Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:common_attributes [2021/05/18 12:52] Wolfgang Pempede:common_attributes [2025/06/06 18:19] (aktuell) Wolfgang Pempe
Zeile 4: Zeile 4:
 Ein Identity Provider (IdP) sollte prinzipiell in der Lage sein, die unten genannten Attribute zu generieren und an anfragende Service Provider (SP) zu übertragen. Die meisten der in der DFN-AAI registrierten Dienste lassen sich auf diese Weise nutzen. Daneben existieren spezielle Anwendungen, die sehr spezifische Attributprofile erfordern, die aber üblicherweise in den SP-Metadaten dokumentiert sind (<RequestedAttribute>). Die für die Nutzung von E-Learning Systemen empfohlenen Attribute sind [[de:elearning_attributes|hier dokumentiert]]. Ein Identity Provider (IdP) sollte prinzipiell in der Lage sein, die unten genannten Attribute zu generieren und an anfragende Service Provider (SP) zu übertragen. Die meisten der in der DFN-AAI registrierten Dienste lassen sich auf diese Weise nutzen. Daneben existieren spezielle Anwendungen, die sehr spezifische Attributprofile erfordern, die aber üblicherweise in den SP-Metadaten dokumentiert sind (<RequestedAttribute>). Die für die Nutzung von E-Learning Systemen empfohlenen Attribute sind [[de:elearning_attributes|hier dokumentiert]].
    
-**Wichtig:** Beachten Sie in jedem Fall die [[de:attributes#hinweise_zum_datenschutz|Hinweise zum Datenschutz]]! +**Wichtig:** Beachten Sie in jedem Fall die [[de:attributes#hinweise_zum_datenschutz|Hinweise zum Datenschutz]]! <BOOKMARK:a00>
- +
-Die auf dieser Seite verfügbaren Informationen basieren auf einem in der Anfangsphase der DFN-AAI (2008) {{de:dfn-aai-attribute-v.1.0.pdf|veröffentlichten Papier}}, das als Handreichung für Heimateinrichtungen, d.h. IdM- und IdP-Betreiber konzipiert war.<BOOKMARK:a00>+
  
 ===== Übersicht über empfohlene Attribute ===== ===== Übersicht über empfohlene Attribute =====
 +Ein Klick auf die Nummer bringt Sie nach unten zu den ausführlichen Informationen zum gewählten Attribut.
 +
 <datatables paging="false" info="false"> <datatables paging="false" info="false">
 ^ Nr. ^ Attribut ^ LDAP-Name ^ Objektklasse ^ ^ Nr. ^ Attribut ^ LDAP-Name ^ Objektklasse ^
Zeile 29: Zeile 29:
 | [[#a17|17]] | Pairwise Id| (SAML V2.0 Pairwise Subject Identifier) | -- | | [[#a17|17]] | Pairwise Id| (SAML V2.0 Pairwise Subject Identifier) | -- |
 | [[#a18|18]] | Domain Name der Heimateinrichtung | schacHomeOrganization | SCHAC | | [[#a18|18]] | Domain Name der Heimateinrichtung | schacHomeOrganization | SCHAC |
 +| [[#a19|19]] | Titel oder Anrede | schacPersonalTitle | SCHAC |
 </datatables> </datatables>
  
Zeile 44: Zeile 45:
 | OID | Object Identifier, dient in Form von URNs der eindeutigen Bezeichnung der Attribute in der SAML-basierten Kommunikation zwischen IdP und SP, z.B. 'urn:oid:2.5.4.12' für 'title' | | OID | Object Identifier, dient in Form von URNs der eindeutigen Bezeichnung der Attribute in der SAML-basierten Kommunikation zwischen IdP und SP, z.B. 'urn:oid:2.5.4.12' für 'title' |
 | Referenzen | Verweise zu RFCs, Standards und sonstigen Dokumentationsquellen | | Referenzen | Verweise zu RFCs, Standards und sonstigen Dokumentationsquellen |
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a01> 01 Name (cn, commonName) ^^ ^ <BOOKMARK:a01> 01 Name (cn, commonName) ^^
 | Beschreibung | Name eines Objekts, in der Objektklasse "person" Name einer natürlichen Person | | Beschreibung | Name eines Objekts, in der Objektklasse "person" Name einer natürlichen Person |
Zeile 57: Zeile 58:
