Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:common_attributes [2021/05/18 12:52] Wolfgang Pempede:common_attributes [2024/11/27 11:07] (aktuell) – [Attribute für alle Anwendungen] Doreen Liebenau
Zeile 5: Zeile 5:
    
 **Wichtig:** Beachten Sie in jedem Fall die [[de:attributes#hinweise_zum_datenschutz|Hinweise zum Datenschutz]]! **Wichtig:** Beachten Sie in jedem Fall die [[de:attributes#hinweise_zum_datenschutz|Hinweise zum Datenschutz]]!
- 
-Die auf dieser Seite verfügbaren Informationen basieren auf einem in der Anfangsphase der DFN-AAI (2008) {{de:dfn-aai-attribute-v.1.0.pdf|veröffentlichten Papier}}, das als Handreichung für Heimateinrichtungen, d.h. IdM- und IdP-Betreiber konzipiert war.<BOOKMARK:a00> 
  
 ===== Übersicht über empfohlene Attribute ===== ===== Übersicht über empfohlene Attribute =====
Zeile 57: Zeile 55:
 | Verwendungszweck | Nicht verfälschbare Anzeige des Namens, z.B. wissenschaftliche Journale mit öffentlicher Diskussion / nichtanonymer Peer-Review | | Verwendungszweck | Nicht verfälschbare Anzeige des Namens, z.B. wissenschaftliche Journale mit öffentlicher Diskussion / nichtanonymer Peer-Review |
 | OID | 2.5.4.3 | | OID | 2.5.4.3 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#cn|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-cn|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 71: Zeile 69:
 | Verwendungszweck | Da das Attribut einwertig ist und den üblichen Namen einer Person enthält, eignet es sich für anwendungsunterstützende Zwecke besser als [[#a01|cn/commonName)]]. Anwendungen, die zur Personalisierung dislayName verwenden, sind i.d.R. auch in der Lage, alternativ eine Kombination aus [[#a03|sn]] und [[#a04|givenName]] zu verarbeiten. | | Verwendungszweck | Da das Attribut einwertig ist und den üblichen Namen einer Person enthält, eignet es sich für anwendungsunterstützende Zwecke besser als [[#a01|cn/commonName)]]. Anwendungen, die zur Personalisierung dislayName verwenden, sind i.d.R. auch in der Lage, alternativ eine Kombination aus [[#a03|sn]] und [[#a04|givenName]] zu verarbeiten. |
 | OID | 2.16.840.1.113730.3.1.241 | | OID | 2.16.840.1.113730.3.1.241 |
-| Referenzen | [[hhttp://macedir.org/specs/eduperson/#displayName|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-displayName|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 85: Zeile 83:
 | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a04|givenName]] verwendet. | | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a04|givenName]] verwendet. |
 | OID | 2.5.4.4 | | OID | 2.5.4.4 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#sn|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-sn|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 99: Zeile 97:
 | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a03|sn]] verwendet. | | Verwendungszweck | E-Learning: Zuordnung von Personen zu Lerngruppen im E-Learningsystem, zum Beispiel durch Tutoren. Wird üblicherweise in Kombination mit [[#a03|sn]] verwendet. |
 | OID | 2.5.4.42 | | OID | 2.5.4.42 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#givenName|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-givenName|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 113: Zeile 111:
 | Verwendungszweck | **E-Learning:** (automatische) Benachrichtigungen, zum Beispiel in Foren, Ordnern oder durch Tutoren. \\ **Bibliotheken:** (automatisches) Verschicken von Informationen, zum Beispiel neue Ergebnisse für eine in der Anwendung hinterlegte Recherche (Alert-Dienst). \\ Alle Anwendungen: Kann als eindeutige ID zur Personalisierung verwendet werden. | | Verwendungszweck | **E-Learning:** (automatische) Benachrichtigungen, zum Beispiel in Foren, Ordnern oder durch Tutoren. \\ **Bibliotheken:** (automatisches) Verschicken von Informationen, zum Beispiel neue Ergebnisse für eine in der Anwendung hinterlegte Recherche (Alert-Dienst). \\ Alle Anwendungen: Kann als eindeutige ID zur Personalisierung verwendet werden. |
 | OID | 0.9.2342.19200300.100.1.3 | | OID | 0.9.2342.19200300.100.1.3 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#mail|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-mail|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 127: Zeile 125:
 | Verwendungszweck | Zusammen z.B. mit [[#a01|cn]] oder [[#a02|displayName]] zum Zweck der De-Anonymisierung  | | Verwendungszweck | Zusammen z.B. mit [[#a01|cn]] oder [[#a02|displayName]] zum Zweck der De-Anonymisierung  |
 | OID | 2.5.4.10 | | OID | 2.5.4.10 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#o|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-organizationName|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 141: Zeile 139:
 | Verwendungszweck | Der eduPersonPrincipalName wird häufig in Anwendungen verwendet, wenn der Benutzer eindeutig und häufig über mehrere Anwendungen hinweg identifiziert werden muss und ein Pseudonym (siehe [[#a11|eduPersonTargetedID]]) hierfür nicht genügt, zum Beispiel beim schreibenden Zugriff auf Wikis, Foren oder Repositories.  | | Verwendungszweck | Der eduPersonPrincipalName wird häufig in Anwendungen verwendet, wenn der Benutzer eindeutig und häufig über mehrere Anwendungen hinweg identifiziert werden muss und ein Pseudonym (siehe [[#a11|eduPersonTargetedID]]) hierfür nicht genügt, zum Beispiel beim schreibenden Zugriff auf Wikis, Foren oder Repositories.  |
 | OID | 1.3.6.1.4.1.5923.1.1.1.6 | | OID | 1.3.6.1.4.1.5923.1.1.1.6 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonPrincipalName|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonPrincipalName|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 155: Zeile 153:
 | Verwendungszweck | Das Attribut wird je nach Anwendung mit oder ohne Scope verwendet, Beispiele siehe [[#a09|eduPersonScopedAffiliation]]. Autorisierung auf der Ebene von Zugehörigkeiten. | | Verwendungszweck | Das Attribut wird je nach Anwendung mit oder ohne Scope verwendet, Beispiele siehe [[#a09|eduPersonScopedAffiliation]]. Autorisierung auf der Ebene von Zugehörigkeiten. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.1 | | OID | 1.3.6.1.4.1.5923.1.1.1.1 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonAffiliation|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonAffiliation|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 169: Zeile 167:
 | Verwendungszweck | Autorisierung auf der Ebene von Zugehörigkeiten. \\ **E-Learning:** Festlegung von Berechtigungen anhand des Status des Benutzers. \\ **Bibliotheken:** Wird von einigen Anbietern verwendet, um den Zugriff auf lizenzpflichtige Inhalte zu kontrollieren, bei neueren Implementierungen wird meistens [[#a10|eduPersonEntitlement]] verwendet. | | Verwendungszweck | Autorisierung auf der Ebene von Zugehörigkeiten. \\ **E-Learning:** Festlegung von Berechtigungen anhand des Status des Benutzers. \\ **Bibliotheken:** Wird von einigen Anbietern verwendet, um den Zugriff auf lizenzpflichtige Inhalte zu kontrollieren, bei neueren Implementierungen wird meistens [[#a10|eduPersonEntitlement]] verwendet. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.9 | | OID | 1.3.6.1.4.1.5923.1.1.1.9 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonScopedAffiliation|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonScopedAffiliation|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 181: Zeile 179:
 | Bemerkungen | Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studierende oder MitarbeiterInnen oder eine Auswahl von MitarbeiterInnen), die sich darüber autorisieren. Die Berechtigungen können auch je nach Kontext im Rahmen eines Projekts oder einer Fachcommunity unabhängig von der Heimateinrichtung in einer separaten Attributquelle (Attribute Authority) gepflegt werden. Die Attributwerte und ihre Bedeutung müssen je nach Kontext auf Projekt-, Hochschul-, Föderationsebene oder auch föderationsübergreifend festgelegt oder direkt zwischen Anbietern und Teilnehmern abgesprochen werden. | | Bemerkungen | Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studierende oder MitarbeiterInnen oder eine Auswahl von MitarbeiterInnen), die sich darüber autorisieren. Die Berechtigungen können auch je nach Kontext im Rahmen eines Projekts oder einer Fachcommunity unabhängig von der Heimateinrichtung in einer separaten Attributquelle (Attribute Authority) gepflegt werden. Die Attributwerte und ihre Bedeutung müssen je nach Kontext auf Projekt-, Hochschul-, Föderationsebene oder auch föderationsübergreifend festgelegt oder direkt zwischen Anbietern und Teilnehmern abgesprochen werden. |
