Binnen de federatie verwachten de deelnemers (instellingen en leveranciers) alleen gebruikers die actief zijn binnen het onderwijs; dus b.v. studenten en docenten. Ook verwachten de deelnemers te kunnen vertrouwen op de identiteit (een account is herleidbaar naar een natuurlijk persoon) en dat de identiteit de juiste attributen heeft (en een student bijvoorbeeld geen identiteit kan gebruiken met daarin het attribuut 'docent'). Vanwege deze spelregels vindt u op deze pagina informatie over eisen aan identiteiten.
Definitie
Definitie van 'Gebruiker' (uit: Bijlage IX SURFconext)
als Gebruiker wordt aangemerkt:
|
Productieaccounts
SURFnet stelt een aantal eisen aan het managen van identiteiten binnen een organisatie:
- De identiteit van een gebruiker moet uniek zijn binnen de organisatie die de identiteit beheert.
- De identiteit van een gebruiker moet herleidbaar zijn naar een verantwoordelijk natuurlijk persoon.
- Identiteiten van gebruikers moeten actueel zijn.
- De gegevens over de identiteit moeten volledig zijn.
- De organisatie moet ervoor zorgen dat identiteiten alleen worden toegekend aan de juiste gebruikers, zoals deze staan vermeld in de SURFnet Gebruikersovereenkomst.
- De organisatie moet ervoor zorgen dat alleen identiteiten die gekoppeld zijn aan gebruikers die voldoen aan de eisen uit de SURFnet Gebruikersovereenkomst, toegang hebben tot SURFconext (personen die werkzaam of studerend zijn binnen jouw organisatie).
- Waardes voor attributen moeten juist zijn, bijvoorbeeld de relatie die een gebruiker met zijn instelling heeft (zie "eduPersonAffiliation").
- Op verzoek van Service Providers moet het registratieproces van identiteiten inzichtelijk worden gemaakt.
Testaccounts
Testaccounts binnen SURFconext zijn toegestaan wanneer ze voldoen aan de volgende eisen:
- Voldoen aan de definitie van 'Gebruiker'
- Voldoen aan de eisen voor 'Productieaccounts'
- Dus:
- Een testaccount dat 'hard' aan een specifiek persoon is gekoppeld en naar één persoon herleidbaar is, is toegestaan.
- Uit het account moet blijken bij wie het testaccount hoort (testaccounts mogen niet gedeeld worden).
- De rechten van het testaccount (bijvoorbeeld: affiliation) mogen niet anders zijn dan de rechten die die de gebruiker normaliter heeft. Voorbeeld: een student mag geen testaccount hebben die attributen bezit die normaliter enkel docenten hebben.
- Bij accounts die in de loop van de tijd worden doorgegeven aan een ander, moet bij overdracht minimaal het wachtwoord worden gewijzigd, zodat de 'vorige gebruiker' het account niet kan gebruiken.