4.1.25178.1.2.9

 

Schac

RFC-1035 domain string

university.example.org
 

Organization Type

urn:mace:terena.org:attribute-def:schacHomeOrganizationType
urn:oid:1.3.6.1.4.1.25178.1.2.10

 

Schac

RFC-2141 URN
see Schac standard

urn:mace:terena.org:schac:homeOrganizationType:int:university
urn:mace:terena.org:schac:homeOrganizationType:es:opi

Employee/student number

urn:schac:attribute-def:schacPersonalUniqueCode
urn:oid:1.3.6.1.4.1.25178.1.2.14

 

Schac

RFC-2141 URN
zie SURFnet registry
urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456
urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567

Affiliation

urn:mace:dir:attribute-def:eduPersonAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.1

 

eduPerson

Enum type (UTF8 String)

employee, student, staff, member (alum, affiliate, faculty, library-walk-in zijn niet toegestaan)

Scoped affiliationurn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oid:1.3.6.1.4.1.1466.115.121.1.15
 eduPersonUTF8 String 
user@domain
student@physics.uniharderwijk.nl
employee@facilities.uniharderwijk.nl

Entitlement

urn:mace:dir:attribute-def:eduPersonEntitlement
urn:oid:1.3.6.1.4.1.5923.1.1.1.7

 

eduPerson

RFC-2141 URN
Multi-valued

to be determined per service (see Standardized values for eduPersonEntitlement)

PrincipalName

urn:mace:dir:attribute-def:eduPersonPrincipalName
urn:oid:1.3.6.1.4.1.5923.1.1.1.6

 

eduPerson

UTF8 String
user@domain

not.a@vålîd.émail.addreß
??@aninstitutionname

isMemberOf

urn:mace:dir:attribute-def:isMemberOf
urn:oid:1.3.6.1.4.1.5923.1.5.1.1

 

eduMember

RFC-2141 URN
Multi-valued

urn:collab:org:surf.nl
urn:collab:org:clarin.org

uid

urn:mace:dir:attribute-def:uid
urn:oid:0.9.2342.19200300.100.1.1

 

RFC4519

UTF8 String
(max 256 chars)

s9603145
flåp@example.edu

preferredLanguage

urn:mace:dir:attribute-def:preferredLanguage
urn:oid:2.16.840.1.113730.3.1.39

 

RFC2798
BCP47

List of BCP47 language tags

nl
nl, en-gb;q=0.8, en;q=0.7

eduPersonTargetedID

urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

 

eduPerson

UTF8 string
(unbounded)

24d66f51ac1c0b140e617af335b9abb4b8d88a5b

...

urn:mace

urn:mace:dir:attribute-def:uid

urn:oid

urn:oid:0.9.2342.19200300.100.1.1

Multiplicity

multi-valued

Beschrijving  

De unieke code voor een persoon, die als inlognaam wordt gebruikt binnen een organisatie.

Opmerkingen

  • Het uid is geen unieke identifier voor gebruikers van SURFconext. Uid-waarden zijn hoogstens uniek voor elke Identity Provider.
  • In het ideale geval is de uid niet alleen een inlognaam/-code, maar ook een identifier die gegarandeerd uniek is binnen een organisatie. Op dit moment is zo’n zo'n garantie er echter niet.
  • Gebruik liever het NameID voor unieke identifiers binnen SURFconext dan het uid.
  • Gebruik het eduPersonPrincipalName-attribuut als een door mensen leesbare unieke identifier nodig is.
  • Een uid kan elk unicodeteken bevatten. Bijvoorbeeld: 'org:surfnet.nl:joe von stühl' is een geldig uid.
  • SURFconext vertaalt @-tekens in het uid naar underscores. Dit betekent dat uid’s uid's niet gegarandeerd uniek zijn.

...

urn:mace

urn:mace:terena.org:attribute-def:schacHomeOrganization

urn:oid

urn:oid:1.3.6.1.4.1.25178.1.2.9

Multiplicity

single-valued

Beschrijving 

De organisatie van de gebruiker gebruikt de domeinnaam van de organisatie; syntax in overeenstemming met RFC 1035. 

Opmerkingen 

In het verleden stuurde SURFconext vaak de ‘home organisation’ 'home organisation' in het attribuut urn:oid:1.3.6.1.4.1.1466.115.121.1.15, wat incorrect was. Sinds 2013 is het correcte oid urn:oid:1.3.6.1.4.1.25178.1.2.9 in gebruik. Om redenen van compatibiliteit wordt de oude (verkeerde) string ook nog steeds opgestuurd. Deze moet niet worden gebruikt in nieuwe implementaties.

...

urn:mace

urn:mace:dir:attribute-def:isMemberOf

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Multiplicity

multi-valued

Beschrijving 

Somt de samenwerkende organisaties op waarvan de gebruiker lid is.

Opmerkingen 

  • Attribuutwaarden zijn URI’s URI's (URN of URL).
  • De enige waarde die momenteel ondersteund wordt, is urn:collab:org:surf.nl, die aangeeft dat het thuisnetwerk van de gebruiker lid is van SURFnet.
  • In de toekomst kan dit attribuut gebruikt worden om te bepalen of een gebruiker lid is van een samenwerkingsorganisatie.

...