Let op! Deze pagina is een vertaling van de Engelstalige pagina Attributes in SURFconext . De Engelstalige pagina is het meest up-to-date, en in het geval dat de Nederlandstalige en de Engelstalige pagina elkaar tegenspreken, is de Engelstalige pagina autoritief.

Lees dus bij voorkeur de Engelstalige versie van deze pagina.

 

Als een gebruiker inlogt op een Service Provider, stuurt SURFconext een zogenaamde SAML-assertion naar de Service Provider. Deze SAML-assertion bevat een aantal uitspraken over de gebruiker die inlogt, waaronder zijn identiteit en mogelijk een aantal andere attributen (zie het attributenoverzicht hierna).

De SAML2-implementatie van SURFconext voldoet aan het SAML2int profiel.

Op deze pagina leggen we uit welke attributen SURFconext en zijn Identity Providers kunnen bieden voor de diensten.

Identifiers van een gebruiker

Binnen de SAML-assertion wordt de identiteit van een gebruiker doorgestuurd in de vorm van een NameID-element. Het NameID is gegarandeerd stabiel en onveranderlijk voor een gebruiker (behalve in gevallen van transient identifiers, zie hieronder). Identity Providers moeten een NameID meesturen, maar SURFconext genereert zelf voor elke identiteit een nieuwe NameID. Wij bevelen sterk aan dat Service Providers het NameID gebruiken om gebruikers uniek te identificeren (in plaats van een e-mailadres of andere attributen die kunnen veranderen).

SURFconext kan 2 verschillende typen NameID's genereren:

De 2 ondersteunde NameID-types, respectievelijk voor persistent en transient NameID-aanduidingen, :

Attributenschema's

SURFconext ondersteunt 2 attributenschema's: het urn:oid schema en het urn:mace schema. Beide brengen dezelfde informatie over. SURFconext voorziet in attributen voor beide schema's als deel van de SAML-assertion. We raden af om beide schema's tegelijk te gebruiken, maar om redenen van legacy biedt SURFconext beide aan.

Attributenoverzicht

SURFconext ondersteunt het vrijgeven van de volgende attributen:

Omschrijving 

Attribuutnaam

S/M

Definitie 

Data type

Voorbeeld 

ID

(NameID)
urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

 

eduPerson

UTF8 string
(unbounded)

bd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Surname

urn:mace:dir:attribute-def:sn
urn:oid:2.5.4.4

 

X.520

UTF8 string
(unbounded)

Vermeegen
?

Given name

urn:mace:dir:attribute-def:givenName
urn:oid:2.5.4.42

 

X.520

UTF8 string
(unbounded)

Mërgim Lukáš
??

Common name

urn:mace:dir:attribute-def:cn
urn:oid:2.5.4.3

 

X.520

UTF8 String
(unbounded)

Prof.dr. Mërgim Lukáš Vermeegen
? ??, PhD.

Display name

urn:mace:dir:attribute-def:displayName
urn:oid:2.16.840.1.113730.3.1.241

 

RFC2798

UTF8 String
(unbounded)

Prof.dr. Mërgim L. Vermeegen
? ??, PhD.

Email address

urn:mace:dir:attribute-def:mail
urn:oid:0.9.2342.19200300.100.1.3

 

RFC4524

RFC-5322 address
(max 256 chars)

m.l.vermeegen@university.example.org
"very.unusual.@.unusual.com"@example.com
mlv@[IPv6:2001:db8::1234:4321]

Organization

urn:mace:terena.org:attribute-def:schacHomeOrganization
urn:oid:1.3.6.1.4.1.25178.1.2.9

 

Schac

RFC-1035 domain string

university.example.org
 

Organization Type

urn:mace:terena.org:attribute-def:schacHomeOrganizationType
urn:oid:1.3.6.1.4.1.25178.1.2.10

 

Schac

RFC-2141 URN
see Schac standard

urn:mace:terena.org:schac:homeOrganizationType:int:university
urn:mace:terena.org:schac:homeOrganizationType:es:opi

