Als een gebruiker wil inloggen bij een dienst via SURFconext wordt deze doorgestuurd naar de loginpagina van zijn organisatie. Soms wil de Service Provider graag weten wie die gebruiker is, zodat hij de dienst kan personaliseren (welkom Jan Jansen) of autorisaties kan uitvoeren (bijvoorbeeld ander aanbod voor student / medewerker). De informatie die de Service Provider hiervoor nodig heeft, noemen we ook wel attributen. Deze attributen worden vanuit de organisatie, via SURFconext aan de Service Provider doorgegeven. Elk attribuut bevat een bepaalde waarde die iets zegt over de gebruiker, bijvoorbeeld een naam of een e-mailadres.
Het vrijgeven van attributen moet je instellen op jouw Identity Provider-systeem.
Verplicht
Je moet in elk geval de 2 onderstaande attributen vrijgeven als je toegang wilt krijgen tot SURFconext:
urn:mace:dir:attribute-def:uid
De unieke code waarmee de gebruiker inlogt bij zijn organisatie (bijvoorbeeld s12489345)urn:mace:terena.org:attribute-def:schacHomeOrganization
De organisatie waarvan de gebruiker lid is; in domeinnaamformaat (bijvoorbeeld surfnet.nl).
Wenselijk
Daarnaast is het wenselijk (maar niet verplicht) om de volgende attributen vrij te geven:
urn:mace:dir:attribute-def:displayName
Een weergavenaam voor de gebruiker die de gebruiker vaak zelf kan wijzigen.urn:mace:dir:attribute-def:mail
E-mailadres van de gebruiker.
Voor een complete lijst met mogelijke attributen, zie Attributen in SURFconext.
De lijst op deze pagina geeft aan welke attributen je minimaal moet vrijgeven om toegang te krijgen tot SURFconext. Maar vrijwel elke dienst op SURFconext gebruikt meer (of andere) attributen dan deze 2. Binnenkort zullen wij op deze pagina aangeven welke attributen het meest gebruikt worden door Service Providers.
Hoe het vrijgeven van attributen werkt voor de meest voorkomende Identity Management systemen, kun je lezen op de volgende pagina's:
- simpleSAMLphp
- ADFS 2.0
- NetIQ Access Manager