====== Attribute für alle Anwendungen ====== (Zurück zur [[de:attributes|Übersicht]]) Ein Identity Provider (IdP) sollte prinzipiell in der Lage sein, die unten genannten Attribute zu generieren und an anfragende Service Provider (SP) zu übertragen. Die meisten der in der DFN-AAI registrierten Dienste lassen sich auf diese Weise nutzen. Daneben existieren spezielle Anwendungen, die sehr spezifische Attributprofile erfordern, die aber üblicherweise in den SP-Metadaten dokumentiert sind (). Die für die Nutzung von E-Learning Systemen empfohlenen Attribute sind [[de:elearning_attributes|hier dokumentiert]]. **Wichtig:** Beachten Sie in jedem Fall die [[de:attributes#hinweise_zum_datenschutz|Hinweise zum Datenschutz]]! ===== Übersicht über empfohlene Attribute ===== ^ Nr. ^ Attribut ^ LDAP-Name ^ Objektklasse ^ | [[#a01|01]] | Name | cn (commonName) | person | | [[#a02|02]] | Angezeigter Name | displayName | inetOrgPerson | | [[#a03|03]] | Nachname | sn (surname)| person | | [[#a04|04]] | Vorname | givenName | inetOrgPerson | | [[#a05|05]] | E-Mail-Adresse (Dienst) | mail | inetOrgPerson | | [[#a06|06]] | Name der Heimateinrichtung | o (organizationName) | organizationalPerson | | [[#a07|07]] | Netz-ID | eduPersonPrincipalName | eduPerson | | [[#a08|08]] | Art der Zugehörigkeit zur Heimateinrichtung | eduPersonAffiliation | eduPerson | | [[#a09|09]] | Art der Zugehörigkeit plus Domain Name | eduPersonScopedAffiliation | eduPerson | | [[#a10|10]] | Berechtigungen | eduPersonEntitlement | eduPerson | | [[#a11|11]] | Pseudonymer, Anbieter-spezifischer Identifier | eduPersonTargetedID | eduPerson | | [[#a12|12]] | Eindeutiger, global gültiger Identifier | eduPersonUniqueId | eduPerson | | [[#a13|13]] | ORCID ID(s) | eduPersonOrcid | eduPerson | | [[#a14|14]] | Level of Assurance / Verlässlichkeitsklasse | eduPersonAssurance | eduPerson | | [[#a15|15]] | User Status | schacUserStatus | SCHAC | | [[#a16|16]] | Subject Id | (SAML V2.0 General Purpose Subject Identifier) | -- | | [[#a17|17]] | Pairwise Id| (SAML V2.0 Pairwise Subject Identifier) | -- | | [[#a18|18]] | Domain Name der Heimateinrichtung | schacHomeOrganization | SCHAC | ===== Empfohlene Attribute ===== ^ Meta-Informationen und Schreibweisen für Attribute ^^ | Beschreibung | Kurze Beschreibung des Attributs | | aus Objektklasse | LDAP-Objektklasse, in der das Attribut ursprünglich definiert wurde | | Semantik | Bedeutung des Attributs | | LDAP Syntax | LDAP-Syntax des Attributs (RFC 4517). Die Syntax wird in Stringform angegeben (nicht als OID). Eine Zahl in runden Klammern spezifiziert eine Maximallänge | | Anzahl der Werte | ein : das Attribut darf nur einen Wert haben \\ mehrere: das Attribut kann beliebig viele Werte haben | | erlaubte Werte | Kontrolliertes Vokabular: Liste der erlaubten Attributwerte | | Bemerkungen | Zusätzliche Informationen | | Beispiel | Beispiel im LDIF Format (LDAP Data Interchange Format, RFC 2849) | | Verwendungszweck | Beispiele für die Verwendung des Attributs | | OID | Object Identifier, dient in Form von URNs der eindeutigen Bezeichnung der Attribute in der SAML-basierten Kommunikation zwischen IdP und SP, z.B. 'urn:oid:2.5.4.12' für 'title' | | Referenzen | Verweise zu RFCs, Standards und sonstigen Dokumentationsquellen | [[#a00|nach oben]] ^ 01 Name (cn, commonName) ^^ | Beschreibung | Name eines Objekts, in der Objektklasse "person" Name einer natürlichen Person | | aus Objektklasse | person | | Semantik | X.500-Attribut in Übereinstimmung mit RFC 2256, das den vollen Namen einer Person beschreibt, in der Regel als "blank " | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | entfällt | | Bemerkungen | Wird häufig als Attribut verwendet, das dem gesamten Eintrag den Namen gibt (namensgebendes Attribut). Der Personenname ist oft nicht eindeutig, so dass sich andere Attribute besser zur Namensgebung eignen, z.B. [[#a05|mail]] oder [[#a07|eduPersonPrincipalName]]. Da es sich um ein Multi-Value-Attribut handelt, sollte stattdessen ohnehin [[#a02|displayName]] verwendet werden.