Vertaling
Let op! Deze pagina is een vertaling van de Engelstalige pagina Attributes in SURFconext . De Engelstalige pagina is het meest up-to-date, en in het geval dat de Nederlandstalige en de Engelstalige pagina elkaar tegenspreken, is de Engelstalige pagina autoritief.
Lees dus bij voorkeur de Engelstalige versie van deze pagina.
Als een gebruiker inlogt op een Service Provider, stuurt SURFconext een zogenaamde SAML-assertion naar de Service Provider. Deze SAML-assertion bevat een aantal uitspraken over de gebruiker die inlogt, waaronder zijn identiteit en mogelijk een aantal andere attributen (zie het attributenoverzicht hierna).
De SAML2-implementatie van SURFconext voldoet aan het SAML2int profiel.
Op deze pagina leggen we uit welke attributen SURFconext en zijn Identity Providers kunnen bieden voor de diensten.
Identifiers van een gebruiker
Binnen de SAML-assertion wordt de identiteit van een gebruiker doorgestuurd in de vorm van een NameID-element. Het NameID is gegarandeerd stabiel en onveranderlijk voor een gebruiker (behalve in gevallen van transient identifiers, zie hieronder). Identity Providers moeten een NameID meesturen, maar SURFconext genereert zelf voor elke identiteit een nieuwe NameID. Wij bevelen sterk aan dat Service Providers het NameID gebruiken om gebruikers uniek te identificeren (in plaats van een e-mailadres of andere attributen die kunnen veranderen).
SURFconext kan 2 verschillende typen NameID’s genereren:
- een 'persistent' NameID: Deze bevat een willekeurige unieke code om de gebruiker voor deze Service Provider uniek te identificeren. Deze blijft staan tijdens verschillende sessies van dezelfde gebruiker met dezelfde dienst.
- een 'transient' NameID: Deze bevat een willekeurige unieke code om de gebruiker voor deze Service Provider uniek te identificeren tijdens de sessie. Wanneer de gebruikerssessie bij SURFconext verloopt en de gebruiker opnieuw inlogt op een dienst, wordt een nieuwe tijdelijke NameID gegenereerd. Persistent en transient identifiers zien er uit als een 40 tekens lange hexadecimale string bijvoorbeeld: ‘bd09168cf0c2e675b2def0ade6f50b7d4bb4aaef’. Deze vorm kan echter in de toekomst veranderen.
De 2 ondersteunde NameID-types, respectievelijk voor persistent en transient NameID-aanduidingen, :
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Attributenschema's
SURFconext ondersteunt 2 attributenschema’s: het urn:oid
schema en het urn:mace
schema. Beide brengen dezelfde informatie over. SURFconext voorziet in attributen voor beide schema’s als deel van de SAML-assertion. We raden af om beide schema’s tegelijk te gebruiken, maar om redenen van legacy biedt SURFconext beide aan.
Attributenoverzicht
SURFconext ondersteunt het vrijgeven van de volgende attributen:
Omschrijving | Attribuutnaam | S/M | Definitie | Data type | Voorbeeld |
---|---|---|---|---|---|
(NameID) |
| UTF8 string | bd09168cf0c2e675b2def0ade6f50b7d4bb4aae | ||
| UTF8 string | Vermeegen | |||
| UTF8 string | Mërgim Lukáš | |||
| UTF8 String | Prof.dr. Mërgim Lukáš Vermeegen | |||
urn:mace:dir:attribute-def:displayName |
| UTF8 String | Prof.dr. Mërgim L. Vermeegen | ||
urn:mace:dir:attribute-def:mail |
| RFC-5322 address | m.l.vermeegen@university.example.org | ||
urn:mace:terena.org:attribute-def:schacHomeOrganization |
| RFC-1035 domain string | university.example.org | ||
urn:mace:terena.org:attribute-def:schacHomeOrganizationType |
| RFC-2141 URN | urn:mace:terena.org:schac:homeOrganizationType:int:university | ||
urn:mace:dir:attribute-def:eduPersonAffiliation |
| Enum type (UTF8 String) | employee, student, staff, member (alum, affiliate, faculty, library-walk-in zijn niet toegestaan) | ||
urn:mace:dir:attribute-def:eduPersonEntitlement |
| RFC-2141 URN | to be determined per service (see Standardized values for eduPersonEntitlement) | ||
urn:mace:dir:attribute-def:eduPersonPrincipalName |
| UTF8 String | not.a@vålîd.émail.addreß | ||
urn:mace:dir:attribute-def:isMemberOf |
| RFC-2141 URN | urn:collab:org:surf.nl | ||
urn:mace:dir:attribute-def:uid |
| UTF8 String | s9603145 | ||
urn:mace:dir:attribute-def:preferredLanguage |
| List of BCP47 language tags | nl | ||
eduPersonTargetedID | urn:mace:dir:attribute-def:eduPersonTargetedID |
| UTF8 string | 24d66f51ac1c0b140e617af335b9abb4b8d88a5b |
Gedetailleerde beschrijvingen van de attributen
ID
Zie de paragraaf Identifiers van een gebruiker.
