Let op! Deze pagina is een vertaling van de Engelstalige pagina Attributes in SURFconext . De Engelstalige pagina is het meest up-to-date, en in het geval dat de Nederlandstalige en de Engelstalige pagina elkaar tegenspreken, is de Engelstalige pagina autoritief. Lees dus bij voorkeur de Engelstalige versie van deze pagina. |
Als een gebruiker inlogt op een Service Provider, stuurt SURFconext een zogenaamde SAML-assertion naar de Service Provider. Deze SAML-assertion bevat een aantal uitspraken over de gebruiker die inlogt, waaronder zijn identiteit en mogelijk een aantal andere attributen (zie het attributenoverzicht hierna).
De SAML2-implementatie van SURFconext voldoet aan het SAML2int profiel. |
Op deze pagina leggen we uit welke attributen SURFconext en zijn Identity Providers kunnen bieden voor de diensten.
De identiteit van een gebruiker wordt doorgestuurd in de vorm van het NameID element. Iedere IdP wordt verplicht een NameID mee te sturen. Vanwege privacy redenen genereert SURFconext een nieuwe en plaatst deze in het eduPersonTargetedID attribuut.
Wij bevelen sterk aan dat Service Providers het NameID of eduPersonTargetedID gebruiken om gebruikers uniek te identificeren. Het NameID is, in tegenstelling tot bijvoorbeeld het e-mailadres, stabiel en zal niet snel veranderen (uitgezonderd het gebruik van 'transient' identifiers). SURFconext genereert een NameID voor iedere nieuwe gebruiker. Deze is uniek voor de gebruiker en specifiek voor een bepaalde SP. Dit zorgt ervoor dat SP's deze informatie niet kan correleren met andere diensten.
Er zijn twee typen NameId's:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
Een attributenschema is een abstracte representatie van de karakteristieken van een object, en de relatie tot andere objecten.
SURFconext ondersteunt twee attributen schema's:
urn:oid
schema (SAML2.0 compliant) urn
schema (SAML1.1 compliant) Beiden kunnen worden gebruikt om dezelfde informatie uit te drukken (behalve voor NameID, deze is enkel beschikbaar binnen het urn:oid schema). Standaard geeft SURFconext de attributen door in beide schema's als onderdeel van de assertion (legacy). Desaliettemin wordt het door elkaar gebruiken van de schema's afgeraden.
SURFconext ondersteunt het vrijgeven van de volgende attributen:
Omschrijving | Attribuutnaam | Definitie | Data type | Voorbeeld |
---|---|---|---|---|
(NameID) | UTF8 string | bd09168cf0c2e675b2def0ade6f50b7d4bb4aae | ||
UTF8 string | Vermeegen | |||
UTF8 string | Mërgim Lukáš | |||
UTF8 String | Prof.dr. Mërgim Lukáš Vermeegen | |||
urn:mace:dir:attribute-def:displayName | UTF8 String | Prof.dr. Mërgim L. Vermeegen | ||
urn:mace:dir:attribute-def:mail | RFC-5322 address | m.l.vermeegen@university.example.org | ||
urn:mace:terena.org:attribute-def:schacHomeOrganization | RFC-1035 domain string | university.example.org | ||
urn:mace:terena.org:attribute-def:schacHomeOrganizationType | RFC-2141 URN | urn:mace:terena.org:schac:homeOrganizationType:int:university | ||
Employee/student number | urn:schac:attribute-def:schacPersonalUniqueCode | RFC-2141 URN zie SURFnet registry | urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456 urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567 | |
urn:mace:dir:attribute-def:eduPersonAffiliation | Enum type (UTF8 String) | employee, student, faculty, member, affiliate, pre-student | ||
Scoped affiliation | urn:mace:dir:attribute-def:eduPersonScopedAffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9 | eduPerson | UTF8 String user@domain | student@physics.uniharderwijk.nl employee@facilities.uniharderwijk.nl |
urn:mace:dir:attribute-def:eduPersonEntitlement | RFC-2141 URN | to be determined per service (see Standardized values for eduPersonEntitlement) | ||
urn:mace:dir:attribute-def:eduPersonPrincipalName | UTF8 String | not.a@vålîd.émail.addreß | ||
urn:mace:dir:attribute-def:isMemberOf | RFC-2141 URN | urn:collab:org:surf.nl | ||
urn:mace:dir:attribute-def:uid | UTF8 String | s9603145 | ||
urn:mace:dir:attribute-def:preferredLanguage | List of BCP47 language tags | nl | ||
urn:mace:dir:attribute-def:eduPersonTargetedID | UTF8 string | 24d66f51ac1c0b140e617af335b9abb4b8d88a5b | ||
ORCID | eduPerson | URL geregistreerd via ORCID.org | http://orcid.org/0000-0002-1825-0097 |
Zie de paragraaf Identifiers van een gebruiker.