| | Beispiel | cn: Hugo Mustermann | | Verwendungszweck | Nicht verfälschbare Anzeige des Namens, z.B. wissenschaftliche Journale mit öffentlicher Diskussion / nichtanonymer Peer-Review | | OID | 2.5.4.3 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-cn|eduPerson-Doku]] | [[#a00|nach oben]] ^ 02 Angezeigter Name (displayName) ^^ | Beschreibung | Angezeigter Name einer Person | | aus Objektklasse | inetOrgPerson | | Semantik |Nach RFC 2798 wird dieses Attribut genutzt, um nur einen vollen Namen darzustellen. Das Attribut diplayName wird benötigt, da [[#a01|cn/commonName]] mehrere Werte haben kann. | | LDAP Syntax | DirectoryString | | Anzahl der Werte | ein | | erlaubte Werte | entfällt | | Bemerkungen | Aus dem Multi-Value Attribut [[#a01|cn/commonName]] wird IdM- oder IdP-seitig ein Wert für displayName gewählt. In der Regel der Name einer Person, unter dem sie allgemein bekannt ist. | | Beispiel | displayName: Hugo Mustermann | | Verwendungszweck | Da das Attribut einwertig ist und den üblichen Namen einer Person enthält, eignet es sich für anwendungsunterstützende Zwecke besser als [[#a01|cn/commonName)]]. Anwendungen, die zur Personalisierung dislayName verwenden, sind i.d.R. auch in der Lage, alternativ eine Kombination aus [[#a03|sn]] und [[#a04|givenName]] zu verarbeiten. | | OID | 2.16.840.1.113730.3.1.241 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-displayName|eduPerson-Doku]] | [[#a00|nach oben]] ^ 03 Nachname (sn, surname) ^^ | Beschreibung | Nachname oder Familienname einer Person | | aus Objektklasse | person | | Semantik | X.500-Attribut in Übereinstimmung mit RFC 2256, das den Nachnamen einer Person beschreibt | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | entfällt | | Bemerkungen | Für die DFN-AAI sollte der Teilnehmer nur einen Wert bereit stellen und zwar den Nachnamen, der für die offizielle Kommunikation mit der betreffenden Person genutzt wird. | | Beispiel | sn: Mustermann | | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a04|givenName]] verwendet. | | OID | 2.5.4.4 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-sn|eduPerson-Doku]] | [[#a00|nach oben]] ^ 04 Vorname (givenName) ^^ | Beschreibung | Vorname einer Person | | aus Objektklasse | inetOrgPerson | | Semantik | Nach RFC 2256: Das Attribut Vorname ist für den Teil des Namens gedacht, der nicht Nachname oder mittlerer Name ist. | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | entfällt | | Bemerkungen | Für die DFN-AAI sollte der Teilnehmer nur einen Wert bereit stellen. | | Beispiel | givenName: Hugo | | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a03|sn]] verwendet. | | OID | 2.5.4.42 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-givenName|eduPerson-Doku]] | [[#a00|nach oben]] ^ 05 E-Mail-Adresse (mail) ^^ | Beschreibung | Dienstliche E-Mail-Adresse | | aus Objektklasse | inetOrgPerson | | Semantik | RFC 1274: Das Attribut mail spezifiziert eine elektronische Mailbox nach RFC 822. | | LDAP Syntax | IA5String (256) | | Anzahl der Werte | mehrere | | erlaubte Werte | entfällt | | Bemerkungen | Zur Erfüllung bestimmter Dienste (z.B. Notification Service) wird der Anbieter die Weitergabe dieses Attributs verlangen. \\ **Da die E-Mail-Adresse in manchen Kontexten als Name ID verwendet wird, sollte 'mail' immer nur mit einem Wert belegt werden!