Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:aai:attributes_best_practice [2019/09/26 15:16] – Wolfgang Pempe | de:aai:attributes_best_practice [2022/08/30 09:56] (aktuell) – Wolfgang Pempe |
---|
~~NOTOC~~ | |
====== Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI ====== | ====== Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI ====== |
| (Zurück zur [[de:attributes|Übersicht]]) |
| |
^ 1. Name Identifier und funktionsanaloge Attribute \\ (s.a. [[https://saml2int.org/|SAML2int Profile V2.0]]) ^^ | Konfigurationsbeispiele für Attribute Resolver und Filter sowie Relying Party finden sich [[de:shibidp:config-attributes-aaiplus|auf dieser Seite]]. |
^ 1.1 Unique ^^ | |
| urn:oasis:names:tc:SAML:attribute:subject-id | **empfohlen** | | | **1. Name Identifier und funktionsanaloge Attribute** \\ (siehe hierzu auch [[https://saml2int.org/|SAML2int Profile V2.0]], Abschnitt "3.1.3. Subject Identification") || |
| eduPersonUniqueId | deprecated - Wert muss identisch mit subject-id sein | | ^ 1.1 Omni-directional, non-targeted ^^ |
| <del>eduPersonPrincipalName</del> | nicht verwenden! | | | ''Subject Id (SAML V2.0 General Purpose Subject Identifier)'' [[de:common_attributes#a16|Doku]]| empfohlen | |
| <del>mail</del> | nicht zur Identifizierung verwenden! | | | ''eduPersonUniqueId'' [[de:common_attributes#a12|Doku]] | deprecated - der Wert, der vor dem Scope steht, sollte identisch mit dem entsprechenden Wert der subject-id sein | |
| | <del>''eduPersonPrincipalName''</del> | nicht verwenden! | |
| | <del>''mail''</del> | nicht zur Identifizierung verwenden! | |
^ 1.2 Pairwise / targeted ^^ | ^ 1.2 Pairwise / targeted ^^ |
| urn:oasis:names:tc:SAML:attribute:pairwise-id | **empfohlen** | | | ''Pairwise Id (SAML V2.0 Pairwise Subject Identifier)'' [[de:common_attributes#a17|Doku]] | empfohlen - Stored Id! (plus Scope)| |
| eduPersonTargetedID | deprecated - Wert muss identisch mit pairwise-id sein | | | ''eduPersonTargetedID'' [[de:common_attributes#a11|Doku]] | deprecated - Wert sollte identisch mit dem Wert pairwise-id sein, der vor dem Scope steht | |
| persistent Id (SAML2 Name ID) | deprecated - Wert muss identisch mit pairwise-id sein | | | ''persistent Id'' (SAML2 Name ID) | deprecated - Wert sollte identisch mit dem Wert der pairwise-id sein, der vor dem Scope steht | |
^ 1.3 Sonstige ^^ | ^ 1.3 Sonstige ^^ |
| transient Id ( SAML2 Name ID) | empfohlen (für Logout benötigt) | | | ''transient Id'' ( SAML2 Name ID) | empfohlen (für Logout benötigt) | |
| ^ 2. Personennamen ^^ |
| | ''displayName'' [[de:common_attributes#a02|Doku]] | empfohlen | |
| ^ 3. E-Mail-Adresse(n) - nicht als Identifier verwenden! ^^ |
| | ''mail'' [[de:common_attributes#a05|Doku]] | empfohlen (idealerweise **ein** Wert) | |
| ^ 4. Name der Heimateinrichtung ^^ |
| | ''schacHomeOrganization'' **und** ''o'' Doku zu [[de:common_attributes#a06|o]] und [[de:common_attributes#a18|schacHomeOrganization]]| empfohlen | |
| ^ 5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen ^^ |
| | ''eduPersonAssurance'' [[de:common_attributes#a14|Doku]] | siehe [[https://refeds.org/assurance|REFEDS Assurance Framework]] und [[de:aai:assurance_idp|Konfigurationsbeispiele für IdPs]]| |
| | ''eduPersonEntitlement'' [[de:common_attributes#a10|Doku]] || |
| | ''eduPersonOrcid'' [[de:common_attributes#a13|Doku]] | bleibt ggf. leer | |
| | ''eduPersonScopedAffiliation'' [[de:common_attributes#a09|Doku]] || |
| | ''schacUserStatus'' [[de:common_attributes#a15|Doku]] | insbes. zur [[de:shibidp:config-deprovisionierung|SP-seitigen Deprovisionierung]]| |
| |
| FIXME: Migrationsszenarien für die Umstellung von Identifiern beschreiben |
| |
| {{tag>subjectIdentifierAttributes aaiplus attribute}} |