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | De achternaam van een gebruiker(inclusief woorden als 'van', 'de', 'von' etc.) die wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen. |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | Voornaam / 'name known by'; combinatie van titel, initialen, en 'name known by' zijn mogelijk. |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Beschrijving | Volledige naam. |
Opmerkingen | Bijvoorbeeld: een gebruikersnaam in een Engelssprekend land bevat een persoonlijke titel (bijvoorbeeld dhr., mw., professor, mijnheer, Lord), een voornaam, 2e (en verdere) naam, achternaam, kwalificatie van de generatie (als die er is, bijvoorbeeld Jr.) en onderscheidingen en prijzen (als die er zijn; bijvoorbeeld een onderscheiding Commander of the Order of the British Empire, CBE). |
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | Naam zoals weergegeven in applicaties. |
Opmerkingen | Mogelijkerwijs kunnen gebruikers zelf invloed hebben op deze waarde. Daarom is deze niet geschikt voor identificatie. |
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Beschrijving | e-mailadres; syntax in overeenstemming met RFC 5322. |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | single-valued (multi-valued in de specificatie, maar in SURFconext is slechts 1 waarde toegestaan) |
Beschrijving | De unieke code voor een persoon, die als inlognaam wordt gebruikt binnen een organisatie. |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | De organisatie van de gebruiker. Dient een domeinnaam te zijn onder controle van de organistie, liefst het primaire domein. Syntax in overeenstemming met RFC 1035. |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | single-value |
Beschrijving | Naam van het type organisatie zoals gedefinieerd op http://www.terena.org/registry/terena.org/schac/homeOrganizationType |
Opmerkingen |
|
urn:schac:attribute-def:schacPersonalUniqueCode | |
urn:oid:1.3.6.1.4.1.25178.1.2.14 | |
Multiplicity | multi-value |
Data-type | RFC-2141 URN (zie SURFnet registry) |
Omschrijving | Het interne studentnummer, medewerkernummer of persoonsnummer van de gebruiker. |
Voorbeelden | urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456 urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567 |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Beschrijving | Geeft de relatie aan tussen de gebruiker en zijn instelling. De volgende waarden zijn toegestaan binnen SURFconext:
Gebruik de bovenstaande voorbeelden om vast te stellen welke waarde een gebruiker krijgt. Indien de definities niet toereikend zijn, gebruik gezond verstand. |
Opmerkingen |
|
urn:mace | urn:mace:dir:attribute-def:eduPersonScopedAffiliation |
urn:oid | urn:oid:1.3.6.1.4.1.1466.115.121.1.15 |
Multiplicity | multi-valued |
Data type | UTF8 String of the form affiliation@subdomain (zie onder) |
Beschrijving | Beschrijft de relatie tussen de gebruiker en een specifiek (beveiligings) domein van zijn thuisorganisatie. De waarden bestaan uit een relatie en beveiligingsdomein, verbonden met een @-teken, b.v. < Het affiliation-gedeelte moet een van de toegestane waarden van het eduPersonAffiliation attribuut zijn (zie boven). Het domein gedeelte moet een subdomein zijn van de schacHomeOrganization van de gebruiker. Dit subdomein hoeft niet in DNS te bestaan. Als bijvoorbeeld de schacHomeOrganization van de gebruiker uniharderwijk.nl is, kan het domeindeel van eduPeronScopedAffiliation |
Voorbeelden | student@physics.uniharderwijk.nl employee@catering.facilities.uniharderwijk.nl |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | multi-value |
Beschrijving | rechten; een URI (URL of URN) die aangeeft welke rechten een gebruiker heeft. |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | Unieke identifier voor een gebruiker in de vorm |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | multi-valued |
Beschrijving | Somt de samenwerkende organisaties op waarvan de gebruiker lid is. |
Opmerkingen |
|
urn:mace | |
urn:oid | |
Multiplicity | single-valued |
Beschrijving | Een afkorting van 2 letters voor de voorkeurstaal volgens de ISO 639 codetabel; geen subcodes. |
Opmerkingen | Wordt gebruikt om aan te geven aan welke geschreven of gesproken taal de gebruiker de voorkeur geeft. Dit is nuttig voor internationale correspondentie of mens-computer-interactie. Waarden voor dit attribuuttype MOETEN overeenkomen met de definitie van het 'Accept-Language header field' in RFC 2068, met 1 uitzondering: de waarde ':' moet worden weggelaten. |
urn:mace | urn:mace:dir:attribute-def:eduPersonTargetedID |
urn:oid | urn:oid:1.3.6.1.4.1.5923.1.1.1.10 |
Multiplicity | single-valued |
Beschrijving | Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID welke door SURFconext zelf wordt gezet. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext. |
Opmerkingen | Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken. |
urn:mace:dir:attribute-def:eduPersonOrcid | |
urn:oid:1.3.6.1.4.1.5923.1.1.1.16 | |
Multiplicity | multi-valued (maar zie onder) |
Data type | URL, geregistreerd via ORCID.org |
Beschrijving | Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097 |
Voorbeelden | |
Opmerkingen | Zie voor achtergrondinformatie over ORCID: https://www.surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven, |