** | | Beispiel | mail: mustermann@uni-musterstadt.de | | Verwendungszweck | **E-Learning:** (automatische) Benachrichtigungen, zum Beispiel in Foren, Ordnern oder durch Tutoren. \\ **Bibliotheken:** (automatisches) Verschicken von Informationen, zum Beispiel neue Ergebnisse für eine in der Anwendung hinterlegte Recherche (Alert-Dienst). \\ Alle Anwendungen: Kann als eindeutige ID zur Personalisierung verwendet werden. | | OID | 0.9.2342.19200300.100.1.3 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-mail|eduPerson-Doku]] | [[#a00|nach oben]] ^ 06 Name der Heimateinrichtung (o, organizationName) ^^ | Beschreibung | Name der Organisation bzw. Institution, der eine Person angehört | | aus Objektklasse | inetOrgPerson | | Semantik | Abbildung des Organisationsnamen im Personeneintrag | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | entfällt | | Bemerkungen | In Fällen, in denen ein Dienst den Organisationsnamen nicht nur zu Anzeigezwecken verwendet, sondern den Attributwert technisch weiterverarbeitet, empfiehlt sich alternativ der Einsatz von schacHomeOrganization (s. [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|SCHAC]]), das keinen beliebigen String, sondern einen Domain Namen transportiert - in der Regel identisch mit dem sog. Scope (s.u. [[#a07|eduPersonPrincipalName]]). | | Beispiel | o: Universität Musterstadt | | Verwendungszweck | Zusammen z.B. mit [[#a01|cn]] oder [[#a02|displayName]] zum Zweck der De-Anonymisierung | | OID | 2.5.4.10 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-organizationName|eduPerson-Doku]] | [[#a00|nach oben]] ^ 07 Name in Form einer Netz-ID (eduPersonPrincipalName) ^^ | Beschreibung | Netz-ID einer Person | | aus Objektklasse | eduPerson | | Semantik | Eindeutiger Identifier. Der Wert besteht aus einem linken und einem rechten Teil getrennt durch '@', z.B. user123@uni-musterstadt.de, wobei der rechte Teil die (in der Regel im DNS registrierte) Domain - den sog. **'Scope'** - und der linke Teil eine innerhalb der Domain eindeutige ID beschreibt, häufig die Nutzerkennung der betreffenden Person. | | LDAP Syntax | DirectoryString | | Anzahl der Werte | ein | | erlaubte Werte | entfällt | | Bemerkungen | Im Gegensatz zum Attribut [[#a05|mail]] muss es sich nicht um eine funktionierende und dieser Person zugeordnete E-Mail-Adresse handeln. Auch wird man eher hier als an anderer Stelle eine persistente ID realisieren können – vorbehaltlich des Verkaufs der Domäne. D.h. der Attributwert sollte später nicht für eine andere Person wieder verwendet werden. \\ **Gilt als deprecated und soll künftig durch [[#a16|Subject Id]] abgelöst werden.**| | Beispiel | eduPersonPrincipalName: hugo123@uni-musterstadt.de | | Verwendungszweck | Der eduPersonPrincipalName wird häufig in Anwendungen verwendet, wenn der Benutzer eindeutig und häufig über mehrere Anwendungen hinweg identifiziert werden muss und ein Pseudonym (siehe [[#a11|eduPersonTargetedID]]) hierfür nicht genügt, zum Beispiel beim schreibenden Zugriff auf Wikis, Foren oder Repositories. | | OID | 1.3.6.1.4.1.5923.1.1.1.6 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonPrincipalName|eduPerson-Doku]] | [[#a00|nach oben]] ^ 08 Art der Zugehörigkeit zur eigenen Organisation (eduPersonAffiliation) ^^ | Beschreibung | Art der Zugehörigkeit zur eigenen Organisation | | aus Objektklasse | eduPerson | | Semantik | Spezifiziert verschiedene Kategorien für die Art der Zugehörigkeit einer Person