Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:common_attributes [2017/08/17 09:26] – Wolfgang Pempe | de:common_attributes [2022/02/05 16:00] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Attribute für alle Anwendungen ====== | ====== Attribute für alle Anwendungen ====== | ||
- | ===== Vorbemerkungen ===== | + | (Zurück zur [[de: |
- | Ein Identity Provider (IdP) sollte prinzipiell in der Lage sein, die unten genannten Attribute zu generieren und an anfragende | + | |
+ | Ein Identity Provider (IdP) sollte prinzipiell in der Lage sein, die unten genannten Attribute zu generieren und an anfragende Service Provider (SP) zu übertragen. Die meisten der in der DFN-AAI registrierten Dienste lassen sich auf diese Weise nutzen. Daneben existieren spezielle Anwendungen, | ||
**Wichtig: | **Wichtig: | ||
- | Die auf dieser Seite verfügbaren Informationen basieren auf einem in der Anfangsphase der DFN-AAI (2008) {{de: | + | Die auf dieser Seite verfügbaren Informationen basieren auf einem in der Anfangsphase der DFN-AAI (2008) {{de: |
===== Übersicht über empfohlene Attribute ===== | ===== Übersicht über empfohlene Attribute ===== | ||
+ | < | ||
^ Nr. ^ Attribut ^ LDAP-Name ^ Objektklasse ^ | ^ Nr. ^ Attribut ^ LDAP-Name ^ Objektklasse ^ | ||
| [[#a01|01]] | Name | cn (commonName) | | [[#a01|01]] | Name | cn (commonName) | ||
Zeile 17: | Zeile 19: | ||
| [[#a07|07]] | Netz-ID | eduPersonPrincipalName | eduPerson | | | [[#a07|07]] | Netz-ID | eduPersonPrincipalName | eduPerson | | ||
| [[#a08|08]] | Art der Zugehörigkeit zur Heimateinrichtung | eduPersonAffiliation | eduPerson | | | [[#a08|08]] | Art der Zugehörigkeit zur Heimateinrichtung | eduPersonAffiliation | eduPerson | | ||
- | | [[#a09|09]] | Art der Zugehörigkeit plus Domain Name | eduPersonScopedAffiliation | eduPerson | | + | | [[#a09|09]] | Art der Zugehörigkeit plus Domain Name | eduPersonScopedAffiliation | eduPerson | |
| [[#a10|10]] | Berechtigungen | eduPersonEntitlement | eduPerson | | | [[#a10|10]] | Berechtigungen | eduPersonEntitlement | eduPerson | | ||
| [[#a11|11]] | Pseudonymer, | | [[#a11|11]] | Pseudonymer, | ||
| [[#a12|12]] | Eindeutiger, | | [[#a12|12]] | Eindeutiger, | ||
| [[#a13|13]] | ORCID ID(s) | eduPersonOrcid | eduPerson | | | [[#a13|13]] | ORCID ID(s) | eduPersonOrcid | eduPerson | | ||
+ | | [[#a14|14]] | Level of Assurance / Verlässlichkeitsklasse | eduPersonAssurance | eduPerson | | ||
+ | | [[#a15|15]] | User Status | schacUserStatus | SCHAC | | ||
+ | | [[#a16|16]] | Subject Id | (SAML V2.0 General Purpose Subject Identifier) | -- | | ||
+ | | [[#a17|17]] | Pairwise Id| (SAML V2.0 Pairwise Subject Identifier) | -- | | ||
+ | | [[#a18|18]] | Domain Name der Heimateinrichtung | schacHomeOrganization | SCHAC | | ||
+ | </ | ||
===== Empfohlene Attribute ===== | ===== Empfohlene Attribute ===== | ||
Zeile 38: | Zeile 46: | ||
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a01:01 Name (cn, commonName)}} ^^ | + | ^ < |
| Beschreibung | Name eines Objekts, in der Objektklasse " | | Beschreibung | Name eines Objekts, in der Objektklasse " | ||
| aus Objektklasse | person | | | aus Objektklasse | person | | ||
Zeile 45: | Zeile 53: | ||
| Anzahl der Werte | mehrere | | | Anzahl der Werte | mehrere | | ||
| erlaubte Werte | entfällt | | | erlaubte Werte | entfällt | | ||
