Let op! Deze pagina is een vertaling van de Engelstalige pagina Attributes in SURFconext . De Engelstalige pagina is het meest up-to-date, en in het geval dat de Nederlandstalige en de Engelstalige pagina elkaar tegenspreken, is de Engelstalige pagina autoritief.

Lees dus bij voorkeur de Engelstalige versie van deze pagina.

 

Als een gebruiker inlogt op een Service Provider, stuurt SURFconext een zogenaamde SAML-assertion naar de Service Provider. Deze SAML-assertion bevat een aantal uitspraken over de gebruiker die inlogt, waaronder zijn identiteit en mogelijk een aantal andere attributen (zie het attributenoverzicht hierna).

De SAML2-implementatie van SURFconext voldoet aan het SAML2int profiel.

Op deze pagina leggen we uit welke attributen SURFconext en zijn Identity Providers kunnen bieden voor de diensten.

Identifiers van een gebruiker

De identiteit van een gebruiker wordt doorgestuurd in de vorm van het NameID element. Iedere IdP wordt verplicht een NameID mee te sturen. Vanwege privacy redenen genereert SURFconext een nieuwe en plaatst deze in het eduPersonTargetedID attribuut.

Wij bevelen sterk aan dat Service Providers het NameID of eduPersonTargetedID gebruiken om gebruikers uniek te identificeren. Het NameID is, in tegenstelling tot bijvoorbeeld het e-mailadres, stabiel en zal niet snel veranderen (uitgezonderd het gebruik van 'transient' identifiers). SURFconext genereert een NameID voor iedere nieuwe gebruiker. Deze is uniek voor de gebruiker en specifiek voor een bepaalde SP. Dit zorgt ervoor dat SP's deze informatie niet kan correleren met andere diensten.

Er zijn twee typen NameId's:

Attributenschema's

Een attributenschema is een abstracte representatie van de karakteristieken van een object, en de relatie tot andere objecten.

SURFconext ondersteunt twee attributen schema's:

Beiden kunnen worden gebruikt om dezelfde informatie uit te drukken (behalve voor NameID, deze is enkel beschikbaar binnen het urn:oid schema). Standaard geeft SURFconext de attributen door in beide schema's als onderdeel van de assertion (legacy). Desaliettemin wordt het door elkaar gebruiken van de schema's afgeraden.

Attributenoverzicht

SURFconext ondersteunt het vrijgeven van de volgende attributen:

Omschrijving 

Attribuutnaam

Definitie 

Data type

Voorbeeld 

ID

(NameID)
urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

eduPerson

UTF8 string
(unbounded)

bd09168cf0c2e675b2def0ade6f50b7d4bb4aae

Surname

urn:mace:dir:attribute-def:sn
urn:oid:2.5.4.4

X.520

UTF8 string
(unbounded)

Vermeegen
?

Given name

urn:mace:dir:attribute-def:givenName
urn:oid:2.5.4.42

X.520

UTF8 string
(unbounded)

Mërgim Lukáš
??

Common name

urn:mace:dir:attribute-def:cn
urn:oid:2.5.4.3

X.520

UTF8 String
(unbounded)

Prof.dr. Mërgim Lukáš Vermeegen
? ??, PhD.

Display name

urn:mace:dir:attribute-def:displayName
urn:oid:2.16.840.1.113730.3.1.241

RFC2798

UTF8 String
(unbounded)

Prof.dr. Mërgim L. Vermeegen
? ??, PhD.