zur Heimatorganisation. | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | faculty, student, staff, alum, member, affiliate, employee, library-walk-in | | Bemerkungen | **faculty:** Mitglied des Lehrkörpers \\ **student:** Studierende \\ ** staff:** Mitarbeiter, die nicht zum Lehrkörper gehören \\ **employee:** faculty, staff und sonstige Angestellte \\ **alum:** Alumni, Ehemalige Angehörige \\ **member:** faculty, staff, student (strenggenommen Angehörige der Einrichtung im Sinne des jeweiligen Landeshochschulgesetzes) \\ **affiliate:** anderweitig mit der Organisation assoziierte Personen wie Gasthörer, Gastdozenten, Projektpartner, etc. \\ l**ibrary-walk-in:** Personen, die sich (physikalisch) in der Bibliothek befinden (i.d.R. handelt es sich technisch gesehen um ein Terminal) \\ Das Attribut bleibt leer, wenn keine Kategorie passt. \\ Die Belegung und Verwendung der o.g. Werte wird regional und international nicht einheitlich gehandhabt, insbesondere was 'employee' und 'staff' betrifft. Vgl. hierzu [[https://www.terena.org/activities/refeds/docs/ePSAcomparison_0_13.pdf|REFEDs ePSA usage comparison v0.13]]. \\ Wird eduPersonAffiliation ohne Scope verwendet (s. [[#a09|eduPersonScopedAffiliation]]), benötigt der betreffende Dienst i.d.R. ein weiteres Attribut, das die Information über die jeweilige Heimateinrichtung transportiert, z.B. [[#a06|o]], schacHomeOrganization oder ein anderes //scoped attribute// wie [[#a07|eduPersonPrincipalName]]. | | Beispiel | eduPersonAffiliation: student | | Verwendungszweck | Das Attribut wird je nach Anwendung mit oder ohne Scope verwendet, Beispiele siehe [[#a09|eduPersonScopedAffiliation]]. Autorisierung auf der Ebene von Zugehörigkeiten. | | OID | 1.3.6.1.4.1.5923.1.1.1.1 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonAffiliation|eduPerson-Doku]] | [[#a00|nach oben]] ^ 09 Art der Zugehörigkeit plus Domain Name / Scope (eduPersonScopedAffiliation) ^^ | Beschreibung | Art der Zugehörigkeit zur eigenen Organisation, ergänzt um die zugehörige Domain | | aus Objektklasse | eduPerson | | Semantik | Der Wert besteht aus einem linken und einem rechten Teil, getrennt duch '@'. Der linke Teil spezifiziert verschiedene Kategorien für die Art der Zugehörigkeit einer Person zu einer (Heimat-)Organisation oder genauer einer Organisationseinheit (s. [[#a08|eduPersonAffiliation]]), die der rechte Teil dann spezifiziert (Security Domain). | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | Für den linken Teil: faculty, student, staff, alum, member, affiliate, employee, library-walk-in. Der rechte Teil spezifiziert die Domain, den sog. 'Scope', zu der die Beziehung besteht. | | Bemerkungen | Für die linke Seite siehe unter [[#a08|eduPersonAffiliation]]. \\ Das Attribut bleibt leer, wenn keine Kategorie passt. \\ Die rechte Seite bezeichnet die Domain, zu der die Person gehört, s.u. [[#a07|eduPersonPrincipalName]]. | | Beispiel | eduPersonScopedAffiliation: student@uni-musterstadt.de | | Verwendungszweck | Autorisierung auf der Ebene von Zugehörigkeiten. \\ **E-Learning:** Festlegung von Berechtigungen anhand des Status des Benutzers. \\ **Bibliotheken:** Wird von einigen Anbietern verwendet, um den Zugriff auf lizenzpflichtige Inhalte zu kontrollieren, bei neueren Implementierungen wird meistens [[#a10|eduPersonEntitlement]] verwendet. | | OID | 1.3.6.1.4.1.5923.1.1.1.9 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonScopedAffiliation|eduPerson-Doku]] | [[#a00|nach oben]] ^ 10 Berechtigungen (eduPersonEntitlement) ^^ | Beschreibung | URI (URL oder URN), der Rechte der Person an speziellen Ressourcen