Dies ist eine alte Version des Dokuments!
Attribute
Diese Seite ist noch im Aufbau begriffen!
Siehe einstweilen noch unter https://www.aai.dfn.de/der-dienst/attribute/
Diese Seite bietet eine Übersicht über die Attribute, die in der DFN-AAI üblicherweise zwischen den beteiligten Systemen ausgetauscht werden. Das heißt nicht, dass diese Attribute bzw. Schema-Erweiterungen zwingend in ein vorhandenes IdM-System bzw. Nutzerverzeichnis integriert werden müssen! In vielen Fällen kann in der Konfiguration eines Identity Providers ein Mapping von Informationen aus dem IDM auf die Attribute erfolgen, die bei der SAML-basierten Kommunikation relevant sind. Siehe hierzu auch unter Attribut-Konfigurationen.
Im Hochschul- und Forschungsbereich haben sich verschiedene Attribut-Schemata etabliert, die sich inhaltlich weitestgehend ergänzen:
Allgemein
- eduPerson
- eduPerson Schema (LDIFs, optional)
E-Learning
- SCHAC (SCHema for ACademia)
- Offizielle Dokumentation (REFEDS, bitte auch die Seite SCHAC_1.5.0_issues beachten)
- dfnEduPerson ergänzt eduPerson um spezifische Attribute für den Deutschen Hochschulbereich
- Zu den benötigten Kennziffern siehe die aktuellen Systematiken in der Hochschulstatistik des Statistischen Bundesamts
- Zur Kennzeichnung der dfnEduPerson-Attribute hat der DFN unterhalb der DFN-OID einen eigenen Bereich festgelegt
- dfnEduPerson-Schema für LDAP (optional)
- Inoffizielle Version des dfnEduPerson-Schemas für Active Directory (optional)
E-Research / Forschungsinfrastrukturen
Nationale und internationale Forschungsprojekte nutzen in zunehmendem Maße zentrale Dienste, die über „Federated Login“ bzw. SAML-basiertes Web-Single-Sign-On zugänglich sind. Um im Sinne guter wissenschaftlicher Praxis einzelne Beiträge eindeutig einem Nutzer zuordnen zu können, müssen in der Regel Attribute mit personenbezogenen Angaben an den jeweiligen Service Provider übertragen werden.
Ein weiterer Anwendungsfall sind sog. Attribute Authorities, über die Community- bzw. Projekt-spezifische Attribute abgerufen werden können. Um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und diesen Attributen herzustellen ist ein global gültiger, eindeutiger Identifier erforderlich, z.B. eduPersonPrincipalName, E-Mail-Adresse oder eduPersonUniqueId. Zu technischen Details siehe die betreffenden Seiten im eduGAIN- sowie im Shibboleth Wiki.
Bezüglich Datenschutz gelten auch hier die bereits zum Thema E-Learning geäußerten grundsätzlichen Bemerkungen (siehe oben). Konsultieren Sie im Zweifelsfall den/die Datenschutzbeauftragte(n) Ihrer Heimateinrichtung. In jedem Fall empfiehlt sich auf IdP-Seite der Einsatz von User-Consent Modulen. Auf europäischer Ebene existiert seit 2013 der im eduGAIN-Kontext entwickelte GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA, eine Selbstverpflichtungserklärung für Service Provider, deren Umsetzung mit verschiedenen technischen Maßnahmen von eduGAIN- und Föderationsseite unterstützt wird. Zu technischen Details siehe unter Entity Attribute sowie unter Attribut-Konfiguration für E-Research SPs.