Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:attributes [2020/04/16 15:30] – Silke Meyer | de:attributes [2020/04/16 17:00] – Silke Meyer |
---|
~~NOTOC~~ | |
====== Attribute ====== | ====== Attribute ====== |
{{INLINETOC 2}} | |
Diese Seite bietet eine Übersicht über die **Attribute**, die in der DFN-AAI üblicherweise zwischen den beteiligten Systemen ausgetauscht werden. **Das heißt nicht, dass diese Attribute bzw. Schema-Erweiterungen zwingend in ein vorhandenes IdM-System bzw. Nutzerverzeichnis integriert werden müssen!** In vielen Fällen kann in der Konfiguration eines Identity Providers ein Mapping von Informationen aus dem IDM auf die Attribute erfolgen, die bei der SAML-basierten Kommunikation relevant sind. Siehe hierzu auch unter [[de:shibidp3attributes|Attribut-Konfigurationen]]. | |
| |
Zum grundlegenden Verständnis der Attribut-Generierung, -Freigabe und -Übertragung empfehlen wir die Lektüre dieser [[https://download.aai.dfn.de/ws/2019_cc/attributes.pdf|Präsentation von einem der DFN-AAI Workshops]]. | Diese Seite bietet eine Übersicht über die Attributschemata, die in der DFN-AAI verwendet werden. Diese Schemata müssen //nicht// in Ihr IdM-System bzw. Nutzerverzeichnis integriert werden. Die Übersetzung zwischen IdM-Attributen und AAI-Attributen kann im IdP konfiguriert werden. Wie das grundsätzlich funktioniert, erklären wir unter [[de:attributes-nutshell|Attribute in a Nutshell]]. |
| |
Im Hochschul- und Forschungsbereich haben sich verschiedene Attribut-Schemata etabliert, die sich inhaltlich weitestgehend ergänzen: | Im Hochschul- und Forschungsbereich haben sich verschiedene Attributschemata etabliert, die sich inhaltlich weitestgehend ergänzen: |
| |
===== Allgemein ===== | ===== Empfohlene Attribute ===== |
* **eduPerson, person, inetOrgPerson, organizationalPerson** | Die gängigsten Attribute sind in den Schemata eduPerson, person, inetOrgPerson und organizationalPerson definiert. Bitte schauen Sie sich unsere [[de:common_attributes|kommentierte Liste]] an, die jeder Identity Provider für einen reibungslosen Betrieb liefern können sollte. |
* [[https://wiki.refeds.org/x/RYAEAw|Ausführliche Dokumentation der eduPerson-Attribute sowie der gängigsten Attribute aus weiteren Schemata bzw. Klassen]] | |
* [[https://spaces.internet2.edu/display/macedir/LDIFs|eduPerson Schema]] (LDIFs, optional) | Weitere Informationen finden Sie hier: |
* **Neu (2019)** [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|SAML V2.0 Subject Identifier Attributes]] | * [[https://wiki.refeds.org/x/RYAEAw|Ausführliche Dokumentation der eduPerson-Attribute sowie der gängigsten Attribute aus weiteren Schemata bzw. Klassen]] |
* **Kommentierte [[de:common_attributes|Liste der am häufigsten verwendeten / empfohlenen Attribute]]** | * [[https://spaces.internet2.edu/display/macedir/LDIFs|eduPerson Schema]] (LDIFs, optional) |
| * **2019** [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|SAML V2.0 Subject Identifier Attributes]] |
| |
===== E-Learning und DFN-spezifische Erweiterungen ===== | ===== E-Learning und DFN-spezifische Erweiterungen ===== |
Um den Anforderungen virtueller Organisationen zu genügen, die z.B. eine Infrastruktur gemäß der [[https://aarc-project.eu/architecture/|AARC Blueprint Architecture]] betreiben, wurde 2018 das [[https://github.com/voperson/voperson/blob/master/voPerson.md|voPerson Schema]] definiert. | Um den Anforderungen virtueller Organisationen zu genügen, die z.B. eine Infrastruktur gemäß der [[https://aarc-project.eu/architecture/|AARC Blueprint Architecture]] betreiben, wurde 2018 das [[https://github.com/voperson/voperson/blob/master/voPerson.md|voPerson Schema]] definiert. |
| |
==== Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI ==== | |
[[de:aai:attributes_best_practice|Dokumentation der Empfehlungen]] | ===== Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI ===== |
| <callout type="danger" title="Work in Progress"> |
| Diese Liste ist noch im Aufbau begriffen! |
| </callout> |
| |
| Konfigurationsbeispiele für Attribute Resolver und Filter sowie Relying Party finden sich [[de:shibidp3attributes-aaiplus|hier]]. |
| |
| | **1. Name Identifier und funktionsanaloge Attribute** \\ (siehe hierzu auch [[https://saml2int.org/|SAML2int Profile V2.0]], Abschnitt "3.1.3. Subject Identification") || |
| ^ 1.1 Omni-directional, non-targeted ^^ |
| | ''urn:oasis:names:tc:SAML:attribute:subject-id'' [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Doku]]| empfohlen | |
| | ''eduPersonUniqueId'' [[de:common_attributes#a12|Doku]] | deprecated - Wert muss identisch mit subject-id sein | |
| | <del>''eduPersonPrincipalName''</del> | nicht verwenden! | |
| | <del>''mail''</del> | nicht zur Identifizierung verwenden! | |
| ^ 1.2 Pairwise / targeted ^^ |
| | ''urn:oasis:names:tc:SAML:attribute:pairwise-id'' [[http://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Doku]] | empfohlen - Stored Id!| |
| | ''eduPersonTargetedID'' [[de:common_attributes#a11|Doku]] | deprecated - Wert muss identisch mit pairwise-id sein | |
| | ''persistent Id'' (SAML2 Name ID) | deprecated - Wert muss identisch mit pairwise-id sein | |
| ^ 1.3 Sonstige ^^ |
| | ''transient Id'' ( SAML2 Name ID) | empfohlen (für Logout benötigt) | |
| ^ 2. Personennamen ^^ |
| | ''displayName'' [[de:common_attributes#a02|Doku]] | empfohlen | |
| ^ 3. E-Mail-Adresse(n) - nicht als Identifier verwenden! ^^ |
| | ''mail'' [[de:common_attributes#a05|Doku]] | empfohlen (idealerweise **ein** Wert) | |
| ^ 4. Name der Heimateinrichtung ^^ |
| | ''schacHomeOrganization'' **und** ''o'' [[de:common_attributes#a06|Doku]] | empfohlen | |
| ^ 5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen ^^ |
| | ''eduPersonAssurance'' [[de:common_attributes#a14|Doku]] | siehe [[https://refeds.org/assurance|REFEDS Assurance Framework]] | |
| | ''eduPersonEntitlement'' [[de:common_attributes#a10|Doku]] || |
| | ''eduPersonOrcid'' [[de:common_attributes#a13|Doku]] | bleibt ggf. leer | |
| | ''eduPersonScopedAffiliation'' [[de:common_attributes#a09|Doku]] || |
| | ''schacUserStatus'' [[de:common_attributes#a15|Doku]] | insbes. zur [[de:shibidp3userdepro|SP-seitigen Deprovisionierung]]| |
| |
| |
<callout type="danger"> | <callout type="danger"> |