Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:common_attributes [2019/01/29 16:05] – [Empfohlene Attribute] Wolfgang Pempede:common_attributes [2019/08/28 11:03] – [Empfohlene Attribute] Wolfgang Pempe
Zeile 24: Zeile 24:
 | [[#a13|13]] | ORCID ID(s) | eduPersonOrcid | eduPerson | | [[#a13|13]] | ORCID ID(s) | eduPersonOrcid | eduPerson |
 | [[#a14|14]] | Level of Assurance / Verlässlichkeitsklasse | eduPersonAssurance | eduPerson | | [[#a14|14]] | Level of Assurance / Verlässlichkeitsklasse | eduPersonAssurance | eduPerson |
 +| [[#a15|15]] | User Status | schacUserStatus | SCHAC |
 </datatables> </datatables>
  
Zeile 230: Zeile 231:
 | Anzahl der Werte | mehrere | | Anzahl der Werte | mehrere |
 | erlaubte Werte | Liste von URIs, die das jeweilige LoA-Kriterium eindeutig bezeichnen, siehe Beispiel | | erlaubte Werte | Liste von URIs, die das jeweilige LoA-Kriterium eindeutig bezeichnen, siehe Beispiel |
-| Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, kontrolliertes Vokabular einigen. Als Basis bietet sich hierfür das REFEDS Assurance Framework an, das mehrere LoA-relevante Aspekte abdeckt, siehe unter Referenzen. \\ Bedeutung der URIs im folgenden Beispiel: \\ https://refeds.org/assurance/ID/no-eppn-reassign : [[#a07|eduPersonPrincipalName]] wird auch nach dem Ausscheiden aus der Heimateinrichtung nicht neu vergeben \\ https://refeds.org/assurance/ATP/ePA-1m : nach Statuswechsel (z.B. Exmatrikulation) werden die Werte von [[#a08|eduPerson(Scoped)Affiliation]] innerhalb höchstens eines Monats aktualisiert/gelöscht \\ https://refeds.org/profile/mfa : Zusicherung, dass beim aktuellen Loginvorgang das REFEDS Multifactor Authentication Profile zur Anwendung kam (siehe unter Referenzen) +| Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, kontrolliertes Vokabular einigen. Als Basis bietet sich hierfür das REFEDS Assurance Framework an, das mehrere LoA-relevante Aspekte abdeckt, siehe unter Referenzen. \\ Bedeutung der URIs im folgenden Beispiel: \\ https://refeds.org/assurance/ID/eppn-unique-no-reassign : [[#a07|eduPersonPrincipalName]] wird auch nach dem Ausscheiden aus der Heimateinrichtung nicht neu vergeben \\ https://refeds.org/assurance/ATP/ePA-1m : nach Statuswechsel (z.B. Exmatrikulation) werden die Werte von [[#a08|eduPerson(Scoped)Affiliation]] innerhalb höchstens eines Monats aktualisiert/gelöscht | 
-| Beispiel | https://refeds.org/assurance/ID/no-eppn-reassign; https://refeds.org/assurance/ATP/ePA-1m; https://refeds.org/profile/mfa |+| Beispiel | https://refeds.org/assurance/ID/no-eppn-reassign; https://refeds.org/assurance/ATP/ePA-1m |
 | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.11 | | OID | 1.3.6.1.4.1.5923.1.1.1.11 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonAssurance|eduPerson-Doku]] \\ [[https://refeds.org/assurance|REFEDS Assurance Framework]] \\ [[https://wiki.refeds.org/display/PRO/MFA|REFEDS Multifactor Authentication Profile]]|+| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonAssurance|eduPerson-Doku]] \\ [[https://refeds.org/assurance|REFEDS Assurance Framework]]
 + 
 +[[#a00|nach oben]] 
 +^ {{anchor:a15:15 User Status (schacUserStatus)}} ^^ 
 +| Beschreibung | Angaben zur Verlässlichkeit einer Identität und ggf. zum aktuellen Login-Vorgang | 
 +| aus Objektklasse | SCHAC | 
 +| Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, zum aktuellen Authentifizierungsvorgang sowie anderer sicherheitsrelevanter Aspekte | 
 +| LDAP Syntax | DirectoryString | 
 +| Anzahl der Werte | mehrere | 
 +| erlaubte Werte | Liste von URNs des Typs urn:schac:userStatus:<country-code>:<domain>:<iNSS> (siehe [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|offizielle Doku]])| 
 +| Bemerkungen | Das Attribut liefert Informationen zum aktuellen Status der betreffenden identität, die von SPs z.B. für Autorisierungsentscheidungen ausgewertet werden können. Ein weiterer Anwendungsfall ist die Deprovisionierung dienstlokaler Identitäten. Ein solches Szenario ist auf der Seite [[de:shibidp3userdepro#verlaesslichkeit_von_queries|User Deprovisionierung via Attribute Query]] dokumentiert. | 
 +| Beispiel | urn:schac:userStatus:de:aai.dfn.de:idmStatus:disabled | 
 +| Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen oder auch dienstlokale User deprovisionieren. | 
 +| OID | 1.3.6.1.4.1.25178.1.2.19 | 
 +| Referenzen | [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|SCHAC-Doku]] |
  • Zuletzt geändert: vor 10 Monaten