Dies ist eine alte Version des Dokuments!
Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI
Work in Progress
Diese Liste ist noch im Aufbau begriffen!Konfigurationsbeispiele für Attribute Resolver und Filter sowie Relying Party finden sich hier.
1. Name Identifier und funktionsanaloge Attribute (siehe hierzu auch SAML2int Profile V2.0, Abschnitt „3.1.3. Subject Identification“) |
|
1.1 Omni-directional, non-targeted | |
---|---|
urn:oasis:names:tc:SAML:attribute:subject-id Doku | empfohlen |
eduPersonUniqueId Doku | deprecated - Wert muss identisch mit subject-id sein |
eduPersonPrincipalName | nicht verwenden! |
mail | nicht zur Identifizierung verwenden! |
1.2 Pairwise / targeted | |
urn:oasis:names:tc:SAML:attribute:pairwise-id Doku | empfohlen - Stored Id! |
eduPersonTargetedID Doku | deprecated - Wert muss identisch mit pairwise-id sein |
persistent Id (SAML2 Name ID) | deprecated - Wert muss identisch mit pairwise-id sein |
1.3 Sonstige | |
transient Id ( SAML2 Name ID) | empfohlen (für Logout benötigt) |
2. Personennamen | |
displayName Doku | empfohlen |
3. E-Mail-Adresse(n) - nicht als Identifier verwenden! | |
mail Doku | empfohlen (idealerweise ein Wert) |
4. Name der Heimateinrichtung | |
schacHomeOrganization und o Doku | empfohlen |
5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen | |
eduPersonAssurance Doku | siehe REFEDS Assurance Framework |
eduPersonEntitlement Doku |
|
eduPersonOrcid Doku | bleibt ggf. leer |
eduPersonScopedAffiliation Doku |
|
schacUserStatus Doku | insbes. zur SP-seitigen Deprovisionierung |