anzeigt | | aus Objektklasse | eduPerson | | Semantik | Berechtigung, die den Zugriff und ggf. die Art des Zugriffs auf bestimmte Ressourcen steuert. | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | Nur URIs | | Bemerkungen | Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studierende oder MitarbeiterInnen oder eine Auswahl von MitarbeiterInnen), die sich darüber autorisieren. Die Berechtigungen können auch je nach Kontext im Rahmen eines Projekts oder einer Fachcommunity unabhängig von der Heimateinrichtung in einer separaten Attributquelle (Attribute Authority) gepflegt werden. Die Attributwerte und ihre Bedeutung müssen je nach Kontext auf Projekt-, Hochschul-, Föderationsebene oder auch föderationsübergreifend festgelegt oder direkt zwischen Anbietern und Teilnehmern abgesprochen werden. | | Beispiel | eduPersonEntitlement: urn:mace:dir:entitlement:common-lib-terms | | Verwendungszweck | **Bibliotheken:** Wichtiges Attribut für den Bibliotheksbereich, wird von vielen Anbietern verwendet, um den Zugang zu lizenzpflichtigen Inhalten zu kontrollieren. MACE hat für den Fall einer typischen Campuslizenz, wie sie von den meisten Anbietern angeboten wird, den Attributwert [[https://www.internet2.edu/products-services/trust-identity/mace-registries/urnmace-namespace/urn-mace-dir-registry/urn-mace-dir-entitlement/|urn:mace:dir:entitlement:common-lib-terms]] definiert. \\ **Allgemein:** Das Attribut wird in vielen Anwendungen verwendet, um Benutzern spezielle Rechte (zum Beispiel Schreibzugriff oder Administrationsrechte) zuzuweisen oder den Zugriff auf Anwendungen auf ausgewählte Nutzer(gruppen) zu beschränken, sofern dies nicht über Personalisierungsmechanismen und Identifier wie z.B. [[#a07|eduPersonPrincipalName]] geschieht. \\ **Hinweis:** Namensräume für hochschul- oder projektspezifische Entitlements können [[de:urnreg:start|über den DFN registriert]] werden. | | OID | 1.3.6.1.4.1.5923.1.1.1.7 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonEntitlement|eduPerson-Doku]] | [[#a00|nach oben]] ^ 11 Eindeutiges Pseudonym (eduPersonTargetedID) ^^ | Beschreibung | Pseudonymer Identifier für eine Person | | aus Objektklasse | eduPerson | | Semantik | Ein eindeutiges, dauerhaftes Pseudonym einer Person für einen speziellen Anbieter | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | entfällt | | Bemerkungen | Der Anbieter erkennt unter dem Pseudonym eine bestimmte Person, ohne dass sich aus dem Attributwert die Identität dieser Person ableiten ließe. Der Wert ist ein anonymisierter, unumkehrbarer Wert (Hash), der aus der Entity ID des IdP, der Entity ID des SP und einer eindeutigen ID des Nutzers generiert wird ("targeted Id"). \\ In neueren IdP-Implementierungen wird dieser Wert häufig in einer Datenbank abgelegt. Man spricht hier von einer Stored Id. Diese Id kann nicht nur als Attribut, sondern auch als Name ID, **SAML2 Persistent NameID** ("persistent Id"), dann im Subject der SAML Assertion übertragen werden. Siehe unter [[de:shibidp:config-storage|Server-Side-Storage und Persistent Identifier]]. \\ **Gilt als deprecated und soll künftig durch [[#a17|Pairwise Id]] abgelöst werden.