 | Verwendungszweck | Nicht verfälschbare Anzeige des Namens, z.B. wissenschaftliche Journale mit öffentlicher Diskussion / nichtanonymer Peer-Review | | Verwendungszweck | Nicht verfälschbare Anzeige des Namens, z.B. wissenschaftliche Journale mit öffentlicher Diskussion / nichtanonymer Peer-Review |
 | OID | 2.5.4.3 | | OID | 2.5.4.3 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#cn|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-cn|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a02> 02 Angezeigter Name (displayName) ^^ ^ <BOOKMARK:a02> 02 Angezeigter Name (displayName) ^^
 | Beschreibung | Angezeigter Name einer Person | | Beschreibung | Angezeigter Name einer Person |
Zeile 71: Zeile 72:
 | Verwendungszweck | Da das Attribut einwertig ist und den üblichen Namen einer Person enthält, eignet es sich für anwendungsunterstützende Zwecke besser als [[#a01|cn/commonName)]]. Anwendungen, die zur Personalisierung dislayName verwenden, sind i.d.R. auch in der Lage, alternativ eine Kombination aus [[#a03|sn]] und [[#a04|givenName]] zu verarbeiten. | | Verwendungszweck | Da das Attribut einwertig ist und den üblichen Namen einer Person enthält, eignet es sich für anwendungsunterstützende Zwecke besser als [[#a01|cn/commonName)]]. Anwendungen, die zur Personalisierung dislayName verwenden, sind i.d.R. auch in der Lage, alternativ eine Kombination aus [[#a03|sn]] und [[#a04|givenName]] zu verarbeiten. |
 | OID | 2.16.840.1.113730.3.1.241 | | OID | 2.16.840.1.113730.3.1.241 |
-| Referenzen | [[hhttp://macedir.org/specs/eduperson/#displayName|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-displayName|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a03> 03 Nachname (sn, surname) ^^ ^ <BOOKMARK:a03> 03 Nachname (sn, surname) ^^
 | Beschreibung | Nachname oder Familienname einer Person | | Beschreibung | Nachname oder Familienname einer Person |
Zeile 85: Zeile 86:
 | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a04|givenName]] verwendet. | | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a04|givenName]] verwendet. |
 | OID | 2.5.4.4 | | OID | 2.5.4.4 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#sn|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-sn|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a04> 04 Vorname (givenName) ^^ ^ <BOOKMARK:a04> 04 Vorname (givenName) ^^
 | Beschreibung | Vorname einer Person | | Beschreibung | Vorname einer Person |
Zeile 99: Zeile 100:
 | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a03|sn]] verwendet. | | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a03|sn]] verwendet. |
 | OID | 2.5.4.42 | | OID | 2.5.4.42 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#givenName|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-givenName|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a05> 05 E-Mail-Adresse (mail) ^^ ^ <BOOKMARK:a05> 05 E-Mail-Adresse (mail) ^^
 | Beschreibung | Dienstliche E-Mail-Adresse | | Beschreibung | Dienstliche E-Mail-Adresse |
Zeile 113: Zeile 114:
 | Verwendungszweck | **E-Learning:** (automatische) Benachrichtigungen, zum Beispiel in Foren, Ordnern oder durch Tutoren. \\ **Bibliotheken:** (automatisches) Verschicken von Informationen, zum Beispiel neue Ergebnisse für eine in der Anwendung hinterlegte Recherche (Alert-Dienst). \\ Alle Anwendungen: Kann als eindeutige ID zur Personalisierung verwendet werden. | | Verwendungszweck | **E-Learning:** (automatische) Benachrichtigungen, zum Beispiel in Foren, Ordnern oder durch Tutoren. \\ **Bibliotheken:** (automatisches) Verschicken von Informationen, zum Beispiel neue Ergebnisse für eine in der Anwendung hinterlegte Recherche (Alert-Dienst). \\ Alle Anwendungen: Kann als eindeutige ID zur Personalisierung verwendet werden. |
