Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI
(Zurück zur Übersicht)
Konfigurationsbeispiele für Attribute Resolver und Filter sowie Relying Party finden sich auf dieser Seite.
1. Name Identifier und funktionsanaloge Attribute (siehe hierzu auch SAML2int Profile V2.0, Abschnitt „3.1.3. Subject Identification“) |
|
1.1 Omni-directional, non-targeted | |
---|---|
Subject Id (SAML V2.0 General Purpose Subject Identifier) Doku | empfohlen |
eduPersonUniqueId Doku | deprecated - der Wert, der vor dem Scope steht, sollte identisch mit dem entsprechenden Wert der subject-id sein |
eduPersonPrincipalName | nicht verwenden! |
mail | nicht zur Identifizierung verwenden! |
1.2 Pairwise / targeted | |
Pairwise Id (SAML V2.0 Pairwise Subject Identifier) Doku | empfohlen - Stored Id! (plus Scope) |
eduPersonTargetedID Doku | deprecated - Wert sollte identisch mit dem Wert pairwise-id sein, der vor dem Scope steht |
persistent Id (SAML2 Name ID) | deprecated - Wert sollte identisch mit dem Wert der pairwise-id sein, der vor dem Scope steht |
1.3 Sonstige | |
transient Id ( SAML2 Name ID) | empfohlen (für Logout benötigt) |
2. Personennamen | |
displayName Doku | empfohlen |
3. E-Mail-Adresse(n) - nicht als Identifier verwenden! | |
mail Doku | empfohlen (idealerweise ein Wert) |
4. Name der Heimateinrichtung | |
schacHomeOrganization und o Doku zu o und schacHomeOrganization | empfohlen |
5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen | |
eduPersonAssurance Doku | siehe REFEDS Assurance Framework und Konfigurationsbeispiele für IdPs |
eduPersonEntitlement Doku |
|
eduPersonOrcid Doku | bleibt ggf. leer |
eduPersonScopedAffiliation Doku |
|
schacUserStatus Doku | insbes. zur SP-seitigen Deprovisionierung |
: Migrationsszenarien für die Umstellung von Identifiern beschreiben