**| | Beispiel | entfällt (wird i.d.R. nicht im IdM / NutzerverzeichniMultifactor Authentication Profiles abgelegt) | | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den/die Nutzer*in wiedererkennen können muss, für die aber die Identität des Nutzers / der Nutzerin nicht bekannt sein muss. | | OID | 1.3.6.1.4.1.5923.1.1.1.10 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonTargetedID|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.geant.org/display/eduGAIN/Identifier+Attributes|eduGAIN Wiki: Name Identifier Attributes]]| [[#a00|nach oben]] ^ 12 Eindeutiger, global gültiger Identifier (eduPersonUniqueId) ^^ | Beschreibung | Eindeutiger, global gültiger Identifier | | aus Objektklasse | eduPerson | | Semantik | Ein eindeutiger, permanenter, global gültiger (d.h. für alle Anwendungen identischer) Identifier, der nicht neu an andere Nutzer*innen vergeben werden darf. | | LDAP Syntax | DirectoryString | | Anzahl der Werte | ein | | erlaubte Werte | Es handelt sich um ein //Scoped Attribute// (s. [[#a07|eduPersonPrincipalName]]), bei dem der linke Teil (uniqueID) aus einem eindeutigen, max. 64 Zeichen langen, alphanumerischen String (nur [a-z],[A-Z],[0-9]) besteht, während der rechte, durch '@' abgetrennte Teil (Scope) den Domain Namen der betreffenden Einrichtung repräsentiert. | | Bemerkungen | Üblicherweise handelt es sich um einen pseudonymen Identifier, bei dem die Rückführung auf die Identität des Nutzers jedoch einfacher möglich ist, als bei einer targeted Id, da der Wert des Attributs über alle Anwendungen hinweg unverändert bleibt. \\ **Gilt als deprecated und soll künftig durch [[#a16|Subject Id]] abgelöst werden.** | | Beispiel | 28c5353b8bb34984a8bd4169ba94c606@uni-musterstadt.de (wird i.d.R. aber nicht als ganzes im IdM / Nutzerverzeichnis abgelegt, sondern mittels Hash(+SALT) aus bestehenden Attributen berechnet!) | | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, ggf. mit Zugriff auf spezifische Attributquellen. Siehe hierzu auch unter [[de:aai:attribute_authority|Attribute Authority]] | | OID | 1.3.6.1.4.1.5923.1.1.1.13 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonUniqueId|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.geant.org/display/eduGAIN/Identifier+Attributes|eduGAIN Wiki: Name Identifier Attributes]]| [[#a00|nach oben]] ^ 13 ORCID ID(s) (eduPersonOrcid) ^^ | Beschreibung | Eindeutige Identifier, die primär dazu dienen, eine Person mit ihren wissenschaftlichen Publikationen in Beziehung zu setzen | | aus Objektklasse | eduPerson | | Semantik | Eindeutige, permanente, global gültige (d.h. für alle Anwendungen identische) Identifier, die nicht neu an andere Nutzer vergeben werden dürfen. ORCID IDs können von Wissenschaftler*innen über das ORCID Portal beantragt und verwaltet werden. Der primäre Verwendungszweck ist zu Zuordnung von Identitäten zu deren wissenschaftlichen Publikationen bzw. Forschungsergebnissen. | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | Liste von URLs, deren ID-Komponenten immer aus 16 Ziffern bestehen (International Standard Name Identifier), siehe Beispiel | | Bemerkungen | Um im Rahmen von AAI genutzt werden zu können, müssen ORCID IDs ins Nutzerverzeichnis der jeweiligen Heimateinrichtung eingetragen werden. | | Beispiel | https://orcid.org/0000-0002-1825-0097 | | Verwendungszweck | Neben der Zuordnung zu wissenschaftlichen Publikationen können ORCID IDs auch für Zwecke des Account-Mapping verwendet werden, z.B. bei Föderations- und/oder Infrastruktur-übergreifenden Szenarien, in denen auf unterschiedliche Attributquellen zugegriffen wird. | | OID | 1.3.6.1.4.1.5923.1.1.1.16 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonOrcid|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://orcid.org/|ORCID]]| [[#a00|nach oben]] ^ 14 Level of Assurance (LoA) / Verlässlichkeitsklasse (eduPersonAssurance) ^^ | Beschreibung | Angaben zur Verlässlichkeit einer Identität | | aus Objektklasse | eduPerson | | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, zum aktuellen Authentifizierungsvorgang sowie