- | | Bemerkungen | Wird häufig als Attribut verwendet, das dem gesamten Eintrag den Namen gibt (namensgebendes Attribut). Der Personenname ist oft nicht eindeutig, so dass sich andere Attribute besser zur Namensgebung eignen, z.B. mail oder eduPersonPrincipalName. Da es sich um ein Multi-Value-Attribut handelt, sollte stattdessen ohnehin [[# | + | | Bemerkungen | Wird häufig als Attribut verwendet, das dem gesamten Eintrag den Namen gibt (namensgebendes Attribut). Der Personenname ist oft nicht eindeutig, so dass sich andere Attribute besser zur Namensgebung eignen, z.B. [[#a05|mail]] oder [[#a07|eduPersonPrincipalName]]. Da es sich um ein Multi-Value-Attribut handelt, sollte stattdessen ohnehin [[# |
| Beispiel | cn: Hugo Mustermann | | | Beispiel | cn: Hugo Mustermann | | ||
| Verwendungszweck | Nicht verfälschbare Anzeige des Namens, z.B. wissenschaftliche Journale mit öffentlicher Diskussion / nichtanonymer Peer-Review | | | Verwendungszweck | Nicht verfälschbare Anzeige des Namens, z.B. wissenschaftliche Journale mit öffentlicher Diskussion / nichtanonymer Peer-Review | | ||
| OID | 2.5.4.3 | | | OID | 2.5.4.3 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-cn|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a02:02 Angezeigter Name (displayName)}} ^^ | + | ^ < |
| Beschreibung | Angezeigter Name einer Person | | | Beschreibung | Angezeigter Name einer Person | | ||
| aus Objektklasse | inetOrgPerson | | | aus Objektklasse | inetOrgPerson | | ||
Zeile 63: | Zeile 71: | ||
| Verwendungszweck | Da das Attribut einwertig ist und den üblichen Namen einer Person enthält, eignet es sich für anwendungsunterstützende Zwecke besser als [[# | | Verwendungszweck | Da das Attribut einwertig ist und den üblichen Namen einer Person enthält, eignet es sich für anwendungsunterstützende Zwecke besser als [[# | ||
| OID | 2.16.840.1.113730.3.1.241 | | | OID | 2.16.840.1.113730.3.1.241 | | ||
- | | Referenzen | [[hhttp://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-displayName|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a03:03 Nachname (sn, surname)}} ^^ | + | ^ < |
| Beschreibung | Nachname oder Familienname einer Person | | | Beschreibung | Nachname oder Familienname einer Person | | ||
| aus Objektklasse | person | | | aus Objektklasse | person | | ||
Zeile 77: | Zeile 85: | ||
| Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, | | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, | ||
| OID | 2.5.4.4 | | | OID | 2.5.4.4 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-sn|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a04:04 Vorname (givenName)}} ^^ | + | ^ < |
| Beschreibung | Vorname einer Person | | | Beschreibung | Vorname einer Person | | ||
| aus Objektklasse | inetOrgPerson | | | aus Objektklasse | inetOrgPerson | | ||
Zeile 91: | Zeile 99: | ||
| Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, | | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, | ||
| OID | 2.5.4.42 | | | OID | 2.5.4.42 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-givenName|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a05:05 E-Mail-Adresse (mail)}} ^^ | + | ^ < |
| Beschreibung | Dienstliche E-Mail-Adresse | | | Beschreibung | Dienstliche E-Mail-Adresse | | ||
| aus Objektklasse | inetOrgPerson | | | aus Objektklasse | inetOrgPerson | | ||
Zeile 105: | Zeile 113: | ||
| Verwendungszweck | **E-Learning: | | Verwendungszweck | **E-Learning: | ||
| OID | 0.9.2342.19200300.100.1.3 | | | OID | 0.9.2342.19200300.100.1.3 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-mail|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a06:06 Name der Heimateinrichtung (o, organizationName)}} ^^ | + | ^ < |
