You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 13 Next »

Als een gebruiker wil inloggen bij een dienst via SURFconext wordt deze doorgestuurd naar de loginpagina van zijn organisatie, zodat hij lokaal kan authenticeren. Soms wil de Service Provider graag weten wie die gebruiker is, zodat hij de dienst kan personaliseren (welkom Jan Jansen) of autorisaties kan uitvoeren (bijvoorbeeld ander aanbod voor student / medewerker). De informatie die de Service Provider hiervoor nodig heeft, noemen we ook wel attributen (of claims in de ADFS-wereld). Deze attributen worden vanuit de organisatie, via SURFconext, aan de Service Provider doorgegeven. Elk attribuut bevat een bepaalde waarde die iets zegt over de gebruiker, bijvoorbeeld een naam of een e-mailadres.

Het vrijgeven van attributen moet je instellen op jouw Identity Provider-systeem.

Verplicht

Iedere IdP moet een NameID vrijgeven als je toegang wilt krijgen tot SURFconext: geen attribuut maar een unieke identificatie van de identiteit die geautoriseerd is (bijvoorbeeld een uid of een administratienummer). De precieze waarde van het NameID maakt SURFconext echter niet uit, aangezien SURFconext richting service providers zelf een nieuw NameID genereert.

Daarnaast moet je in elk geval de 2 onderstaande attributen vrijgeven:

  • urn:mace:dir:attribute-def:uid
    De unieke code waarmee de gebruiker inlogt bij zijn organisatie (bijvoorbeeld s12489345)
  • urn:mace:terena.org:attribute-def:schacHomeOrganization
    Een unieke identificatie voor deze organisatie, identiek voor alle gebruikers. Dit is in de vorm van een de door de organisatie geregistreerde domeinnaam, meestal het hoofddomein van de instelling (dus voor gebruikers van Universiteit van Harderwijk wordt dat: uniharderwijk.nl).

Wenselijk

Daarnaast is het wenselijk (maar niet verplicht) om de volgende attributen vrij te geven, omdat die voor veel service providers nodig zijn.

  • urn:mace:dir:attribute-def:eduPersonPrincipalName
    Globaal unieke identifier voor een gebruiker. Deze identifier dient globaal uniek gemaakt te worden dmv van het toevoegen van de in schacHomeOrganization gebruikte domeinnaam. Meestal en bij voorkeur neemt hij het formaat <uid>@<schacHomeOrganization> aan.

  • urn:mace:dir:attribute-def:eduPersonAffiliation
    Of de gebruiker 'student' of 'employee' is. Meerdere waarden voor één gebruiker zijn mogelijk.
  • urn:mace:dir:attribute-def:displayName
    Een weergavenaam voor de gebruiker, bijvoorbeeld "Jan de Vries".
  • urn:mace:dir:attribute-def:sn
    De achternaam van een gebruiker (inclusief woorden als 'van', 'de', 'von' etc.) die wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen.

  • urn:mace:dir:attribute-def:givenName
    Voornaam / 'name known by'; combinatie van titel, initialen, en 'name known by' zijn mogelijk.

  • urn:mace:dir:attribute-def:mail
    E-mailadres van de gebruiker.

Voor een complete lijst met mogelijke attributen en een uitgebreide beschrijving van bovenstaande attributen, zie Attributen in SURFconext.

Overige attributen

SURFconext ondersteunt nog meer attributen. Voor meer informatie zie 'Attributen in SURFconext'

De lijst op deze pagina geeft aan welke attributen je minimaal moet vrijgeven om toegang te krijgen tot SURFconext. Maar vrijwel elke dienst op SURFconext gebruikt meer (of andere) attributen dan deze twee. Binnenkort zullen wij op deze pagina aangeven welke attributen het meest gebruikt worden door Service Providers.

Attributen vrijgeven vanuit IDM-systeem

Hoe het vrijgeven van attributen werkt voor de meest voorkomende Identity Management systemen, kun je lezen op de volgende pagina’s:

  • No labels