anderer sicherheitsrelevanter Aspekte | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | Liste von URIs, die LoA-Kriterien eindeutig bezeichnen, siehe Beispiel | | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, kontrolliertes Vokabular einigen. Als Basis bietet sich hierfür das REFEDS Assurance Framework an, das mehrere LoA-relevante Aspekte abdeckt, siehe unter Referenzen. \\ Bedeutung der URIs im folgenden Beispiel: \\ https://refeds.org/assurance/ID/eppn-unique-no-reassign : [[#a07|eduPersonPrincipalName]] wird auch nach dem Ausscheiden aus der Heimateinrichtung nicht neu vergeben \\ https://refeds.org/assurance/ATP/ePA-1m : nach Statuswechsel (z.B. Exmatrikulation) werden die Werte von [[#a08|eduPerson(Scoped)Affiliation]] innerhalb höchstens eines Monats aktualisiert/gelöscht | | Beispiel | https://refeds.org/assurance; https://refeds.org/assurance/ID/eppn-unique-no-reassign; https://refeds.org/assurance/IAP/low; https://refeds.org/assurance/ATP/ePA-1m | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. | | OID | 1.3.6.1.4.1.5923.1.1.1.11 | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonAssurance|eduPerson-Doku]] \\ [[https://refeds.org/assurance|REFEDS Assurance Framework]] \\ [[de:aai:assurance|Assurance in der DFN-AAI]]| [[#a00|nach oben]] ^ 15 User Status (schacUserStatus) ^^ | Beschreibung | Angaben zur Verlässlichkeit einer Identität und ggf. zum aktuellen Login-Vorgang | | aus Objektklasse | SCHAC | | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, zum aktuellen Authentifizierungsvorgang sowie anderer sicherheitsrelevanter Aspekte | | LDAP Syntax | DirectoryString | | Anzahl der Werte | mehrere | | erlaubte Werte | Liste von URNs des Typs urn:schac:userStatus::: (siehe [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|offizielle Doku]])| | Bemerkungen | Das Attribut liefert Informationen zum aktuellen Status der betreffenden identität, die von SPs z.B. für Autorisierungsentscheidungen ausgewertet werden können. Ein weiterer Anwendungsfall ist die Deprovisionierung dienstlokaler Identitäten. Ein solches Szenario ist auf der Seite [[de:shibidp:config-deprovisionierung#verlaesslichkeit_von_queries|User Deprovisionierung via Attribute Query]] dokumentiert. | | Beispiel | urn:schac:userStatus:de:aai.dfn.de:idmStatus:disabled | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen oder auch dienstlokale User deprovisionieren. | | OID | 1.3.6.1.4.1.25178.1.2.19 | | Referenzen | [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|SCHAC-Doku]] | [[#a00|nach oben]] ^ 16 Subject Id (SAML V2.0 General Purpose Subject Identifier) ^^ | Beschreibung | Ein eindeutiger, permanenter, global gültiger (d.h. für alle Anwendungen identischer) Identifier, der nicht neu an andere Nutzer*innen vergeben werden darf. | | aus Objektklasse | n/a (wird vom IdP generiert) | | Semantik | long-lived, non-reassignable, omni-directional identifier suitable for use as a globally-unique external key | | LDAP Syntax | wäre DirectoryString, wird aber vom IdP generiert | | Anzahl der Werte |ein | | erlaubte Werte | Es handelt sich um ein Scoped Attribute (s. [[#a07|eduPersonPrincipalName]]), bei dem der linke Teil (uniqueID) aus einem eindeutigen, max. 127 Zeichen langen String: (ALPHA / DIGIT) 0*126(ALPHA / DIGIT / "=" / "-") besteht, während der rechte, durch '@' abgetrennte Teil (Scope) den Domain Namen der betreffenden Einrichtung repräsentiert. Wichtig: der linke Teil (uniqueId) muss case-insensitive behandelt werden, d.h. Werte, die sich nur in Groß-/Klein-Schreibung unterscheiden, müssen auf die selbe Identität bzw. das selbe 