Email address

urn:mace:dir:attribute-def:mail
urn:oid:0.9.2342.19200300.100.1.3

RFC4524

RFC-5322 address
(max 256 chars)

m.l.vermeegen@university.example.org
"very.unusual.@.unusual.com"@example.com
mlv@[IPv6:2001:db8::1234:4321]

Organization

urn:mace:terena.org:attribute-def:schacHomeOrganization
urn:oid:1.3.6.1.4.1.25178.1.2.9

Schac

RFC-1035 domain string

university.example.org
 

Organization Type

urn:mace:terena.org:attribute-def:schacHomeOrganizationType
urn:oid:1.3.6.1.4.1.25178.1.2.10

Schac

RFC-2141 URN
see Schac standard

urn:mace:terena.org:schac:homeOrganizationType:int:university
urn:mace:terena.org:schac:homeOrganizationType:es:opi

Employee/student number

urn:schac:attribute-def:schacPersonalUniqueCode
urn:oid:1.3.6.1.4.1.25178.1.2.14

Schac

RFC-2141 URN
zie SURFnet registry
urn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456
urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567

Affiliation

urn:mace:dir:attribute-def:eduPersonAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.1

eduPerson

Enum type (UTF8 String)

employee, student, faculty, member, affiliate, pre-student
(staff is niet meer in gebruik; library-walk-in, alum zijn niet toegestaan)

Scoped affiliationurn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oid:1.3.6.1.4.1.5923.1.1.1.9
eduPersonUTF8 String 
user@domain
student@physics.uniharderwijk.nl
employee@facilities.uniharderwijk.nl

Entitlement

urn:mace:dir:attribute-def:eduPersonEntitlement
urn:oid:1.3.6.1.4.1.5923.1.1.1.7

eduPerson

RFC-2141 URN
Multi-valued

to be determined per service (see Standardized values for eduPersonEntitlement)

PrincipalName

urn:mace:dir:attribute-def:eduPersonPrincipalName
urn:oid:1.3.6.1.4.1.5923.1.1.1.6

eduPerson

UTF8 String
user@domain

not.a@vålîd.émail.addreß
??@aninstitutionname

isMemberOf

urn:mace:dir:attribute-def:isMemberOf
urn:oid:1.3.6.1.4.1.5923.1.5.1.1

eduMember

RFC-2141 URN
Multi-valued

urn:collab:org:surf.nl
urn:collab:org:clarin.org

uid

urn:mace:dir:attribute-def:uid
urn:oid:0.9.2342.19200300.100.1.1

RFC4519

UTF8 String
(max 256 chars)

s9603145
flåp@example.edu

preferredLanguage

urn:mace:dir:attribute-def:preferredLanguage
urn:oid:2.16.840.1.113730.3.1.39

RFC2798
BCP47

List of BCP47 language tags

nl
nl, en-gb;q=0.8, en;q=0.7

eduPersonTargetedID

urn:mace:dir:attribute-def:eduPersonTargetedID
urn:oid:1.3.6.1.4.1.5923.1.1.1.10

eduPerson

UTF8 string
(unbounded)

24d66f51ac1c0b140e617af335b9abb4b8d88a5b

ORCID

urn:mace:dir:attribute-def:eduPersonORCID

urn:oid:1.3.6.1.4.1.5923.1.1.1.16

eduPerson

URL geregistreerd via ORCID.org

http://orcid.org/0000-0002-1825-0097

Gedetailleerde beschrijvingen van de attributen

ID

Zie de paragraaf Identifiers van een gebruiker.

Surname

urn:mace

urn:mace:dir:attribute-def:sn

urn:oid

urn:oid:2.5.4.4

Multiplicity

single-valued

Beschrijving 

De achternaam van een gebruiker(inclusief woorden als 'van', 'de', 'von' etc.) die wordt gebruikt voor personalisatie; dit kan een combinatie zijn van bestaande attributen.

Opmerkingen 

 

Given name

urn:mace

urn:mace:dir:attribute-def:givenName

urn:oid

urn:oid:2.5.4.42

Multiplicity

single-valued

Beschrijving 

Voornaam / 'name known by'; combinatie van titel, initialen, en 'name known by' zijn mogelijk.

Opmerkingen 

 

Common name

urn:mace

urn:mace:dir:attribute-def:cn

urn:oid

urn:oid:2.5.4.3

Multiplicity

multi-valued

Beschrijving 

Volledige naam.

