Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI

(Zurück zur Übersicht)

Konfigurationsbeispiele für Attribute Resolver und Filter sowie Relying Party finden sich auf dieser Seite.

1. Name Identifier und funktionsanaloge Attribute
(siehe hierzu auch SAML2int Profile V2.0, Abschnitt „3.1.3. Subject Identification“)
1.1 Omni-directional, non-targeted
Subject Id (SAML V2.0 General Purpose Subject Identifier) Doku empfohlen
eduPersonUniqueId Doku deprecated - der Wert, der vor dem Scope steht, sollte identisch mit dem entsprechenden Wert der subject-id sein
eduPersonPrincipalName nicht verwenden!
mail nicht zur Identifizierung verwenden!
1.2 Pairwise / targeted
Pairwise Id (SAML V2.0 Pairwise Subject Identifier) Doku empfohlen - Stored Id! (plus Scope)
eduPersonTargetedID Doku deprecated - Wert sollte identisch mit dem Wert pairwise-id sein, der vor dem Scope steht
persistent Id (SAML2 Name ID) deprecated - Wert sollte identisch mit dem Wert der pairwise-id sein, der vor dem Scope steht
1.3 Sonstige
transient Id ( SAML2 Name ID) empfohlen (für Logout benötigt)
2. Personennamen
displayName Doku empfohlen
3. E-Mail-Adresse(n) - nicht als Identifier verwenden!
mail Doku empfohlen (idealerweise ein Wert)
4. Name der Heimateinrichtung
schacHomeOrganization und o Doku zu o und schacHomeOrganization empfohlen
5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen
eduPersonAssurance Doku siehe REFEDS Assurance Framework und Konfigurationsbeispiele für IdPs
eduPersonEntitlement Doku
eduPersonOrcid Doku bleibt ggf. leer
eduPersonScopedAffiliation Doku
schacUserStatus Doku insbes. zur SP-seitigen Deprovisionierung

FIXME: Migrationsszenarien für die Umstellung von Identifiern beschreiben