Iedereen kan een eduID aanmaken en zijn eigen gegevens beheren. Als er meer zekerheid over de informatie van de gebruiker nodig is, kunnen SP's een bepaalde eisen stellen wanneer gebruikers inloggen bij eduID. Deze eisen gaan over kenmerken van de identiteit.
Dit kan worden gedaan door de AuthnContextClassRef in de SAML- of acr-claim OIDC-aanvraag in te stellen. Op dit moment kunnen verschillende eisen worden gesteld. Deze staan hieronder in een tabel beschreven. Er kan per authenticatie 1 acr waarde worden gevraagd.
De vereisten aan de identiteit kunnen worden afgedwongen door SURFconext, of door de dienst zelf worden gevraagd bij het authenticatieverzoek.
Tijdens de login van de gebruiker controleert eduID of de gebruiker eerder heeft bewezen dat hij aan de eisen voldoet. Zo niet, dan wordt de gebruiker tijdens de login-flow gevraagd dit te bewijzen, bijvoorbeeld door in te loggen met een instellingsaccount of een bank. Wanneer de login voldoet aan de eisen, bevat de authenticateresponse een waarde die overeenkomt met de gevraagde waarde.
<saml:AuthnContext> <saml:AuthnContextClassRef>https://eduid.nl/trust/linked-institution</saml:AuthnContextClassRef> </saml:AuthnContext>
ACR | Description | Valid period |
---|---|---|
https://eduid.nl/trust/linked-institution | Require the user to be able to log in to any dutch educational institution connected to SURFconext. If no link has been made, or the link has expired, the user is requested to log in to an institution to validate his account. This also validates the name. | 6 months |
https://eduid.nl/trust/validate-names | Require the name of the user (givenname and surname) to be validated by an external party. This could be an educational institution (using SURFconext) or an other trusted party (e.g. Gouverment identity or financial institute). At this moment iDIN and eIDAS are supported | 6 years for validated names 6 months for other attributes |
https://eduid.nl/trust/validate-names-external | Require the name of the user (givenname and surname) to be validated by an external trusted party (e.g. Gouverment identity or financial institute). At this moment iDIN and eIDAS are supported | 6 years |
https://eduid.nl/trust/affiliation-student | Require the user to have linked an educational institution where his eduPersonAffiliation is 'student'. If no link with this affiliation has been made, or the link has expired, the user is requested to log in to an institution to validate his account. | 6 months |
https://refeds.org/profile/mfa | Request Multi Factor Authentication (MFA). Currently, this forces the user to use the eduID smartphone app to authenticate. If the user hasn't registered the app before, he is offered to do this now. | session |
* The Attribute Release Policy in SURFconext's EngineBlock will control the attributes released to the SP.
Bij het gebruik van deze ARCs voor het linken van zijn/haar account ziet de gebruiker de volgende berichten in de gebruikers interface:
ACR | english | dutch |
---|---|---|
https://eduid.nl/trust/linked-institution | Your eduID account must be linked to a trusted party. | Je eduID-account moet zijn gekoppeld aan een vertrouwde instelling. |
https://eduid.nl/trust/validate-names | Your first name and last name must be verified by a trusted party. | Je voornaam en achternaam moeten worden geverifieerd door een vertrouwde instelling. |
https://eduid.nl/trust/affiliation-student | You must prove that you are following education in the Netherlands by linking your eduID account to a trusted party. | Je moet aantonen dat je in Nederland onderwijs volgt door je eduID-account te koppelen aan een vertrouwde instelling. |
https://refeds.org/profile/mfa | Login with the eduID app to ensure your identity. | Dienst Playground Client heeft een login verzocht met de eduID app om je identiteit te bevestigen. |