Employee/student number

urn:schac:attribute-def:schacPersonalUniqueCode
urn:oid:1.3.6.1.4.1.25178.1.2.14

 

Schac

RFC-2141 URN
zie SURFnet registry
urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456
urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567

Affiliation

urn:mace:dir:attribute-def:eduPersonAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.1

 

eduPerson

Enum type (UTF8 String)

employee, student, staff, member (alum, affiliate, faculty, library-walk-in zijn niet toegestaan)

Scoped affiliationurn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oid:1.3.6.1.4.1.1466.115.121.1.15
 eduPersonUTF8 String 
user@domain
student@physics.uniharderwijk.nl
employee@facilities.uniharderwijk.nl

Entitlement

urn:mace:dir:attribute-def:eduPersonEntitlement
urn:oid:1.3.6.1.4.1.5923.1.1.1.7

 

eduPerson

RFC-2141 URN
Multi-valued

to be determined per service (see Standardized values for eduPersonEntitlement)

PrincipalName

urn:mace:dir:attribute-def:eduPersonPrincipalName
urn:oid:1.3.6.1.4.1.5923.1.1.1.6

 

eduPerson

UTF8 String
user@domain

not.a@vålîd.émail.addreß
??@aninstitutionname

isMemberOf

urn:mace:dir:attribute-def:isMemberOf
urn:oid:1.3.6.1.4.1.5923.1.5.1.1

 

eduMember

RFC-2141 URN
Multi-valued

urn:collab:org:surf.nl
urn:collab:org:clarin.org

uid

urn:mace:dir:attribute-def:uid
urn:oid:0.9.2342.19200300.100.1.1

 

RFC4519

UTF8 String
(max 256 chars)

s9603145
flåp@example.edu

preferredLanguage

urn:mace:dir:attribute-def:preferredLanguage
urn:oid:2.16.840.1.113730.3.1.39

 

RFC2798
BCP47

List of BCP47 language tags

nl
nl, en-gb;q=0.8, en;q=0.7

eduPersonTargetedID

urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

 

eduPerson

UTF8 string
(unbounded)

24d66f51ac1c0b140e617af335b9abb4b8d88a5b

Gedetailleerde beschrijvingen van de attributen

ID

Zie de paragraaf Identifiers van een gebruiker.

Surname

urn:mace

urn:mace:dir:attribute-def:sn

urn:oid

urn:oid:2.5.4.4

Multiplicity

single-valued

Beschrijving 

De achternaam van een gebruiker(inclusief woorden als 'van', 'de', 'von' etc.) die wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen.

Opmerkingen 

 

Given name

urn:mace

urn:mace:dir:attribute-def:givenName

urn:oid

urn:oid:2.5.4.42

Multiplicity

single-valued

Beschrijving 

Voornaam / 'name known by'; combinatie van titel, initialen, en 'name known by' zijn mogelijk.

Opmerkingen 

 

Common name

urn:mace

urn:mace:dir:attribute-def:cn

urn:oid

urn:oid:2.5.4.3

Multiplicity

multi-valued

Beschrijving 

Volledige naam.

Opmerkingen 

Bijvoorbeeld: een gebruikersnaam in een Engelssprekend land bevat een persoonlijke titel (bijvoorbeeld dhr., mw., professor, mijnheer, Lord), een voornaam, 2e (en verdere) naam, achternaam, kwalificatie van de generatie (als die er is, bijvoorbeeld Jr.) en onderscheidingen en prijzen (als die er zijn; bijvoorbeeld een onderscheiding Commander of the Order of the British Empire, CBE).

Display name

urn:mace

urn:mace:dir:attribute-def:displayName

urn:oid

urn:oid:2.16.840.1.113730.3.1.241

Multiplicity

single-valued

Beschrijving 

Naam zoals weergegeven in applicaties.

Opmerkingen

Gebruikers veranderen dit attribuut normaal gesproken zelf. Daarom is deze niet geschikt voor identificatie.