 | OID | 0.9.2342.19200300.100.1.3 | | OID | 0.9.2342.19200300.100.1.3 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#mail|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-mail|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a06> 06 Name der Heimateinrichtung (o, organizationName) ^^ ^ <BOOKMARK:a06> 06 Name der Heimateinrichtung (o, organizationName) ^^
 | Beschreibung | Name der Organisation bzw. Institution, der eine Person angehört | | Beschreibung | Name der Organisation bzw. Institution, der eine Person angehört |
Zeile 127: Zeile 128:
 | Verwendungszweck | Zusammen z.B. mit [[#a01|cn]] oder [[#a02|displayName]] zum Zweck der De-Anonymisierung  | | Verwendungszweck | Zusammen z.B. mit [[#a01|cn]] oder [[#a02|displayName]] zum Zweck der De-Anonymisierung  |
 | OID | 2.5.4.10 | | OID | 2.5.4.10 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#o|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-organizationName|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a07> 07 Name in Form einer Netz-ID (eduPersonPrincipalName) ^^ ^ <BOOKMARK:a07> 07 Name in Form einer Netz-ID (eduPersonPrincipalName) ^^
 | Beschreibung | Netz-ID einer Person | | Beschreibung | Netz-ID einer Person |
Zeile 141: Zeile 142:
 | Verwendungszweck | Der eduPersonPrincipalName wird häufig in Anwendungen verwendet, wenn der Benutzer eindeutig und häufig über mehrere Anwendungen hinweg identifiziert werden muss und ein Pseudonym (siehe [[#a11|eduPersonTargetedID]]) hierfür nicht genügt, zum Beispiel beim schreibenden Zugriff auf Wikis, Foren oder Repositories.  | | Verwendungszweck | Der eduPersonPrincipalName wird häufig in Anwendungen verwendet, wenn der Benutzer eindeutig und häufig über mehrere Anwendungen hinweg identifiziert werden muss und ein Pseudonym (siehe [[#a11|eduPersonTargetedID]]) hierfür nicht genügt, zum Beispiel beim schreibenden Zugriff auf Wikis, Foren oder Repositories.  |
 | OID | 1.3.6.1.4.1.5923.1.1.1.6 | | OID | 1.3.6.1.4.1.5923.1.1.1.6 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonPrincipalName|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonPrincipalName|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a08> 08 Art der Zugehörigkeit zur eigenen Organisation (eduPersonAffiliation) ^^ ^ <BOOKMARK:a08> 08 Art der Zugehörigkeit zur eigenen Organisation (eduPersonAffiliation) ^^
 | Beschreibung | Art der Zugehörigkeit zur eigenen Organisation | | Beschreibung | Art der Zugehörigkeit zur eigenen Organisation |
Zeile 155: Zeile 156:
 | Verwendungszweck | Das Attribut wird je nach Anwendung mit oder ohne Scope verwendet, Beispiele siehe [[#a09|eduPersonScopedAffiliation]]. Autorisierung auf der Ebene von Zugehörigkeiten. | | Verwendungszweck | Das Attribut wird je nach Anwendung mit oder ohne Scope verwendet, Beispiele siehe [[#a09|eduPersonScopedAffiliation]]. Autorisierung auf der Ebene von Zugehörigkeiten. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.1 | | OID | 1.3.6.1.4.1.5923.1.1.1.1 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonAffiliation|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonAffiliation|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a09> 09 Art der Zugehörigkeit plus Domain Name / Scope (eduPersonScopedAffiliation) ^^ ^ <BOOKMARK:a09> 09 Art der Zugehörigkeit plus Domain Name / Scope (eduPersonScopedAffiliation) ^^
 | Beschreibung | Art der Zugehörigkeit zur eigenen Organisation, ergänzt um die zugehörige Domain | | Beschreibung | Art der Zugehörigkeit zur eigenen Organisation, ergänzt um die zugehörige Domain |
Zeile 169: Zeile 170:
 | Verwendungszweck | Autorisierung auf der Ebene von Zugehörigkeiten. \\ **E-Learning:** Festlegung von Berechtigungen anhand des Status des Benutzers. \\ **Bibliotheken:** Wird von einigen Anbietern verwendet, um den Zugriff auf lizenzpflichtige Inhalte zu kontrollieren, bei neueren Implementierungen wird meistens [[#a10|eduPersonEntitlement]] verwendet. | | Verwendungszweck | Autorisierung auf der Ebene von Zugehörigkeiten. \\ **E-Learning:** Festlegung von Berechtigungen anhand des Status des Benutzers. \\ **Bibliotheken:** Wird von einigen Anbietern verwendet, um den Zugriff auf lizenzpflichtige Inhalte zu kontrollieren, bei neueren Implementierungen wird meistens [[#a10|eduPersonEntitlement]] verwendet. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.9 | | OID | 1.3.6.1.4.1.5923.1.1.1.9 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonScopedAffiliation|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonScopedAffiliation|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a10> 10 Berechtigungen (eduPersonEntitlement) ^^ ^ <BOOKMARK:a10> 10 Berechtigungen (eduPersonEntitlement) ^^
 | Beschreibung | URI (URL oder URN), der Rechte der Person an speziellen Ressourcen anzeigt | | Beschreibung | URI (URL oder URN), der Rechte der Person an speziellen Ressourcen anzeigt |
Zeile 181: Zeile 182:
 | Bemerkungen | Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studierende oder MitarbeiterInnen oder eine Auswahl von MitarbeiterInnen), die sich darüber autorisieren. Die Berechtigungen können auch je nach Kontext im Rahmen eines Projekts oder einer Fachcommunity unabhängig von der Heimateinrichtung in einer separaten Attributquelle (Attribute Authority) gepflegt werden. Die Attributwerte und ihre Bedeutung müssen je nach Kontext auf Projekt-, Hochschul-, Föderationsebene oder auch föderationsübergreifend festgelegt oder direkt zwischen Anbietern und Teilnehmern abgesprochen werden. | | Bemerkungen | Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studierende oder MitarbeiterInnen oder eine Auswahl von MitarbeiterInnen), die sich darüber autorisieren. Die Berechtigungen können auch je nach Kontext im Rahmen eines Projekts oder einer Fachcommunity unabhängig von der Heimateinrichtung in einer separaten Attributquelle (Attribute Authority) gepflegt werden. Die Attributwerte und ihre Bedeutung müssen je nach Kontext auf Projekt-, Hochschul-, Föderationsebene oder auch föderationsübergreifend festgelegt oder direkt zwischen Anbietern und Teilnehmern abgesprochen werden. |
 | Beispiel | eduPersonEntitlement: urn:mace:dir:entitlement:common-lib-terms | | Beispiel | eduPersonEntitlement: urn:mace:dir:entitlement:common-lib-terms |
-| Verwendungszweck | **Bibliotheken:** Wichtiges Attribut für den Bibliotheksbereich, wird von vielen Anbietern verwendet, um den Zugang zu lizenzpflichtigen Inhalten zu kontrollieren. MACE hat für den Fall einer typischen Campuslizenz, wie sie von den meisten Anbietern angeboten wird, den Attributwert [[https://www.internet2.edu/products-services/trust-identity/mace-registries/urnmace-namespace/urn-mace-dir-registry/urn-mace-dir-entitlement/|urn:mace:dir:entitlement:common-lib-terms]] definiert. \\ **Allgemein:** Das Attribut wird in vielen Anwendungen verwendet, um Benutzern spezielle Rechte (zum Beispiel Schreibzugriff oder Administrationsrechte) zuzuweisen oder den Zugriff auf Anwendungen auf ausgewählte Nutzer(gruppen) zu beschränken, sofern dies nicht über Personalisierungsmechanismen und Identifier wie z.B. [[#a07|eduPersonPrincipalName]] geschieht. |+| Verwendungszweck | **Bibliotheken:** Wichtiges Attribut für den Bibliotheksbereich, wird von vielen Anbietern verwendet, um den Zugang zu lizenzpflichtigen Inhalten zu kontrollieren. MACE hat für den Fall einer typischen Campuslizenz, wie sie von den meisten