Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:common_attributes [2017/09/01 10:57] – [Empfohlene Attribute] Wolfgang Pempe | de:common_attributes [2019/08/28 11:03] – [Empfohlene Attribute] Wolfgang Pempe | ||
---|---|---|---|
Zeile 8: | Zeile 8: | ||
===== Übersicht über empfohlene Attribute ===== | ===== Übersicht über empfohlene Attribute ===== | ||
+ | < | ||
^ Nr. ^ Attribut ^ LDAP-Name ^ Objektklasse ^ | ^ Nr. ^ Attribut ^ LDAP-Name ^ Objektklasse ^ | ||
| [[#a01|01]] | Name | cn (commonName) | | [[#a01|01]] | Name | cn (commonName) | ||
Zeile 17: | Zeile 18: | ||
| [[#a07|07]] | Netz-ID | eduPersonPrincipalName | eduPerson | | | [[#a07|07]] | Netz-ID | eduPersonPrincipalName | eduPerson | | ||
| [[#a08|08]] | Art der Zugehörigkeit zur Heimateinrichtung | eduPersonAffiliation | eduPerson | | | [[#a08|08]] | Art der Zugehörigkeit zur Heimateinrichtung | eduPersonAffiliation | eduPerson | | ||
- | | [[#a09|09]] | Art der Zugehörigkeit plus Domain Name | eduPersonScopedAffiliation | eduPerson | | + | | [[#a09|09]] | Art der Zugehörigkeit plus Domain Name | eduPersonScopedAffiliation | eduPerson | |
| [[#a10|10]] | Berechtigungen | eduPersonEntitlement | eduPerson | | | [[#a10|10]] | Berechtigungen | eduPersonEntitlement | eduPerson | | ||
| [[#a11|11]] | Pseudonymer, | | [[#a11|11]] | Pseudonymer, | ||
Zeile 23: | Zeile 24: | ||
| [[#a13|13]] | ORCID ID(s) | eduPersonOrcid | eduPerson | | | [[#a13|13]] | ORCID ID(s) | eduPersonOrcid | eduPerson | | ||
| [[#a14|14]] | Level of Assurance / Verlässlichkeitsklasse | eduPersonAssurance | eduPerson | | | [[#a14|14]] | Level of Assurance / Verlässlichkeitsklasse | eduPersonAssurance | eduPerson | | ||
+ | | [[#a15|15]] | User Status | schacUserStatus | SCHAC | | ||
+ | </ | ||
===== Empfohlene Attribute ===== | ===== Empfohlene Attribute ===== | ||
Zeile 186: | Zeile 189: | ||
| Anzahl der Werte | mehrere | | | Anzahl der Werte | mehrere | | ||
| erlaubte Werte | entfällt | | | erlaubte Werte | entfällt | | ||
- | | Bemerkungen | Der Anbieter erkennt unter dem Pseudonym eine bestimmte Person, ohne dass sich aus dem Attributwert die Identität dieser Person ableiten ließe. Der Wert ist ein anonymisierter, | + | | Bemerkungen | Der Anbieter erkennt unter dem Pseudonym eine bestimmte Person, ohne dass sich aus dem Attributwert die Identität dieser Person ableiten ließe. Der Wert ist ein anonymisierter, |
| Beispiel | entfällt (wird i.d.R. nicht im IdM / NutzerverzeichniMultifactor Authentication Profiles abgelegt) | | | Beispiel | entfällt (wird i.d.R. nicht im IdM / NutzerverzeichniMultifactor Authentication Profiles abgelegt) | | ||
| Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den Benutzer wiedererkennen können muss, für die aber die Identität des Benutzers nicht bekannt sein muss. | | | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den Benutzer wiedererkennen können muss, für die aber die Identität des Benutzers nicht bekannt sein muss. | | ||
Zeile 199: | Zeile 202: | ||
| LDAP Syntax | DirectoryString | | | LDAP Syntax | DirectoryString | | ||
| Anzahl der Werte | ein | | | Anzahl der Werte | ein | | ||
- | | erlaubte Werte | Es handelt sich um ein //Scoped Attribute// (s. [[# | + | | erlaubte Werte | Es handelt sich um ein //Scoped Attribute// (s. [[# |
| Bemerkungen | Üblicherweise handelt es sich um einen pseudonymen Identifier, bei dem die Rückführung auf die Identität des Nutzers jedoch einfacher möglich ist, als bei einer targeted ID, da der Wert des Attributs über alle Anwendungen hinweg unverändert bleibt. | | | Bemerkungen | Üblicherweise handelt es sich um einen pseudonymen Identifier, bei dem die Rückführung auf die Identität des Nutzers jedoch einfacher möglich ist, als bei einer targeted ID, da der Wert des Attributs über alle Anwendungen hinweg unverändert bleibt. | | ||
- | | Beispiel | 28c5353b8bb34984a8bd4169ba94c606@uni-musterstadt.de (wird i.d.R. aber nicht im IdM / Nutzerverzeichnis abgelegt!) | | + | | Beispiel | 28c5353b8bb34984a8bd4169ba94c606@uni-musterstadt.de (wird i.d.R. aber nicht als ganzes |
| Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, | | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, | ||
| OID | 1.3.6.1.4.1.5923.1.1.1.13 | | | OID | 1.3.6.1.4.1.5923.1.1.1.13 | | ||
Zeile 228: | Zeile 231: | ||
| Anzahl der Werte | mehrere | | | Anzahl der Werte | mehrere | | ||
| erlaubte Werte | Liste von URIs, die das jeweilige LoA-Kriterium eindeutig bezeichnen, siehe Beispiel | | | erlaubte Werte | Liste von URIs, die das jeweilige LoA-Kriterium eindeutig bezeichnen, siehe Beispiel | | ||
- | | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, | + | | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, |
- | | Beispiel | https:// | + | | Beispiel | https:// |
| Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. | | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. | | ||
| OID | 1.3.6.1.4.1.5923.1.1.1.11 | | | OID | 1.3.6.1.4.1.5923.1.1.1.11 | | ||
- | | Referenzen | [[http:// | + | | Referenzen | [[http:// |
+ | |||
+ | [[#a00|nach oben]] | ||
+ | ^ {{anchor: | ||
+ | | Beschreibung | Angaben zur Verlässlichkeit einer Identität und ggf. zum aktuellen Login-Vorgang | | ||
+ | | aus Objektklasse | SCHAC | | ||
+ | | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, | ||
+ | | LDAP Syntax | DirectoryString | | ||
+ | | Anzahl der Werte | mehrere | | ||
+ | | erlaubte Werte | Liste von URNs des Typs urn: | ||
+ | | Bemerkungen | Das Attribut liefert Informationen zum aktuellen Status der betreffenden identität, die von SPs z.B. für Autorisierungsentscheidungen ausgewertet werden können. Ein weiterer Anwendungsfall ist die Deprovisionierung dienstlokaler Identitäten. Ein solches Szenario ist auf der Seite [[de: | ||
+ | | Beispiel | urn: | ||
+ | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen oder auch dienstlokale User deprovisionieren. | | ||
+ | | OID | 1.3.6.1.4.1.25178.1.2.19 | | ||
+ | | Referenzen | [[https:// |