Opmerkingen 

Bijvoorbeeld: een gebruikersnaam in een Engelssprekend land bevat een persoonlijke titel (bijvoorbeeld dhr., mw., professor, mijnheer, Lord), een voornaam, 2e (en verdere) naam, achternaam, kwalificatie van de generatie (als die er is, bijvoorbeeld Jr.) en onderscheidingen en prijzen (als die er zijn; bijvoorbeeld een onderscheiding Commander of the Order of the British Empire, CBE).

Display name

urn:mace

urn:mace:dir:attribute-def:displayName

urn:oid

urn:oid:2.16.840.1.113730.3.1.241

Multiplicity

single-valued

Beschrijving 

Naam zoals weergegeven in applicaties.

Opmerkingen

Mogelijkerwijs kunnen gebruikers zelf invloed hebben op deze waarde. Daarom is deze niet geschikt voor identificatie.

Email address

urn:mace

urn:mace:dir:attribute-def:mail

urn:oid

urn:oid:0.9.2342.19200300.100.1.3

Multiplicity

multi-valued

Beschrijving 

e-mailadres; syntax in overeenstemming met RFC 5322.

Opmerkingen 

  • Meerdere e-mailadressen zijn toegestaan. Echter, er is geen evidente strategie voor SP's over hoe hiermee om te gaan (beide gebruiken? één kiezen? de gebruiker vragen er één te kiezen); de SP zal een strategie moeten bedenken die past binnen de context van de applicatie. Als IdP is het, voor de interoperabiliteit, aan te raden om het sturen van meerdere waarden in dit attribuut te vermijden waar mogelijk.
  • Het e-mailadres hoeft niet noodzakelijk het e-mailadres van de gebruiker bij de organisatie te zijn.
  • Gebruik dit attribuut niet om een gebruiker uniek te identificeren. Gebruik daarvoor het NameID.
  • Het e-mailadres van een gebruiker kan na verloop van tijd veranderen, of je kunt een gebruiker toestaan om deze zelf te veranderen. Dit maakt het attribuut ongeschikt voor authenticatie- en autorisatiedoeleinden.

uid

urn:mace

urn:mace:dir:attribute-def:uid

urn:oid

urn:oid:0.9.2342.19200300.100.1.1

Multiplicity

single-valued (multi-valued in de specificatie, maar in SURFconext is slechts 1 waarde toegestaan)

Beschrijving  

De unieke code voor een persoon, die als inlognaam wordt gebruikt binnen een organisatie.

Opmerkingen

  • Het uid is geen unieke identifier voor gebruikers van SURFconext. Uid-waarden zijn hoogstens uniek voor elke Identity Provider.
  • In het ideale geval is de uid niet alleen een inlognaam/-code, maar ook een identifier die gegarandeerd uniek is binnen een organisatie. Op dit moment is zo’n garantie er echter niet.
  • Gebruik liever het NameID voor unieke identifiers binnen SURFconext dan het uid.
  • Gebruik het eduPersonPrincipalName-attribuut als een door mensen leesbare unieke identifier nodig is.
  • Een uid kan elk unicodeteken bevatten. Bijvoorbeeld: 'org:surfnet.nl:joe von stühl' is een geldig uid.
  • SURFconext vertaalt @-tekens in het uid naar underscores voordat het NameID op basis hiervan gevormd wordt.

Home organization

urn:mace

urn:mace:terena.org:attribute-def:schacHomeOrganization

urn:oid

urn:oid:1.3.6.1.4.1.25178.1.2.9

Multiplicity

single-valued

Beschrijving 

De organisatie van de gebruiker. Dient een domeinnaam te zijn onder controle van de organistie, liefst het primaire domein. Syntax in overeenstemming met RFC 1035. 