Anbietern angeboten wird, den Attributwert [[https://www.internet2.edu/products-services/trust-identity/mace-registries/urnmace-namespace/urn-mace-dir-registry/urn-mace-dir-entitlement/|urn:mace:dir:entitlement:common-lib-terms]] definiert. \\ **Allgemein:** Das Attribut wird in vielen Anwendungen verwendet, um Benutzern spezielle Rechte (zum Beispiel Schreibzugriff oder Administrationsrechte) zuzuweisen oder den Zugriff auf Anwendungen auf ausgewählte Nutzer(gruppen) zu beschränken, sofern dies nicht über Personalisierungsmechanismen und Identifier wie z.B. [[#a07|eduPersonPrincipalName]] geschieht. \\ **Hinweis:** Namensräume für hochschul- oder projektspezifische Entitlements können [[de:urnreg:start|über den DFN registriert]] werden. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.7 | | OID | 1.3.6.1.4.1.5923.1.1.1.7 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonEntitlement|eduPerson-Doku]] | +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonEntitlement|eduPerson-Doku]] | 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] |
 ^ <BOOKMARK:a11> 11 Eindeutiges Pseudonym (eduPersonTargetedID) ^^ ^ <BOOKMARK:a11> 11 Eindeutiges Pseudonym (eduPersonTargetedID) ^^
 | Beschreibung | Pseudonymer Identifier für eine Person | | Beschreibung | Pseudonymer Identifier für eine Person |
Zeile 193: Zeile 194:
 | Anzahl der Werte | mehrere | | Anzahl der Werte | mehrere |
 | erlaubte Werte | entfällt | | erlaubte Werte | entfällt |
-| Bemerkungen | Der Anbieter erkennt unter dem Pseudonym eine bestimmte Person, ohne dass sich aus dem Attributwert die Identität dieser Person ableiten ließe. Der Wert ist ein anonymisierter, unumkehrbarer Wert (Hash), der aus der Entity ID des IdP, der Entity ID des SP und einer eindeutigen ID des Nutzers generiert wird ("targeted Id"). \\ In neueren IdP-Implementierungen wird dieser Wert häufig in einer Datenbank abgelegt. Man spricht hier von einer Stored Id. Diese Id kann nicht nur als Attribut, sondern auch als Name ID, **SAML2 Persistent NameID** ("persistent Id"), dann im Subject der SAML Assertion übertragen werden. Siehe unter [[de:shibidp3storage|Server-Side-Storage und Persistent Identifier]]. \\ **Gilt als deprecated und soll künftig durch [[#a17|Pairwise Id]] abgelöst werden.**|+| Bemerkungen | Der Anbieter erkennt unter dem Pseudonym eine bestimmte Person, ohne dass sich aus dem Attributwert die Identität dieser Person ableiten ließe. Der Wert ist ein anonymisierter, unumkehrbarer Wert (Hash), der aus der Entity ID des IdP, der Entity ID des SP und einer eindeutigen ID des Nutzers generiert wird ("targeted Id"). \\ In neueren IdP-Implementierungen wird dieser Wert häufig in einer Datenbank abgelegt. Man spricht hier von einer Stored Id. Diese Id kann nicht nur als Attribut, sondern auch als Name ID, **SAML2 Persistent NameID** ("persistent Id"), dann im Subject der SAML Assertion übertragen werden. Siehe unter [[de:shibidp:config-storage|Server-Side-Storage und Persistent Identifier]]. \\ **Gilt als deprecated und soll künftig durch [[#a17|Pairwise Id]] abgelöst werden.**|
 | Beispiel | entfällt (wird i.d.R. nicht im IdM / NutzerverzeichniMultifactor Authentication Profiles abgelegt) | | Beispiel | entfällt (wird i.d.R. nicht im IdM / NutzerverzeichniMultifactor Authentication Profiles abgelegt) |
 | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den/die Nutzer*in wiedererkennen können muss, für die aber die Identität des Nutzers / der Nutzerin nicht bekannt sein muss. | | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den/die Nutzer*in wiedererkennen können muss, für die aber die Identität des Nutzers / der Nutzerin nicht bekannt sein muss. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.10 | | OID | 1.3.6.1.4.1.5923.1.1.1.10 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonTargetedID|eduPerson-Doku]] \\ [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.edugain.org/Identifier_Attributes|eduGAIN Wiki: Name Identifier Attributes]]| +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonTargetedID|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.geant.org/display/eduGAIN/Identifier+Attributes|eduGAIN Wiki: Name Identifier Attributes]]| 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a12> 12 Eindeutiger, global gültiger Identifier (eduPersonUniqueId) ^^ ^ <BOOKMARK:a12> 12 Eindeutiger, global gültiger Identifier (eduPersonUniqueId) ^^
 | Beschreibung | Eindeutiger, global gültiger Identifier | | Beschreibung | Eindeutiger, global gültiger Identifier |
Zeile 211: Zeile 212:
 | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, ggf. mit Zugriff auf spezifische Attributquellen. Siehe hierzu auch unter [[de:aai:attribute_authority|Attribute Authority]] | | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, ggf. mit Zugriff auf spezifische Attributquellen. Siehe hierzu auch unter [[de:aai:attribute_authority|Attribute Authority]] |
 | OID | 1.3.6.1.4.1.5923.1.1.1.13 | | OID | 1.3.6.1.4.1.5923.1.1.1.13 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonUniqueId|eduPerson-Doku]] \\ [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.edugain.org/Identifier_Attributes|eduGAIN Wiki: Name Identifier Attributes]]| +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonUniqueId|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.geant.org/display/eduGAIN/Identifier+Attributes|eduGAIN Wiki: Name Identifier Attributes]]| 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a13> 13 ORCID ID(s) (eduPersonOrcid) ^^ ^ <BOOKMARK:a13> 13 ORCID ID(s) (eduPersonOrcid) ^^
 | Beschreibung | Eindeutige Identifier, die primär dazu dienen, eine Person mit ihren wissenschaftlichen Publikationen in Beziehung zu setzen | | Beschreibung | Eindeutige Identifier, die primär dazu dienen, eine Person mit ihren wissenschaftlichen Publikationen in Beziehung zu setzen |
Zeile 222: Zeile 223:
 | erlaubte Werte | Liste von URLs, deren ID-Komponenten immer aus 16 Ziffern bestehen (International Standard Name Identifier), siehe Beispiel | | erlaubte Werte | Liste von URLs, deren ID-Komponenten immer aus 16 Ziffern bestehen (International Standard Name Identifier), siehe Beispiel |
 | Bemerkungen | Um im Rahmen von AAI genutzt werden zu können, müssen ORCID IDs ins Nutzerverzeichnis der jeweiligen Heimateinrichtung eingetragen werden. | | Bemerkungen | Um im Rahmen von AAI genutzt werden zu können, müssen ORCID IDs ins Nutzerverzeichnis der jeweiligen Heimateinrichtung eingetragen werden. |
-| Beispiel | http://orcid.org/0000-0002-1825-0097 |+| Beispiel | https://orcid.org/0000-0002-1825-0097 |
 | Verwendungszweck | Neben der Zuordnung zu wissenschaftlichen Publikationen können ORCID IDs auch für Zwecke des Account-Mapping verwendet werden, z.B. bei Föderations- und/oder Infrastruktur-übergreifenden Szenarien, in denen auf unterschiedliche Attributquellen zugegriffen wird. | | Verwendungszweck | Neben der Zuordnung zu wissenschaftlichen Publikationen können ORCID IDs auch für Zwecke des Account-Mapping verwendet werden, z.B. bei Föderations- und/oder Infrastruktur-übergreifenden Szenarien, in denen auf unterschiedliche Attributquellen zugegriffen wird. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.16 | | OID | 1.3.6.1.4.1.5923.1.1.1.16 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonOrcid|eduPerson-Doku]] \\ [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://orcid.org/|ORCID]]| +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonOrcid|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://orcid.org/|ORCID]]| 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a14> 14 Level of Assurance (LoA) / Verlässlichkeitsklasse (eduPersonAssurance) ^^ ^ <BOOKMARK:a14> 14 Level of Assurance (LoA) / Verlässlichkeitsklasse (eduPersonAssurance) ^^