Surname
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | De achternaam van een gebruiker(inclusief woorden als 'van', 'de', 'von' etc.) die wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen. |
Opmerkingen |
|
Given name
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | Voornaam / 'name known by'; combinatie van titel, initialen, en 'name known by' zijn mogelijk. |
Opmerkingen |
|
Common name
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Beschrijving | Volledige naam. |
Opmerkingen | Bijvoorbeeld: een gebruikersnaam in een Engelssprekend land bevat een persoonlijke titel (bijvoorbeeld dhr., mw., professor, mijnheer, Lord), een voornaam, 2e (en verdere) naam, achternaam, kwalificatie van de generatie (als die er is, bijvoorbeeld Jr.) en onderscheidingen en prijzen (als die er zijn; bijvoorbeeld een onderscheiding Commander of the Order of the British Empire, CBE). |
Display name
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | Naam zoals weergegeven in applicaties. |
Opmerkingen | Gebruikers veranderen dit attribuut normaal gesproken zelf. Daarom is deze niet geschikt voor identificatie. |
Email address
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Beschrijving | e-mailadres; syntax in overeenstemming met RFC 5322. |
Opmerkingen |
|
uid
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Beschrijving | De unieke code voor een persoon, die als inlognaam wordt gebruikt binnen een organisatie. |
Opmerkingen |
|
Home organisation
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | De organisatie van de gebruiker gebruikt de domeinnaam van de organisatie; syntax in overeenstemming met RFC 1035. |
Opmerkingen | In het verleden stuurde SURFconext vaak de ‘home organisation’ in het attribuut |
Organization type
urn:mace | |
urn:oid | |
Multiplicity | single-value |
Beschrijving | Naam van het type organisatie zoals gedefinieerd op http://www.terena.org/registry/terena.org/schac/homeOrganizationType |
Opmerkingen |
|
Affiliation
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Beschrijving | Geeft de relatie aan tussen de gebruiker en zijn thuisnetwerk. De volgende waarden zijn toegestaan:
|
Opmerkingen |
|
Entitlements
urn:mace | |
urn:oid | |
Multiplicity | multi-value |
Beschrijving | rechten; een URI (URL of URN) die aangeeft welke rechten een gebruiker heeft. |
Opmerkingen |
|
Principal name
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | Unieke identifier voor een gebruiker. |
Opmerkingen |
|
isMemberOf
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Beschrijving | Somt de samenwerkende organisaties op waarvan de gebruiker lid is. |
Opmerkingen |
|
Preferred Language
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | Een afkorting van 2 letters voor de voorkeurstaal volgens de ISO 639 codetabel; geen subcodes. |
Opmerkingen | Wordt gebruikt om aan te geven aan welke geschreven of gesproken taal de gebruiker de voorkeur geeft. Dit is nuttig voor internationale correspondentie of mens-computer-interactie. Waarden voor dit attribuuttype MOETEN overeenkomen met de definitie van het 'Accept-Language header field' in RFC 2068, met 1 uitzondering: de waarde ':' moet worden weggelaten. |
EduPersonTargetedID
urn:mace | urn:mace:dir:attribute-def:eduPersonTargetedID |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.10 |
Multiplicity | single-valued |
Beschrijving | Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID welke door SURFconext zelf wordt gezet. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext. |
Opmerkingen | Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken. |
EduPersonUserCredentials
1 april! | SURFconext geeft nooit dergelijke informatie door. Gevoelige gebruikersinformatie zoals wachtwoorden is lokaal opgeslagen bij de instelling en wordt nooit met derden gedeeld. Dit is juist de kracht van SURFconext. |