Opmerkingen 

  • In het verleden stuurde SURFconext vaak de ‘home organisation’ in het attribuut urn:oid:1.3.6.1.4.1.1466.115.121.1.15, wat incorrect was. Sinds 2013 is het correcte oid urn:oid:1.3.6.1.4.1.25178.1.2.9 in gebruik. Om redenen van compatibiliteit wordt de oude (verkeerde) string ook nog steeds opgestuurd. Deze moet niet worden gebruikt in nieuwe implementaties.
  • Het is wenselijk dat dit een vaste waarde is die hetzelfde is voor alle gebruikers van de organisatie.
  • SURFconext slaat in zijn configuratie op welke waarde de instelling gebruikt, om bij te kunnen houden als er afwijkende waarden gestuurd worden.

Organization type

urn:mace

urn:mace:terena.org:attribute-def:schacHomeOrganizationType

urn:oid

urn:oid:1.3.6.1.4.1.25178.1.2.10

Multiplicity

single-value

Beschrijving 

Naam van het type organisatie zoals gedefinieerd op http://www.terena.org/registry/terena.org/schac/homeOrganizationType

Opmerkingen 

Employee-student number

urn:mace

urn:schac:attribute-def:schacPersonalUniqueCode

urn:oid

urn:oid:1.3.6.1.4.1.25178.1.2.14

Multiplicity

multi-value

Data-typeRFC-2141 URN (zie SURFnet registry)

Omschrijving

Het interne studentnummer, medewerkernummer of persoonsnummer van de gebruiker.

Voorbeeldenurn:schac:personalUniqueCode:nl:local:example.edu:employeeid:x12-3456
urn:schac:personalUniqueCode:nl:local:example.nl:studentid:s1234567

Opmerkingen

  • De prefix van de attribuutwaarden wordt door SURFnet geregistreerd op https://wiki.surfnet.nl/x/xoTdAg
  • Neem s.v.p. contact op met het SURFconext-team als u dit attribuut als IdP of SP wilt inzetten.
  • De primaire toepassing is het matchen van accounts tegen interne administratiesystemen van studenten en medewerkers.

Affiliation

urn:mace

urn:mace:dir:attribute-def:eduPersonAffiliation

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.1

Multiplicity

multi-valued

Beschrijving

Geeft de relatie aan tussen de gebruiker en zijn instelling. De volgende waarden zijn toegestaan binnen SURFconext:

  • student — een bij de Instelling ingeschreven student, extraneus of cursist.
  • employee — een persoon met een aanstelling dan wel een arbeidsovereenkomst bij de Instelling.
  • staff — Alle academische staf (wetenschappelijk personeel, of WP) en docenten. (deprecated; niet gebruiken in nieuwe gevallen)
  • faculty — Persoon wiens primaire taak onderwijs geven of onderzoek doen is (bij universiteiten vaak aangeduid als WP. Let op, doctoraal studenten mogen ook deze waarde krijgen.)
  • member — Iedereen die tenminste één van de bovenstaande waardes heeft is automatisch ook member.

  • pre-student — een voorinschrijver, die zich bij een instelling heeft ingeschreven om te gaan studeren maar nog niet een volwaardige student is. Zie deze pagina voor meer informatie over de voorwaarden waaronder voorinschrijvers toegang kunnen krijgen tot SURFconext. SURFconext laat voorinschrijvers nooit toe tot SPs zonder voorafgaande toestemming van de dienstverlener.
  • affiliate — een persoon die anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd is om de dienst te gebruiken

Gebruik de bovenstaande voorbeelden om vast te stellen welke waarde een gebruiker krijgt. Indien de definities niet toereikend zijn, gebruik gezond verstand.

