Als een gebruiker wil inloggen bij een dienst via SURFconext wordt deze doorgestuurd naar de loginpagina van zijn organisatie, zodat hij lokaal kan authenticeren. Soms wil de Service Provider graag weten wie die gebruiker is, zodat hij de dienst kan personaliseren (welkom Jan Jansen) of autorisaties kan uitvoeren (bijvoorbeeld ander aanbod voor student / medewerker). De informatie die de Service Provider hiervoor nodig heeft, noemen we ook wel attributen (of claims in de ADFS-wereld). Deze attributen worden vanuit de organisatie, via SURFconext, aan de Service Provider doorgegeven. Elk attribuut bevat een bepaalde waarde die iets zegt over de gebruiker, bijvoorbeeld een naam of een e-mailadres.

Het vrijgeven van attributen moet je instellen op jouw Identity Provider-systeem.

Verplicht

Iedere identity provider moet een NameID vrijgeven als je toegang wilt krijgen tot SURFconext. Dit is geen attribuut maar een unieke identificatie van de identiteit die geautoriseerd is. Dit is bijvoorbeeld een uid of een administratienummer. De precieze waarde van het NameID maakt SURFconext niet uit, aangezien SURFconext richting service providers zelf een nieuw en geanonimiseerd NameID genereert.

Je moet in ieder geval de twee onderstaande attributen vrijgeven:

Wenselijk

Daarnaast is het wenselijk, maar niet verplicht, om de volgende attributen vrij te geven omdat die voor veel diensten nodig zijn:

Voor een complete lijst met mogelijke attributen en een uitgebreide beschrijving van bovenstaande attributen kun je onze attributen pagina raadplagen.

Overige attributen

SURFconext ondersteunt nog meer attributen. Zie voor een uitgebreide omschrijving onze attributen pagina.

De lijst op deze pagina geeft aan welke attributen je minimaal moet vrijgeven om toegang te krijgen tot SURFconext. Maar vrijwel elke dienst op SURFconext gebruikt meer of andere attributen dan de minimum vereiste zoals hier aangegeven. Het is belangrijk op te merken dat SURFconext privacybewust is opgezet en dat de SURFconext-verantwoordelijke altijd het laatste woord heeft over het koppelen aan een dienst. Als de SURFconext-verantwoordelijke vindt dat een dienst te veel attributen vraagt en daarmee niet voldoet aan de privacy wensen van de instelling, wordt er niet gekoppeld. De door de identity provider ingestelde en attributen blijven in beheer en onder verantwoording van de instelling ongeacht hoeveel je definieert in je identity provider.

Attributen vrijgeven vanuit je IDM-systeem

Hoe het vrijgeven van attributen werkt voor de meest voorkomende Identity Management systemen, kun je lezen in de handleidingen voor ADFS, SimpleSAMLphp en NetIQ Access Manager.