-| Beschreibung | Angaben zur Verlässlichkeit einer Identität und ggf. zum aktuellen Login-Vorgang |+| Beschreibung | Angaben zur Verlässlichkeit einer Identität |
 | aus Objektklasse | eduPerson | | aus Objektklasse | eduPerson |
 | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, zum aktuellen Authentifizierungsvorgang sowie anderer sicherheitsrelevanter Aspekte | | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, zum aktuellen Authentifizierungsvorgang sowie anderer sicherheitsrelevanter Aspekte |
 | LDAP Syntax | DirectoryString | | LDAP Syntax | DirectoryString |
 | Anzahl der Werte | mehrere | | Anzahl der Werte | mehrere |
-| erlaubte Werte | Liste von URIs, die das jeweilige LoA-Kriterium eindeutig bezeichnen, siehe Beispiel |+| erlaubte Werte | Liste von URIs, die LoA-Kriterien eindeutig bezeichnen, siehe Beispiel |
 | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, kontrolliertes Vokabular einigen. Als Basis bietet sich hierfür das REFEDS Assurance Framework an, das mehrere LoA-relevante Aspekte abdeckt, siehe unter Referenzen. \\ Bedeutung der URIs im folgenden Beispiel: \\ https://refeds.org/assurance/ID/eppn-unique-no-reassign : [[#a07|eduPersonPrincipalName]] wird auch nach dem Ausscheiden aus der Heimateinrichtung nicht neu vergeben \\ https://refeds.org/assurance/ATP/ePA-1m : nach Statuswechsel (z.B. Exmatrikulation) werden die Werte von [[#a08|eduPerson(Scoped)Affiliation]] innerhalb höchstens eines Monats aktualisiert/gelöscht | | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, kontrolliertes Vokabular einigen. Als Basis bietet sich hierfür das REFEDS Assurance Framework an, das mehrere LoA-relevante Aspekte abdeckt, siehe unter Referenzen. \\ Bedeutung der URIs im folgenden Beispiel: \\ https://refeds.org/assurance/ID/eppn-unique-no-reassign : [[#a07|eduPersonPrincipalName]] wird auch nach dem Ausscheiden aus der Heimateinrichtung nicht neu vergeben \\ https://refeds.org/assurance/ATP/ePA-1m : nach Statuswechsel (z.B. Exmatrikulation) werden die Werte von [[#a08|eduPerson(Scoped)Affiliation]] innerhalb höchstens eines Monats aktualisiert/gelöscht |
-| Beispiel | https://refeds.org/assurance/ID/no-eppn-reassign; https://refeds.org/assurance/ATP/ePA-1m |+| Beispiel | https://refeds.org/assurance; https://refeds.org/assurance/ID/eppn-unique-no-reassign; https://refeds.org/assurance/IAP/low; https://refeds.org/assurance/ATP/ePA-1m |
 | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.11 | | OID | 1.3.6.1.4.1.5923.1.1.1.11 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonAssurance|eduPerson-Doku]] \\ [[https://refeds.org/assurance|REFEDS Assurance Framework]]| +| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonAssurance|eduPerson-Doku]] \\ [[https://refeds.org/assurance|REFEDS Assurance Framework]] \\ [[de:aai:assurance|Assurance in der DFN-AAI]]| 
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a15> 15 User Status (schacUserStatus) ^^ ^ <BOOKMARK:a15> 15 User Status (schacUserStatus) ^^
 | Beschreibung | Angaben zur Verlässlichkeit einer Identität und ggf. zum aktuellen Login-Vorgang | | Beschreibung | Angaben zur Verlässlichkeit einer Identität und ggf. zum aktuellen Login-Vorgang |
Zeile 254: Zeile 255:
 | OID | 1.3.6.1.4.1.25178.1.2.19 | | OID | 1.3.6.1.4.1.25178.1.2.19 |