Opmerkingen 

  • Alle gebruikers die als affiliation faculty, employee or student hebben, moeten ook de waarde member hebben.
  • Identity Providers kunnen intern aanvullende waarden gebruiken voor het affiliation-attribuut, zoals alum. Volgens het beleid van SURFconext mogen deze gebruikers geen toegang krijgen tot SURFconext (dit dient de IdP zelf af te dwingen).
  • Een andere waarde die in de eduPerson-standaard worden genoemd is library-walk-in. Deze waarde wordt niet gebruikt in SURFconext.
  • Volgens de eduPerson-standaard zijn de waarden van dit attribuut niet hoofdlettergevoelig. Vanwege compatibiliteit eisen wij in SURFconext echter bovenstaande waarden met kleine letters.
  • Zie REFEDS eduPerson(Scoped)Affiliation usage comparison voor een vergelijk van de waardes in internatiationale conext.

Scoped Affiliation

urn:maceurn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oidurn:oid:1.3.6.1.4.1.1466.115.121.1.15
Multiplicitymulti-valued
Data typeUTF8 String of the form affiliation@subdomain (zie onder)
Beschrijving

Beschrijft de relatie tussen de gebruiker en een specifiek (beveiligings) domein van zijn thuisorganisatie. De waarden bestaan uit een relatie en beveiligingsdomein, verbonden met een @-teken, b.v. <affiliation@sub.domain.nl>. Op deze manier kan de relatie tussen een gebruiker en het beveiligingsdomain nauwkeurig vastgelegd worden. Zo kan bijvoorbeeld vastgelegd worden dat een gebruiker student is bij de faculteit natuurkunde of een secretaresse werkt voor een bepaalde afdeling van een faculteit.

Het affiliation-gedeelte moet een van de toegestane waarden van het eduPersonAffiliation attribuut zijn (zie boven).

Het domein gedeelte moet een subdomein zijn van de schacHomeOrganization van de gebruiker. Dit subdomein hoeft niet in DNS te bestaan. Als bijvoorbeeld de schacHomeOrganization van de gebruiker uniharderwijk.nl is, kan het domeindeel van eduPeronScopedAffiliation science.uniharderwijk.nl, physics.science.uniharderwijk.nl, enz. zijn.

Voorbeeldenstudent@physics.uniharderwijk.nl
employee@catering.facilities.uniharderwijk.nl
Opmerkingen
  • Dit attribuut kan gebruikt worden om de faculteit, veld, studie, afdeling waar de gebruiker mee verbonden is te beschrijven.
  • Omdat het attribuut meerwaardig is, kan een gebruiker zowel student bij de ene als medewerker van de andere afdeling zijn.
  • Er is geen gemeenschappelijk register voor geldige subdomeinnamen. employee@cs.uniharderwijk.nl zou kunnen aangeven dat een gebruiker lid is van de academische staff van de informatica faculteit van de Universiteit van Harderwijk, terwijl employee@cs.surfnet.nl een medewerker van de "Community Support" afdeling bij SURFnet zou kunnen zijn. Daarom moet voor de interpretatie van dit attribuut altijd overleg plaatsvinden tussen de SP's (consumerende partij) en de uitgevende IdP's (uitgevende partij).

 

Entitlements

urn:mace

urn:mace:dir:attribute-def:eduPersonEntitlement

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.7

Multiplicity

multi-value

Beschrijving 

rechten; een URI (URL of URN) die aangeeft welke rechten een gebruiker heeft.

Opmerkingen 

  • Dit attribuut kan gebruikt worden om rechten, rollen, enzovoort van Identity Providers door te geven aan diensten, zodat ze bijvoorbeeld gebruikt kunnen worden voor autorisatie.
  • De Identity Provider bepaalt doorgaans de waarde ervan
  • De waarde dient te voldoen aan een gestandaardiseerd formaat.
  • Meer informatie over het entitlement-attribuut is te vinden op een aparte wiki-pagina

Principal name

urn:mace

urn:mace:dir:attribute-def:eduPersonPrincipalName

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.6

Multiplicity

single-valued

Beschrijving 

Unieke identifier voor een gebruiker in de vorm user@domain.