| Beschreibung | Name der Organisation bzw. Institution, | | Beschreibung | Name der Organisation bzw. Institution, | ||
| aus Objektklasse | inetOrgPerson | | | aus Objektklasse | inetOrgPerson | | ||
Zeile 119: | Zeile 127: | ||
| Verwendungszweck | Zusammen z.B. mit [[#a01|cn]] oder [[# | | Verwendungszweck | Zusammen z.B. mit [[#a01|cn]] oder [[# | ||
| OID | 2.5.4.10 | | | OID | 2.5.4.10 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/#o|eduPerson-Doku]] | | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-organizationName|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a07:07 Name in Form einer Netz-ID (eduPersonPrincipalName)}} ^^ | + | ^ < |
| Beschreibung | Netz-ID einer Person | | | Beschreibung | Netz-ID einer Person | | ||
| aus Objektklasse | eduPerson | | | aus Objektklasse | eduPerson | | ||
Zeile 129: | Zeile 137: | ||
| Anzahl der Werte | ein | | | Anzahl der Werte | ein | | ||
| erlaubte Werte | entfällt | | | erlaubte Werte | entfällt | | ||
- | | Bemerkungen | Im Gegensatz zum Attribut [[# | + | | Bemerkungen | Im Gegensatz zum Attribut [[# |
| Beispiel | eduPersonPrincipalName: | | Beispiel | eduPersonPrincipalName: | ||
| Verwendungszweck | Der eduPersonPrincipalName wird häufig in Anwendungen verwendet, wenn der Benutzer eindeutig und häufig über mehrere Anwendungen hinweg identifiziert werden muss und ein Pseudonym (siehe [[# | | Verwendungszweck | Der eduPersonPrincipalName wird häufig in Anwendungen verwendet, wenn der Benutzer eindeutig und häufig über mehrere Anwendungen hinweg identifiziert werden muss und ein Pseudonym (siehe [[# | ||
| OID | 1.3.6.1.4.1.5923.1.1.1.6 | | | OID | 1.3.6.1.4.1.5923.1.1.1.6 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonPrincipalName|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a08:08 Art der Zugehörigkeit zur eigenen Organisation (eduPersonAffiliation)}} ^^ | + | ^ < |
| Beschreibung | Art der Zugehörigkeit zur eigenen Organisation | | | Beschreibung | Art der Zugehörigkeit zur eigenen Organisation | | ||
| aus Objektklasse | eduPerson | | | aus Objektklasse | eduPerson | | ||
Zeile 147: | Zeile 155: | ||
| Verwendungszweck | Das Attribut wird je nach Anwendung mit oder ohne Scope verwendet, Beispiele siehe [[# | | Verwendungszweck | Das Attribut wird je nach Anwendung mit oder ohne Scope verwendet, Beispiele siehe [[# | ||
| OID | 1.3.6.1.4.1.5923.1.1.1.1 | | | OID | 1.3.6.1.4.1.5923.1.1.1.1 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonAffiliation|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a09:09 Art der Zugehörigkeit plus Domain Name / Scope (eduPersonScopedAffiliation)}} ^^ | + | ^ < |
| Beschreibung | Art der Zugehörigkeit zur eigenen Organisation, | | Beschreibung | Art der Zugehörigkeit zur eigenen Organisation, | ||
| aus Objektklasse | eduPerson | | | aus Objektklasse | eduPerson | | ||
Zeile 161: | Zeile 169: | ||
| Verwendungszweck | Autorisierung auf der Ebene von Zugehörigkeiten. \\ **E-Learning: | | Verwendungszweck | Autorisierung auf der Ebene von Zugehörigkeiten. \\ **E-Learning: | ||
| OID | 1.3.6.1.4.1.5923.1.1.1.9 | | | OID | 1.3.6.1.4.1.5923.1.1.1.9 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonScopedAffiliation|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a10:10 Berechtigungen (eduPersonEntitlement)}} ^^ | + | ^ < |