Email address

urn:mace

urn:mace:dir:attribute-def:mail

urn:oid

urn:oid:0.9.2342.19200300.100.1.3

Multiplicity

multi-valued

Beschrijving 

e-mailadres; syntax in overeenstemming met RFC 5322.

Opmerkingen 

  • Meerdere e-mailadressen zijn toegestaan.
  • Het e-mailadres hoeft niet noodzakelijk het e-mailadres van de gebruiker bij de organisatie te zijn.
  • Gebruik dit attribuut niet om een gebruiker uniek te identificeren. Gebruik daarvoor het NameID.
  • Het e-mailadres van een gebruiker kan na verloop van tijd veranderen, of je kunt een gebruiker toestaan om deze zelf te veranderen. Dit maakt het attribuut ongeschikt voor authenticatie- en autorisatiedoeleinden.

uid

urn:mace

urn:mace:dir:attribute-def:uid

urn:oid

urn:oid:0.9.2342.19200300.100.1.1

Multiplicity

multi-valued

Beschrijving  

De unieke code voor een persoon, die als inlognaam wordt gebruikt binnen een organisatie.

Opmerkingen

  • Het uid is geen unieke identifier voor gebruikers van SURFconext. Uid-waarden zijn hoogstens uniek voor elke Identity Provider.
  • In het ideale geval is de uid niet alleen een inlognaam/-code, maar ook een identifier die gegarandeerd uniek is binnen een organisatie. Op dit moment is zo'n garantie er echter niet.
  • Gebruik liever het NameID voor unieke identifiers binnen SURFconext dan het uid.
  • Gebruik het eduPersonPrincipalName-attribuut als een door mensen leesbare unieke identifier nodig is.
  • Een uid kan elk unicodeteken bevatten. Bijvoorbeeld: 'org:surfnet.nl:joe von stühl' is een geldig uid.
  • SURFconext vertaalt @-tekens in het uid naar underscores. Dit betekent dat uid's niet gegarandeerd uniek zijn.

Home organization

urn:mace

urn:mace:terena.org:attribute-def:schacHomeOrganization

urn:oid

urn:oid:1.3.6.1.4.1.25178.1.2.9

Multiplicity

single-valued

Beschrijving 

De organisatie van de gebruiker gebruikt de domeinnaam van de organisatie; syntax in overeenstemming met RFC 1035. 

Opmerkingen 

In het verleden stuurde SURFconext vaak de 'home organisation' in het attribuut urn:oid:1.3.6.1.4.1.1466.115.121.1.15, wat incorrect was. Sinds 2013 is het correcte oid urn:oid:1.3.6.1.4.1.25178.1.2.9 in gebruik. Om redenen van compatibiliteit wordt de oude (verkeerde) string ook nog steeds opgestuurd. Deze moet niet worden gebruikt in nieuwe implementaties.

Organization type

urn:mace

urn:mace:terena.org:attribute-def:schacHomeOrganizationType

urn:oid

urn:oid:1.3.6.1.4.1.25178.1.2.10

Multiplicity

single-value

Beschrijving 

Naam van het type organisatie zoals gedefinieerd op http://www.terena.org/registry/terena.org/schac/homeOrganizationType

Opmerkingen 

Employee-student number

urn:mace

urn:schac:attribute-def:schacPersonalUniqueCode

urn:oid

urn:oid:1.3.6.1.4.1.25178.1.2.14

Multiplicity

multi-value

Data-typeRFC-2141 URN (zie SURFnet registry)

Omschrijving

Het interne studentnummer, medewerkernummer of persoonsnummer van de gebruiker.

Voorbeeldenurn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456
urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567

Opmerkingen

  • De prefix van de attribuutwaarden wordt door SURFnet geregistreerd op https://wiki.surfnet.nl/x/xoTdAg
  • Neem s.v.p. contact op met het SURFconext-team als u dit attribuut als IdP of SP wilt inzetten.
  • De primaire toepassing is het matchen van accounts tegen interne administratiesystemen van studenten en medewerkers.