Opmerkingen

  • Deze waarde lijkt op een e-mailadres. Toch moet ze NIET gebruikt worden als e-mailadres. Meestal kan e-mail niet aan dit 'adres' gestuurd worden.
  • Hoewel deze waarde een gebruiker uniek identificeert, is het niet gegarandeerd dat de waarde ervan in alle gevallen vast blijft. Gebruik dit attribuut daarom liever niet om gebruikers uniek te identificeren. Gebruik in plaats daarvan het NameID.
  • Het domein-deel dient een door de instelling gecontroleerd domein te zijn, liefst hetzelfde als of een subdomein van de schacHomeOrganization.
  • SURFconext neemt in zijn configuratie op welk domein-deel gebruikt mag worden door de instelling zodat afwijkende waarden gesignaleerd kunnen worden.

isMemberOf

urn:mace

urn:mace:dir:attribute-def:isMemberOf

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

Multiplicity

multi-valued

Beschrijving 

Somt de samenwerkende organisaties op waarvan de gebruiker lid is.

Opmerkingen 

  • Attribuutwaarden zijn URI’s (URN of URL).
  • De enige waarde die momenteel ondersteund wordt, is urn:collab:org:surf.nl, die aangeeft dat het thuisnetwerk van de gebruiker lid is van SURFnet.
  • In de toekomst kan dit attribuut gebruikt worden om te bepalen of een gebruiker lid is van een samenwerkingsorganisatie.

Preferred Language

urn:mace

urn:mace:dir:attribute-def:preferredLanguage

urn:oid

urn:oid:2.16.840.1.113730.3.1.39

Multiplicity

single-valued

Beschrijving 

Een afkorting van 2 letters voor de voorkeurstaal volgens de ISO 639 codetabel; geen subcodes.

Opmerkingen 

Wordt gebruikt om aan te geven aan welke geschreven of gesproken taal de gebruiker de voorkeur geeft. Dit is nuttig voor internationale correspondentie of mens-computer-interactie. Waarden voor dit attribuuttype MOETEN overeenkomen met de definitie van het 'Accept-Language header field' in RFC 2068, met 1 uitzondering: de waarde ':' moet worden weggelaten.

EduPersonTargetedID

urn:mace

urn:mace:dir:attribute-def:eduPersonTargetedID

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.10

Multiplicity

single-valued

Beschrijving 

Het attribuut eduPersonTargetedID is een kopie van de Subject -> NameID welke door SURFconext zelf wordt gezet. Als een Identity Provider de eduPersonTargetedID zelf zet, wordt deze altijd overschreven door SURFconext.

Opmerkingen 

Dit attribuut is in het leven geroepen omdat de Subject -> NameID zelf geen onderdeel is van de SAML v2.0-respons en dus niet gebruikt kan worden. Als SURFconext de Subject -> NameID expliciet in het attribuut eduPersonTargetedID plaatst, kun je deze wel gebruiken.

eduPersonOrcid

urn:mace

urn:mace:dir:attribute-def:eduPersonOrcid

urn:oid

urn:oid:1.3.6.1.4.1.5923.1.1.1.16

Multiplicity

multi-valued (maar zie onder)

Data type

URL, geregistreerd via ORCID.org

Beschrijving 

Het ORCID is een persistente digitale identifier die de houder onderscheidt van andere onderzoekers. Via integratie in publicatieworkflows leidt dit tot de herkenning van de juiste onderzoeker bij zijn wetenschappelijke activiteiten. Waarden moeten geldige ORCID identifiers zijn in de ORCID-voorkeursrepresentatie als URL, b.v. http://orcid.org/0000-0002-1825-0097

Voorbeelden

http://orcid.org/0000-0002-1825-0097

http://orcid.org/0000-0001-9351-8252

Opmerkingen 

Zie voor achtergrondinformatie over ORCID: https://www.surf.nl/nieuws/2016/02/orcid-nu-beschikbaar-voor-europese-instellingen.html

Het attribuut is in theorie multi-valued, maar in de praktijk lijkt het logisch niet meer dan één waarde mee te geven,