| Beschreibung | URI (URL oder URN), der Rechte der Person an speziellen Ressourcen anzeigt | | | Beschreibung | URI (URL oder URN), der Rechte der Person an speziellen Ressourcen anzeigt | | ||
| aus Objektklasse | eduPerson | | | aus Objektklasse | eduPerson | | ||
Zeile 173: | Zeile 181: | ||
| Bemerkungen | Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studierende oder MitarbeiterInnen oder eine Auswahl von MitarbeiterInnen), | | Bemerkungen | Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studierende oder MitarbeiterInnen oder eine Auswahl von MitarbeiterInnen), | ||
| Beispiel | eduPersonEntitlement: | | Beispiel | eduPersonEntitlement: | ||
- | | Verwendungszweck | **Bibliotheken: | + | | Verwendungszweck | **Bibliotheken: |
| OID | 1.3.6.1.4.1.5923.1.1.1.7 | | | OID | 1.3.6.1.4.1.5923.1.1.1.7 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonEntitlement|eduPerson-Doku]] | |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a11:11 Eindeutiges Pseudonym (eduPersonTargetedID)}} ^^ | + | ^ < |
| Beschreibung | Pseudonymer Identifier für eine Person | | | Beschreibung | Pseudonymer Identifier für eine Person | | ||
| aus Objektklasse | eduPerson | | | aus Objektklasse | eduPerson | | ||
Zeile 185: | Zeile 193: | ||
| Anzahl der Werte | mehrere | | | Anzahl der Werte | mehrere | | ||
| erlaubte Werte | entfällt | | | erlaubte Werte | entfällt | | ||
- | | Bemerkungen | Der Anbieter erkennt unter dem Pseudonym eine bestimmte Person, ohne dass sich aus dem Attributwert die Identität dieser Person ableiten ließe. Der Wert ist ein anonymisierter, | + | | Bemerkungen | Der Anbieter erkennt unter dem Pseudonym eine bestimmte Person, ohne dass sich aus dem Attributwert die Identität dieser Person ableiten ließe. Der Wert ist ein anonymisierter, |
- | | Beispiel | entfällt (wird i.d.R. nicht im IdM / Nutzerverzeichnis | + | | Beispiel | entfällt (wird i.d.R. nicht im IdM / NutzerverzeichniMultifactor Authentication Profiles |
- | | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den Benutzer | + | | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den/die Nutzer*in |
| OID | 1.3.6.1.4.1.5923.1.1.1.10 | | | OID | 1.3.6.1.4.1.5923.1.1.1.10 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonTargetedID|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/ |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a12:12 Eindeutiger, | + | ^ < |
| Beschreibung | Eindeutiger, | | Beschreibung | Eindeutiger, | ||
| aus Objektklasse | eduPerson | | | aus Objektklasse | eduPerson | | ||
- | | Semantik | Ein eindeutiger, | + | | Semantik | Ein eindeutiger, |
| LDAP Syntax | DirectoryString | | | LDAP Syntax | DirectoryString | | ||
| Anzahl der Werte | ein | | | Anzahl der Werte | ein | | ||
- | | erlaubte Werte | Es handelt sich um ein //Scoped Attribute// (s. [[# | + | | erlaubte Werte | Es handelt sich um ein //Scoped Attribute// (s. [[# |
- | | Bemerkungen | Üblicherweise handelt es sich um einen pseudonymen Identifier, bei dem die Rückführung auf die Identität des Nutzers jedoch einfacher möglich ist, als bei einer targeted | + | | Bemerkungen | Üblicherweise handelt es sich um einen pseudonymen Identifier, bei dem die Rückführung auf die Identität des Nutzers jedoch einfacher möglich ist, als bei einer targeted |
- | | Beispiel | 28c5353b8bb34984a8bd4169ba94c606@uni-musterstadt.de (wird i.d.R. aber nicht im IdM / Nutzerverzeichnis abgelegt!) | | + | | Beispiel | 28c5353b8bb34984a8bd4169ba94c606@uni-musterstadt.de (wird i.d.R. aber nicht als ganzes |
- | | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, | + | | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, |
| OID | 1.3.6.1.4.1.5923.1.1.1.13 | | | OID | 1.3.6.1.4.1.5923.1.1.1.13 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonUniqueId|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/ |
[[#a00|nach oben]] | [[#a00|nach oben]] | ||
- | ^ {{anchor:a13:13 ORCID ID(s) (eduPersonOrcid)}} ^^ | + | ^ < |
- | | Beschreibung | Eindeutige Identifier, die primär dazu dienen, eine Person mit ihren wissenschaftliche | + | | Beschreibung | Eindeutige Identifier, die primär dazu dienen, eine Person mit ihren wissenschaftlichen |
| aus Objektklasse | eduPerson | | | aus Objektklasse | eduPerson | | ||
| Semantik | Eindeutige, permanente, global gültige (d.h. für alle Anwendungen identische) Identifier, die nicht neu an andere Nutzer vergeben werden dürfen. ORCID IDs können von Wissenschaftler*innen über das ORCID Portal beantragt und verwaltet werden. Der primäre Verwendungszweck ist zu Zuordnung von Identitäten zu deren wissenschaftlichen Publikationen bzw. Forschungsergebnissen. | | | Semantik | Eindeutige, permanente, global gültige (d.h. für alle Anwendungen identische) Identifier, die nicht neu an andere Nutzer vergeben werden dürfen. ORCID IDs können von Wissenschaftler*innen über das ORCID Portal beantragt und verwaltet werden. Der primäre Verwendungszweck ist zu Zuordnung von Identitäten zu deren wissenschaftlichen Publikationen bzw. Forschungsergebnissen. | | ||
| LDAP Syntax | DirectoryString | | | LDAP Syntax | DirectoryString | | ||
| Anzahl der Werte | mehrere | | | Anzahl der Werte | mehrere | | ||
- | | erlaubte Werte | Es handelt sich um ein //Scoped Attribute// (s. [[# | + | | erlaubte Werte | Liste von URLs, deren ID-Komponenten immer aus 16 Ziffern bestehen |
| Bemerkungen | Um im Rahmen von AAI genutzt werden zu können, müssen ORCID IDs ins Nutzerverzeichnis der jeweiligen Heimateinrichtung eingetragen werden. | | | Bemerkungen | Um im Rahmen von AAI genutzt werden zu können, müssen ORCID IDs ins Nutzerverzeichnis der jeweiligen Heimateinrichtung eingetragen werden. | | ||
| Beispiel | http:// | | Beispiel | http:// | ||
| Verwendungszweck | Neben der Zuordnung zu wissenschaftlichen Publikationen können ORCID IDs auch für Zwecke des Account-Mapping verwendet werden, z.B. bei Föderations- und/oder Infrastruktur-übergreifenden Szenarien, in denen auf unterschiedliche Attributquellen zugegriffen wird. | | | Verwendungszweck | Neben der Zuordnung zu wissenschaftlichen Publikationen können ORCID IDs auch für Zwecke des Account-Mapping verwendet werden, z.B. bei Föderations- und/oder Infrastruktur-übergreifenden Szenarien, in denen auf unterschiedliche Attributquellen zugegriffen wird. | | ||
| OID | 1.3.6.1.4.1.5923.1.1.1.16 | | | OID | 1.3.6.1.4.1.5923.1.1.1.16 | | ||
- | | Referenzen | [[http://macedir.org/specs/eduperson/# | + | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonOrcid|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/ |
+ | |||
+ | [[#a00|nach oben]] | ||
+ | ^ < | ||
+ | | Beschreibung | Angaben zur Verlässlichkeit einer Identität | | ||
+ | | aus Objektklasse | eduPerson | | ||
+ | | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, | ||
+ | | LDAP Syntax | DirectoryString | | ||
+ | | Anzahl der Werte | mehrere | | ||
