Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI
(Zurück zur Übersicht)
Konfigurationsbeispiele für Attribute Resolver und Filter sowie Relying Party finden sich auf dieser Seite.
| 1. Name Identifier und funktionsanaloge Attribute (siehe hierzu auch SAML2int Profile V2.0, Abschnitt „3.1.3. Subject Identification“) |
|
| 1.1 Omni-directional, non-targeted | |
|---|---|
Subject Id (SAML V2.0 General Purpose Subject Identifier) Doku | empfohlen |
eduPersonUniqueId Doku | deprecated - der Wert, der vor dem Scope steht, sollte identisch mit dem entsprechenden Wert der subject-id sein |
eduPersonPrincipalName | nicht verwenden! |
mail | nicht zur Identifizierung verwenden! |
| 1.2 Pairwise / targeted | |
Pairwise Id (SAML V2.0 Pairwise Subject Identifier) Doku | empfohlen - Stored Id! (plus Scope) |
eduPersonTargetedID Doku | deprecated - Wert sollte identisch mit dem Wert pairwise-id sein, der vor dem Scope steht |
persistent Id (SAML2 Name ID) | deprecated - Wert sollte identisch mit dem Wert der pairwise-id sein, der vor dem Scope steht |
| 1.3 Sonstige | |
transient Id ( SAML2 Name ID) | empfohlen (für Logout benötigt) |
| 2. Personennamen | |
displayName Doku | empfohlen |
| 3. E-Mail-Adresse(n) - nicht als Identifier verwenden! | |
mail Doku | empfohlen (idealerweise ein Wert) |
| 4. Name der Heimateinrichtung | |
schacHomeOrganization und o Doku zu o und schacHomeOrganization | empfohlen |
| 5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen | |
eduPersonAssurance Doku | siehe REFEDS Assurance Framework und Konfigurationsbeispiele für IdPs |
eduPersonEntitlement Doku |
|
eduPersonOrcid Doku | bleibt ggf. leer |
eduPersonScopedAffiliation Doku |
|
schacUserStatus Doku | insbes. zur SP-seitigen Deprovisionierung |
: Migrationsszenarien für die Umstellung von Identifiern beschreiben