Dies ist eine alte Version des Dokuments!

Attribute

Diese Seite bietet eine Übersicht über die Attributschemata, die in der DFN-AAI verwendet werden. Diese Schemata müssen nicht in Ihr IdM-System bzw. Nutzerverzeichnis integriert werden. Die Übersetzung zwischen IdM-Attributen und AAI-Attributen kann im IdP konfiguriert werden. Wie das grundsätzlich funktioniert, erklären wir unter Attribute in a Nutshell.

Im Hochschul- und Forschungsbereich haben sich verschiedene Attributschemata etabliert, die sich inhaltlich weitestgehend ergänzen:

Empfohlene Attribute

Die gängigsten Attribute sind in den Schemata eduPerson, person, inetOrgPerson und organizationalPerson definiert. Bitte schauen Sie sich unsere kommentierte Liste an, die jeder Identity Provider für einen reibungslosen Betrieb liefern können sollte.

Weitere Informationen finden Sie hier:

E-Learning und DFN-spezifische Erweiterungen

E-Research / Forschungsinfrastrukturen

Nationale und internationale Forschungsprojekte nutzen in zunehmendem Maße zentrale Dienste, die über „Federated Login“ bzw. SAML-basiertes Web-Single-Sign-On zugänglich sind. Um im Sinne guter wissenschaftlicher Praxis einzelne Beiträge eindeutig einem Nutzer zuordnen zu können, müssen in der Regel Attribute mit personenbezogenen Angaben an den jeweiligen Service Provider übertragen werden. Siehe hierzu auch unter Attribut-Konfiguration für E-Research SPs.

Ein weiterer Anwendungsfall sind sog. Attribute Authorities, über die Community- bzw. Projekt-spezifische Attribute abgerufen werden können. Um das Mapping zwischen dem/der bei der jeweiligen Heimateinrichtung angemeldeten Nutzer(in) und diesen Attributen herzustellen, ist ein global gültiger, eindeutiger Identifier erforderlich, z.B. eduPersonPrincipalName, E-Mail-Adresse oder eduPersonUniqueId. Zu technischen Details siehe auch die betreffenden Seiten im eduGAIN- sowie im Shibboleth Wiki.

Virtuelle Organisationen

Um den Anforderungen virtueller Organisationen zu genügen, die z.B. eine Infrastruktur gemäß der AARC Blueprint Architecture betreiben, wurde 2018 das voPerson Schema definiert.

Best Practice Empfehlungen zur Verwendung von Attributen in der DFN-AAI

Dokumentation der Empfehlungen

Hinweise zum Datenschutz

  • Identity Provider sollten zwar grundsätzlich in der Lage sein, einen emfohlenen Mindestsatz an Attributen zu generieren und zu übertragen, was aber nicht heißt, dass diese Attribute ungefragt an jeden beliebigen Service Provider übertragen werden sollten!
  • Attributfreigaben sollten nur unter Beachtung der aktuell gültigen Datenschutzgesetze und -Bestimmungen erfolgen. Insbesondere gilt das Prinzip der Datensparsamkeit, d.h. es sollten nur die Attribute und Attributwerte übertragen werden, die zur Nutzung der jeweiligen Anwendung bzw. Infrastruktur tatsächlich erforderlich sind.
  • Konsultieren Sie hierzu den/die Datenschutzbeauftragte(n) Ihrer Heimateinrichtung.
  • Außer in Ausnahmefällen (mit dem/der Datenschutzbeauftragten abzustimmen), sollte ein IdP-seitiges User Consent Modul zum Einsatz kommen, das es den Nutzern ermöglicht, die zu übertragenden Attribute und Attributwerte zu kontrollieren und die Übertragung ggf. zu unterbinden. Siehe hierzu auch die Seite Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls.
  • Auf europäischer Ebene existiert seit 2013 der im eduGAIN-Kontext entwickelte GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA, eine Selbstverpflichtungserklärung für Service Provider, deren Umsetzung mit verschiedenen technischen Maßnahmen von eduGAIN- und Föderationsseite unterstützt wird. Zu technischen Details siehe unter Entity Attribute sowie unter Attribut-Konfiguration für E-Research SPs.
    Einige grundsätzliche Überlegungen zum Thema Attributfreigabe im Rahmen des Code of Conduct finden sich REFEDS-Wiki.
  • Zuletzt geändert: vor 5 Jahren