+ | | erlaubte Werte | Liste von URIs, die das jeweilige LoA-Kriterium eindeutig bezeichnen, siehe Beispiel | | ||
+ | | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, | ||
+ | | Beispiel | https:// | ||
+ | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. | | ||
+ | | OID | 1.3.6.1.4.1.5923.1.1.1.11 | | ||
+ | | Referenzen | [[https:// | ||
+ | |||
+ | [[#a00|nach oben]] | ||
+ | ^ < | ||
+ | | Beschreibung | Angaben zur Verlässlichkeit einer Identität und ggf. zum aktuellen Login-Vorgang | | ||
+ | | aus Objektklasse | SCHAC | | ||
+ | | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, | ||
+ | | LDAP Syntax | DirectoryString | | ||
+ | | Anzahl der Werte | mehrere | | ||
+ | | erlaubte Werte | Liste von URNs des Typs urn: | ||
+ | | Bemerkungen | Das Attribut liefert Informationen zum aktuellen Status der betreffenden identität, die von SPs z.B. für Autorisierungsentscheidungen ausgewertet werden können. Ein weiterer Anwendungsfall ist die Deprovisionierung dienstlokaler Identitäten. Ein solches Szenario ist auf der Seite [[de: | ||
+ | | Beispiel | urn: | ||
+ | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen oder auch dienstlokale User deprovisionieren. | | ||
+ | | OID | 1.3.6.1.4.1.25178.1.2.19 | | ||
+ | | Referenzen | [[https:// | ||
+ | |||
+ | [[#a00|nach oben]] | ||
+ | ^ < | ||
+ | | Beschreibung | Ein eindeutiger, | ||
+ | | aus Objektklasse | n/a (wird vom IdP generiert) | | ||
+ | | Semantik | long-lived, non-reassignable, | ||
+ | | LDAP Syntax | wäre DirectoryString, | ||
+ | | Anzahl der Werte |ein | | ||
+ | | erlaubte Werte | Es handelt sich um ein Scoped Attribute (s. [[# | ||
+ | | Bemerkungen | Dieses Attribut soll künftig die funktionsanalogen, | ||
+ | | Beispiel | 2b3b495f059f2512f555b4a5fea898d37ed104d805a03c4894bc32a3027bcc11@testscope.dfn.de | | ||
+ | | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, | ||
+ | | URN | urn: | ||
+ | | Referenzen | [[https:// | ||
+ | |||
+ | [[#a00|nach oben]] | ||
+ | ^ < | ||
+ | | Beschreibung | Ein eindeutiges, | ||
+ | | aus Objektklasse | n/a (wird vom IdP generiert) | | ||
+ | | Semantik | long-lived, non-reassignable, | ||
+ | | LDAP Syntax | wäre DirectoryString, | ||
+ | | Anzahl der Werte |ein | | ||
+ | | erlaubte Werte | Es handelt sich um ein Scoped Attribute (s. [[# | ||
+ | | Bemerkungen | Dieses Attribut soll künftig das funktionsanaloge, | ||
+ | | Beispiel | MCE6NXEQ3FC3PUKY4M75EYCOWN4TGKBH@testscope.dfn.de | | ||
+ | | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den/die Nutzer*in wiedererkennen können muss, für die aber die Identität des Nutzers / der Nutzerin nicht bekannt sein muss. | | ||
+ | | URN | urn: | ||
+ | | Referenzen | [[https:// | ||
+ | |||
+ | [[#a00|nach oben]] | ||
+ | ^ < | ||
+ | | Beschreibung | Domain Name der Heimateinrichtung | | ||
+ | | aus Objektklasse | SCHAC | | ||
+ | | Semantik | Im Gegensatz zu '' | ||
+ | | LDAP Syntax | DirectoryString | | ||
+ | | Anzahl der Werte | ein | | ||
+ | | erlaubte Werte | Domain Name gemäß [[https:// | ||
+ | | Bemerkungen | Es wird **dringend** empfohlen, dieses Attribut mit dem selben Wert wie dem in den IdP-Metadaten angegebenen Scope zu belegen! Service Provider sind angehalten, die beiden Werte gegeneinander abzugleichen. | | ||
+ | | Beispiel | dfn.de | | ||
+ | | Verwendungszweck | Autorisierung und Zuordnung von Nutzer*innen zu einer Heimateinrichtung | | ||
+ | | OID | 1.3.6.1.4.1.25178.1.2.9 | | ||
+ | | Referenzen | [[https:// | ||
+ | {{tag> |