Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI

Konfigurationsbeispiele für Attribute Resolver und Filter sowie Relying Party finden sich auf dieser Seite.

1.1 Omni-directional, non-targeted
1. Name Identifier und funktionsanaloge Attribute (siehe hierzu auch SAML2int Profile V2.0, Abschnitt „3.1.3. Subject Identification“)
`Subject Id (SAML V2.0 General Purpose Subject Identifier)` Doku	empfohlen
`eduPersonUniqueId` Doku	deprecated - der Wert, der vor dem Scope steht, sollte identisch mit dem entsprechenden Wert der subject-id sein
~~`eduPersonPrincipalName`~~	nicht verwenden!
~~`mail`~~	nicht zur Identifizierung verwenden!
1.2 Pairwise / targeted
`Pairwise Id (SAML V2.0 Pairwise Subject Identifier)` Doku	empfohlen - Stored Id! (plus Scope)
`eduPersonTargetedID` Doku	deprecated - Wert sollte identisch mit dem Wert pairwise-id sein, der vor dem Scope steht
`persistent Id` (SAML2 Name ID)	deprecated - Wert sollte identisch mit dem Wert der pairwise-id sein, der vor dem Scope steht
1.3 Sonstige
`transient Id` ( SAML2 Name ID)	empfohlen (für Logout benötigt)
2. Personennamen
`displayName` Doku	empfohlen
3. E-Mail-Adresse(n) - nicht als Identifier verwenden!
`mail` Doku	empfohlen (idealerweise ein Wert)
4. Name der Heimateinrichtung
`schacHomeOrganization` und `o` Doku zu o und schacHomeOrganization	empfohlen
5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen
`eduPersonAssurance` Doku	siehe REFEDS Assurance Framework und Konfigurationsbeispiele für IdPs
`eduPersonEntitlement` Doku
`eduPersonOrcid` Doku	bleibt ggf. leer
`eduPersonScopedAffiliation` Doku
`schacUserStatus` Doku	insbes. zur SP-seitigen Deprovisionierung

: Migrationsszenarien für die Umstellung von Identifiern beschreiben

subjectIdentifierAttributes, aaiplus, attribute

subjectidentifierattributes aaiplus attribute