Versions Compared

Old Version 111

changes.mady.by.user Thijs Kinkhorst

Saved on

compared with

New Version 112

changes.mady.by.user André Klaver

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Warning
titleOpmerking

De attributen NameID (indien geconfigureerd als persistent) en eduPersonTargetedID, wat feitelijk een kopie is van het NameID, zijn onveranderlijk maar dit is zo tot op zekere hoogte. In sommige gevallen kan het zijn dat er door een service provider of een identity provider keuzes gemaakt worden die er voor zorgen dat het NameID toch wijzigt. Het NameID, zoals gebruikt in de SAML assertion naar de service provider bij het aanmelden op de dienst, is een samenstelling van de attributen uid, schacHomeOrganization, het Entity ID van de service provider samen met een geheim wat gebruik maakt van een SHA algoritme. Als een instelling of dienstverlener er voor kiest bij een dienst die al in productie is één van deze attributen aan te passen zal het er toe leiden dat SURFconext een nieuw NameID en eduPersonTargetedID gaat genereren. Dit kan tot gevolg hebben dat gebruikers geen toegang meer hebben tot hun profielen bij diensten. Als wij zien dat een instelling dan wel dienstverlener voornemens is één van deze attributen aan te passen zullen wij dit ter sprake brengen en ze wijzen op de gevolgen.

Veranderen van attributen

Als Identity Provider is het belangrijk je te beseffen dat het veranderen van attributen in productie op SURFconext op wat voor manier ook invloed kan hebben op de diensten waar gebruikers toegang toe hebben. Attributen die je aan SURFconext aanbiedt, worden gebruikt om profielen aan te maken, waaraan vaak gegevens worden gekoppeld. Het veranderen van een attribuut kan ongewenste resultaten hebben, zoals gebruikers die geen toegang meer hebben tot hun waardevolle gegevens. Een voorbeeld hiervan is het aanpassen van de manier waarop je (onder andere) het e-mailadres invult. Bijvoorbeeld: het wijzigen van 'student.123456@university.nl' in 'john.doe@university.nl'. Bent je van plan dit te doen of start je een project waar dit het geval is? Neem dan contact met ons op en stuur een e-mail naar support@surfconext.nl.

Links

  • Tabel met attributen die we onze instellingen aanbevelen om vrij te geven https://wiki.surfnet.nl/display/surfconextdev/Vereiste+attributen
  • Profiel pagina https://profile.surfconext.nl/ , laat zien welke attributen er door uw IdP worden doorgegeven aan SURFconext
  • Voor nieuwe IdP's of voor IdP's die hun omgeving upgraden: systeembeheerders worden op enig moment gevraagd de metadata van hun account te delen voor analyses. Ga dan naar deze pagina en klik op de 'Mail to SURFconext' knop. We nemen contact met u op wanneer we de ingediende metadata hebben beoordeeld. Deze pagina toont u ook de gedeelde attributen.

...

Anchor
authnmethodsreferences
authnmethodsreferences
MS AuthnMethodsReferences

Name

http://schemas.microsoft.com/claims/authnmethodsreferences

Multiplicity

multi-valued

Data type

URI

Beschrijving

De AuthnContext-referenties die betrokken zijn geweest bij de authenticatie van de betreffende user.

Voorbeelden

urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
http://schemas.microsoft.com/claims/multipleauthn

Opmerkingen 

  • Uitsluitend in gebruik tussen IdP's en SURFconext; niet beschikbaar voor SP's.
  • Bedoeld om indien Microsoft ADFS gebruikt wordt, de gebruikte MFA-methode aan SURFconext te communiceren. Niet nodig of nuttig indien deze functionaliteit niet gebruikt wordt door de betreffende instelling.
  • Geen andere toepassingen. Voor vergelijkbare maar generieke SAML 2.0-functionaliteit, zie de AuthnContextClassRef die meegestuurd wordt in elke assertion.