Affiliation

urn:mace

urn:mace:dir:attribute-def:eduPersonAffiliation

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.1

Multiplicity

multi-valued

Beschrijving

Geeft de relatie aan tussen de gebruiker en zijn instelling. De volgende waarden zijn toegestaan binnen SURFconext:

  • student — een bij de Instelling ingeschreven student, extraneus of cursist
  • employee — een persoon met een aanstelling dan wel een arbeidsovereenkomst bij de Instelling
  • staff — Alle academische staf (wetenschappelijk personeel, of WP) en docenten
  • member — Iedereen die tenminste één van de bovenstaande waardes heeft is automatisch ook member

De volgende waarde(n) zijn toegestaan, maar worden (nog) niet gebruikt door diensten:

  • affiliate — een persoon die anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd is om de dienst te gebruiken

Gebruik de bovenstaande voorbeelden om vast te stellen welke waarde een gebruiker krijgt. Indien de definities niet toereikend zijn, gebruik gezond verstand.

Opmerkingen 

  • Alle gebruikers die als affiliation staff, employee or student hebben, moeten ook de waarde member hebben.
  • Identity Providers kunnen intern aanvullende waarden gebruiken voor het affiliation-attribuut, zoals alum. Volgens het beleid van SURFconext mogen deze gebruikers geen toegang krijgen tot SURFconext (dit dient de IdP zelf af te dwingen).
  • Andere waarden die in de eduPerson-standaard worden genoemd zijn faculty, library-walk-in. Deze waarden worden niet gebruikt in SURFconext.
  • Volgens de eduPerson-standaard zijn de waarden van dit attribuut niet hoofdlettergevoelig. Vanwege compatibiliteit eisen wij in SURFconext echter bovenstaande waarden met kleine letters.

Scoped Affiliation

urn:maceurn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oidurn:oid:1.3.6.1.4.1.1466.115.121.1.15
Multiplicitymulti-valued
Data typeUTF8 String of the form affiliation@subdomain (zie onder)
Beschrijving

Beschrijft de relatie tussen de gebruiker en een specifiek (beveiligings) domein van de thuisnetwerk. De waarden bestaan uit een relatie en beveiligings domein, verbonden met een @-teken, b.v. <affiliation@sub.domain.nl>. Op deze manier kan de relatie tussen een gebruiker en het beveiligingsdomain nauwkeurig vastgelegd worden. Zo kan bijvoorbeeld vastgelegd worden dat een gebruiker student is bij de faculteit natuurkunde of een secretaresse werkt voor een bepaalde afdeling van een faculteit.

Het affiliation-gedeelte moet een van de toegestane waarden van het eduPersonAffiliation attribuut zijn (zie boven). Op dit moment zijn dat:

  • student — een bij de Instelling ingeschreven student, extraneus of cursist
  • employee — een persoon met een aanstelling dan wel een arbeidsovereenkomst bij de Instelling
  • staff — Alle academische staf (wetenschappelijk personeel, of WP) en docenten
  • member — Iedereen die tenminste één van de bovenstaande waardes heeft is automatisch ook member

De volgende waarde(n) zijn toegestaan, maar worden (nog) niet gebruikt door diensten:

  • affiliate — een persoon die anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd is om de dienst te gebruiken

Het domein gedeelte moet een subdomein zijn van de schacHomeOrganization van de gebruiker. Dit subdomein hoeft niet in DNS te bestaan. Als bijvoorbeeld de schacHomeOrganization van de gebruiker uniharderwijk.nl is, kan het domein gedeelte van eduPeronScopedAffiliation science.uniharderwijk.nl, physics.science.uniharderwijk.nl, enz. zijn.