'Subject' weisen. | | Bemerkungen | Dieses Attribut soll künftig die funktionsanalogen, als deprecated geltenden Attribute [[#a07|eduPersonPrincipalName]] und [[#a12|eduPersonUniqueId]] ablösen. Siehe hierzu auch unter [[de:aai:attributes_best_practice|Best Practice]]. | | Beispiel | 2b3b495f059f2512f555b4a5fea898d37ed104d805a03c4894bc32a3027bcc11@testscope.dfn.de | | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, ggf. mit Zugriff auf spezifische Attributquellen. Siehe hierzu auch unter [[de:aai:attribute_authority|Attribute Authority]] | | URN | urn:oasis:names:tc:SAML:attribute:subject-id | | Referenzen | [[https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Spezifikation des Attributprofils]] | [[#a00|nach oben]] ^ 17 Pairwise Id (SAML V2.0 Pairwise Subject Identifier) ^^ | Beschreibung | Ein eindeutiges, dauerhaftes Pseudonym einer Person für einen speziellen Service Provider, der nicht neu an andere Nutzer*innen vergeben werden darf. | | aus Objektklasse | n/a (wird vom IdP generiert) | | Semantik | long-lived, non-reassignable, uni-directional identifier, suitable for use as a unique external key specific to a particular relying party | | LDAP Syntax | wäre DirectoryString, wird aber vom IdP generiert | | Anzahl der Werte |ein | | erlaubte Werte | Es handelt sich um ein Scoped Attribute (s. [[#a07|eduPersonPrincipalName]]), bei dem der linke Teil (uniqueID) aus einem eindeutigen, max. 127 Zeichen langen String: (ALPHA / DIGIT) 0*126(ALPHA / DIGIT / "=" / "-") besteht, während der rechte, durch '@' abgetrennte Teil (Scope) den Domain Namen der betreffenden Einrichtung repräsentiert. Wichtig: der linke Teil (uniqueId) muss case-insensitive behandelt werden, d.h. Werte, die sich nur in Groß-/Klein-Schreibung unterscheiden, müssen auf die selbe Identität bzw. das selbe 'Subject' weisen. | | Bemerkungen | Dieses Attribut soll künftig das funktionsanaloge, als deprecated geltende Attribut [[#a11|eduPersonTargetedID]] sowie die SAML2 persistent NameID (kein Attribut) ablösen. Der Wert (bzw. dessen uniqueID-Part) der Pairwise Id kann/sollte aber ebenfalls in einer [[de:shibidp:config-storage|Datenbank]] abgelegt werden). Siehe hierzu auch unter [[de:aai:attributes_best_practice|Best Practice]]. | | Beispiel | MCE6NXEQ3FC3PUKY4M75EYCOWN4TGKBH@testscope.dfn.de | | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den/die Nutzer*in wiedererkennen können muss, für die aber die Identität des Nutzers / der Nutzerin nicht bekannt sein muss. | | URN | urn:oasis:names:tc:SAML:attribute:pairwise-id | | Referenzen | [[https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Spezifikation des Attributprofils]] | [[#a00|nach oben]] ^ 18 Domain Name der Heimateinrichtung (schacHomeOrganization) ^^ | Beschreibung | Domain Name der Heimateinrichtung | | aus Objektklasse | SCHAC | | Semantik | Im Gegensatz zu ''[[#a06|o]]'' eine maschinenlesbare Angabe der Heimateinrichtung eines Nutzers / einer Nutzerin | | LDAP Syntax | DirectoryString | | Anzahl der Werte | ein | | erlaubte Werte | Domain Name gemäß [[https://tools.ietf.org/html/rfc1035|RFC 1035]] | | Bemerkungen | Es wird **dringend** empfohlen, dieses Attribut mit dem selben Wert wie dem in den IdP-Metadaten angegebenen Scope zu belegen! Service Provider sind angehalten, die beiden Werte gegeneinander abzugleichen. | | Beispiel | dfn.de | | Verwendungszweck | Autorisierung und Zuordnung von Nutzer*innen zu einer Heimateinrichtung | | OID | 1.3.6.1.4.1.25178.1.2.9 | | Referenzen | [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|SCHAC-Doku]] | {{tag>attribute subjectIdentifierAttributes}}