Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:aai:attributes_best_practice [2020/04/16 17:15] – gelöscht Silke Meyerde:aai:attributes_best_practice [2022/08/30 09:56] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 +====== Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI ======
 +(Zurück zur [[de:attributes|Übersicht]])
  
 +Konfigurationsbeispiele für Attribute Resolver und Filter sowie Relying Party finden sich [[de:shibidp:config-attributes-aaiplus|auf dieser Seite]].
 +
 +| **1. Name Identifier und funktionsanaloge Attribute** \\ (siehe hierzu auch [[https://saml2int.org/|SAML2int Profile V2.0]], Abschnitt "3.1.3. Subject Identification") ||
 +^ 1.1 Omni-directional, non-targeted  ^^
 +| ''Subject Id (SAML V2.0 General Purpose Subject Identifier)'' [[de:common_attributes#a16|Doku]]| empfohlen |
 +| ''eduPersonUniqueId'' [[de:common_attributes#a12|Doku]] | deprecated - der Wert, der vor dem Scope steht, sollte identisch mit dem entsprechenden Wert der subject-id sein |
 +| <del>''eduPersonPrincipalName''</del> | nicht verwenden!  |
 +| <del>''mail''</del> | nicht zur Identifizierung verwenden! |
 +^ 1.2 Pairwise / targeted ^^
 +| ''Pairwise Id (SAML V2.0 Pairwise Subject Identifier)'' [[de:common_attributes#a17|Doku]] | empfohlen - Stored Id! (plus Scope)|
 +| ''eduPersonTargetedID'' [[de:common_attributes#a11|Doku]] | deprecated - Wert sollte identisch mit dem Wert pairwise-id sein, der vor dem Scope steht |
 +| ''persistent Id'' (SAML2 Name ID) | deprecated - Wert sollte identisch mit dem Wert der pairwise-id sein, der vor dem Scope steht |
 +^ 1.3 Sonstige ^^
 +| ''transient Id'' ( SAML2 Name ID) | empfohlen (für Logout benötigt) |
 +^ 2. Personennamen ^^
 +| ''displayName'' [[de:common_attributes#a02|Doku]] | empfohlen |
 +^ 3. E-Mail-Adresse(n) - nicht als Identifier verwenden! ^^
 +| ''mail'' [[de:common_attributes#a05|Doku]] | empfohlen (idealerweise **ein** Wert) |
 +^ 4. Name der Heimateinrichtung ^^
 +| ''schacHomeOrganization'' **und** ''o'' Doku zu [[de:common_attributes#a06|o]] und [[de:common_attributes#a18|schacHomeOrganization]]| empfohlen |
 +^ 5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen ^^
 +| ''eduPersonAssurance'' [[de:common_attributes#a14|Doku]] | siehe [[https://refeds.org/assurance|REFEDS Assurance Framework]] und [[de:aai:assurance_idp|Konfigurationsbeispiele für IdPs]]|
 +| ''eduPersonEntitlement'' [[de:common_attributes#a10|Doku]] ||
 +| ''eduPersonOrcid'' [[de:common_attributes#a13|Doku]] | bleibt ggf. leer |
 +| ''eduPersonScopedAffiliation'' [[de:common_attributes#a09|Doku]] ||
 +| ''schacUserStatus'' [[de:common_attributes#a15|Doku]] | insbes. zur [[de:shibidp:config-deprovisionierung|SP-seitigen Deprovisionierung]]|
 +
 +FIXME: Migrationsszenarien für die Umstellung von Identifiern beschreiben
 +
 +{{tag>subjectIdentifierAttributes aaiplus attribute}}
  • Zuletzt geändert: vor 5 Jahren