VoorbeeldenZie boven
Opmerkingen
  • Dit attribuut kan gebruikt worden om de faculteit, veld, studie, afdeling waar de gebruiker mee verbonden is te beschrijven.
  • Omdat het attribuut meerwaardig is, kan een gebruiker zowel student bij de ene als medewerker van de andere afdeling zijn.
  • Er is geen gemeenschappelijk register voor geldige subdomeinnamen. staff@cs.uniharderwijk.nl zou kunnen aangeven dat een gebruiker lid is van de academische staff van de informatica faculteit van de Universiteit van Harderwijk, terwijl staff@cs.surfnet.nl een medewerker van de "Community Support" afdeling bij SURFnet zou kunnen zijn. Daarom moet voor de interpretatie van dit attribuut altijd overleg plaatsvinden tussen de SP's (consumerende partij) en de uitgevende IdP's (uitgevende partij).

 

Entitlements

urn:mace

urn:mace:dir:attribute-def:eduPersonEntitlement

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.7

Multiplicity

multi-value

Beschrijving 

rechten; een URI (URL of URN) die aangeeft welke rechten een gebruiker heeft.

Opmerkingen 

  • Dit attribuut kan gebruikt worden om rechten, rollen, enzovoort van Identity Providers door te geven aan diensten, zodat ze bijvoorbeeld gebruikt kunnen worden voor autorisatie.
  • De Identity Provider bepaalt doorgaans de waarde ervan
  • De waarde dient te voldoen aan een gestandaardiseerd formaat.
  • Meer informatie over het entitlement-attribuut is te vinden op een aparte wiki-pagina

Principal name

urn:mace

urn:mace:dir:attribute-def:eduPersonPrincipalName

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.6

Multiplicity

single-valued

Beschrijving 

Unieke identifier voor een gebruiker.  

Opmerkingen

  • Deze waarde lijkt op een e-mailadres. Toch moet ze NIET gebruikt worden als e-mailadres. Meestal kan e-mail niet aan dit 'adres' gestuurd worden.
  • Hoewel deze waarde een gebruiker uniek identificeert, is het niet gegarandeerd dat de waarde ervan in alle gevallen vast blijft. Gebruik dit attribuut daarom niet om gebruikers uniek te identificeren. Gebruik in plaats daarvan het NameID.

isMemberOf

urn:mace

urn:mace:dir:attribute-def:isMemberOf

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Multiplicity

multi-valued

Beschrijving 

Somt de samenwerkende organisaties op waarvan de gebruiker lid is.

Opmerkingen 

  • Attribuutwaarden zijn URI's (URN of URL).
  • De enige waarde die momenteel ondersteund wordt, is urn:collab:org:surf.nl, die aangeeft dat het thuisnetwerk van de gebruiker lid is van SURFnet.
  • In de toekomst kan dit attribuut gebruikt worden om te bepalen of een gebruiker lid is van een samenwerkingsorganisatie.

Preferred Language

urn:mace

urn:mace:dir:attribute-def:preferredLanguage

urn:oid

urn:oid:2.16.840.1.113730.3.1.39

Multiplicity

single-valued

Beschrijving 

Een afkorting van 2 letters voor de voorkeurstaal volgens de ISO 639 codetabel; geen subcodes.

Opmerkingen 

Wordt gebruikt om aan te geven aan welke geschreven of gesproken taal de gebruiker de voorkeur geeft. Dit is nuttig voor internationale correspondentie of mens-computer-interactie. Waarden voor dit attribuuttype MOETEN overeenkomen met de definitie van het 'Accept-Language header field' in RFC 2068, met 1 uitzondering: de waarde ':' moet worden weggelaten.

EduPersonTargetedID

urn:mace

urn:mace:dir:attribute-def:eduPersonTargetedID

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Multiplicity

single-valued

Beschrijving 

Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID welke door SURFconext zelf wordt gezet. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext.

Opmerkingen 

Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken.

 eduPersonOrcid

urn:mace

urn:mace:dir:attribute-def:eduPersonOrcid

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.16

Multiplicity

multi-valued

Data type

URL, geregistreerd via ORCID.org

Beschrijving 

Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in het ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097

Voorbeelden

http://orcid.org/0000-0002-1825-0097

http://orcid.org/0000-0001-9351-8252

Opmerkingen 

Zie voor achtergrondinformatie over ORCID: https://www.surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html