 | Referenzen | [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|SCHAC-Doku]] | | Referenzen | [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|SCHAC-Doku]] |
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a16> 16 Subject Id (SAML V2.0 General Purpose Subject Identifier) ^^ ^ <BOOKMARK:a16> 16 Subject Id (SAML V2.0 General Purpose Subject Identifier) ^^
 | Beschreibung | Ein eindeutiger, permanenter, global gültiger (d.h. für alle Anwendungen identischer) Identifier, der nicht neu an andere Nutzer*innen vergeben werden darf.  | | Beschreibung | Ein eindeutiger, permanenter, global gültiger (d.h. für alle Anwendungen identischer) Identifier, der nicht neu an andere Nutzer*innen vergeben werden darf.  |
Zeile 268: Zeile 269:
 | URN | urn:oasis:names:tc:SAML:attribute:subject-id | | URN | urn:oasis:names:tc:SAML:attribute:subject-id |
 | Referenzen | [[https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Spezifikation des Attributprofils]] | | Referenzen | [[https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Spezifikation des Attributprofils]] |
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a17> 17 Pairwise Id (SAML V2.0 Pairwise Subject Identifier) ^^ ^ <BOOKMARK:a17> 17 Pairwise Id (SAML V2.0 Pairwise Subject Identifier) ^^
 | Beschreibung | Ein eindeutiges, dauerhaftes Pseudonym einer Person für einen speziellen Service Provider, der nicht neu an andere Nutzer*innen vergeben werden darf.  | | Beschreibung | Ein eindeutiges, dauerhaftes Pseudonym einer Person für einen speziellen Service Provider, der nicht neu an andere Nutzer*innen vergeben werden darf.  |
Zeile 282: Zeile 283:
 | URN | urn:oasis:names:tc:SAML:attribute:pairwise-id | | URN | urn:oasis:names:tc:SAML:attribute:pairwise-id |
 | Referenzen | [[https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Spezifikation des Attributprofils]] | | Referenzen | [[https://docs.oasis-open.org/security/saml-subject-id-attr/v1.0/saml-subject-id-attr-v1.0.html|Spezifikation des Attributprofils]] |
- +| \\ || 
-[[#a00|nach oben]]+[[#a00|nach oben]] ||
 ^ <BOOKMARK:a18> 18 Domain Name der Heimateinrichtung (schacHomeOrganization) ^^ ^ <BOOKMARK:a18> 18 Domain Name der Heimateinrichtung (schacHomeOrganization) ^^
 | Beschreibung | Domain Name der Heimateinrichtung | | Beschreibung | Domain Name der Heimateinrichtung |
Zeile 295: Zeile 296:
 | Verwendungszweck | Autorisierung und Zuordnung von Nutzer*innen zu einer Heimateinrichtung | | Verwendungszweck | Autorisierung und Zuordnung von Nutzer*innen zu einer Heimateinrichtung |
 | OID | 1.3.6.1.4.1.25178.1.2.9 | | OID | 1.3.6.1.4.1.25178.1.2.9 |
 +| Referenzen | [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|SCHAC-Doku]] |
 +| \\ ||
 +| [[#a00|nach oben]] ||
 +^ <BOOKMARK:a19> 19 Titel oder Anrede (schacPersonalTitle) ^^
 +| Beschreibung | Titel oder Anrede einer Person |
 +| aus Objektklasse | SCHAC |
 +| Semantik | persönlicher Titel einer Person |
 +| LDAP Syntax | DirectoryString |
 +| Anzahl der Werte | ein |
 +| erlaubte Werte | entfällt |
 +| Bemerkungen | Wie "Personal Title" in [[https://datatracker.ietf.org/doc/html/rfc1274|RFC 1274]] (The COSINE and Internet X.500 Schema) definiert |
 +| Beispiel | ''Ms'', ''Prof.'', ''Dr.'' |
 +| Verwendungszweck | personalisierte Ansprache, Anzeige von akademischen Graden |
 +| OID | 1.3.6.1.4.1.25178.1.2.8 |
 | Referenzen | [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|SCHAC-Doku]] | | Referenzen | [[https://wiki.refeds.org/display/STAN/SCHAC+Releases|SCHAC-Doku]] |
  
 {{tag>attribute subjectIdentifierAttributes}} {{tag>attribute subjectIdentifierAttributes}}
  • Zuletzt geändert: vor 4 Jahren