 | Beispiel | eduPersonEntitlement: urn:mace:dir:entitlement:common-lib-terms | | Beispiel | eduPersonEntitlement: urn:mace:dir:entitlement:common-lib-terms |
-| Verwendungszweck | **Bibliotheken:** Wichtiges Attribut für den Bibliotheksbereich, wird von vielen Anbietern verwendet, um den Zugang zu lizenzpflichtigen Inhalten zu kontrollieren. MACE hat für den Fall einer typischen Campuslizenz, wie sie von den meisten Anbietern angeboten wird, den Attributwert [[https://www.internet2.edu/products-services/trust-identity/mace-registries/urnmace-namespace/urn-mace-dir-registry/urn-mace-dir-entitlement/|urn:mace:dir:entitlement:common-lib-terms]] definiert. \\ **Allgemein:** Das Attribut wird in vielen Anwendungen verwendet, um Benutzern spezielle Rechte (zum Beispiel Schreibzugriff oder Administrationsrechte) zuzuweisen oder den Zugriff auf Anwendungen auf ausgewählte Nutzer(gruppen) zu beschränken, sofern dies nicht über Personalisierungsmechanismen und Identifier wie z.B. [[#a07|eduPersonPrincipalName]] geschieht. |+| Verwendungszweck | **Bibliotheken:** Wichtiges Attribut für den Bibliotheksbereich, wird von vielen Anbietern verwendet, um den Zugang zu lizenzpflichtigen Inhalten zu kontrollieren. MACE hat für den Fall einer typischen Campuslizenz, wie sie von den meisten Anbietern angeboten wird, den Attributwert [[https://www.internet2.edu/products-services/trust-identity/mace-registries/urnmace-namespace/urn-mace-dir-registry/urn-mace-dir-entitlement/|urn:mace:dir:entitlement:common-lib-terms]] definiert. \\ **Allgemein:** Das Attribut wird in vielen Anwendungen verwendet, um Benutzern spezielle Rechte (zum Beispiel Schreibzugriff oder Administrationsrechte) zuzuweisen oder den Zugriff auf Anwendungen auf ausgewählte Nutzer(gruppen) zu beschränken, sofern dies nicht über Personalisierungsmechanismen und Identifier wie z.B. [[#a07|eduPersonPrincipalName]] geschieht. \\ **Hinweis:** Namensräume für hochschul- oder projektspezifische Entitlements können [[de:urnreg:start|über den DFN registriert]] werden. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.7 | | OID | 1.3.6.1.4.1.5923.1.1.1.7 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonEntitlement|eduPerson-Doku]] |+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonEntitlement|eduPerson-Doku]] |
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 193: Zeile 191:
 | Anzahl der Werte | mehrere | | Anzahl der Werte | mehrere |
 | erlaubte Werte | entfällt | | erlaubte Werte | entfällt |
-| Bemerkungen | Der Anbieter erkennt unter dem Pseudonym eine bestimmte Person, ohne dass sich aus dem Attributwert die Identität dieser Person ableiten ließe. Der Wert ist ein anonymisierter, unumkehrbarer Wert (Hash), der aus der Entity ID des IdP, der Entity ID des SP und einer eindeutigen ID des Nutzers generiert wird ("targeted Id"). \\ In neueren IdP-Implementierungen wird dieser Wert häufig in einer Datenbank abgelegt. Man spricht hier von einer Stored Id. Diese Id kann nicht nur als Attribut, sondern auch als Name ID, **SAML2 Persistent NameID** ("persistent Id"), dann im Subject der SAML Assertion übertragen werden. Siehe unter [[de:shibidp3storage|Server-Side-Storage und Persistent Identifier]]. \\ **Gilt als deprecated und soll künftig durch [[#a17|Pairwise Id]] abgelöst werden.**|+| Bemerkungen | Der Anbieter erkennt unter dem Pseudonym eine bestimmte Person, ohne dass sich aus dem Attributwert die Identität dieser Person ableiten ließe. Der Wert ist ein anonymisierter, unumkehrbarer Wert (Hash), der aus der Entity ID des IdP, der Entity ID des SP und einer eindeutigen ID des Nutzers generiert wird ("targeted Id"). \\ In neueren IdP-Implementierungen wird dieser Wert häufig in einer Datenbank abgelegt. Man spricht hier von einer Stored Id. Diese Id kann nicht nur als Attribut, sondern auch als Name ID, **SAML2 Persistent NameID** ("persistent Id"), dann im Subject der SAML Assertion übertragen werden. Siehe unter [[de:shibidp:config-storage|Server-Side-Storage und Persistent Identifier]]. \\ **Gilt als deprecated und soll künftig durch [[#a17|Pairwise Id]] abgelöst werden.**|
 | Beispiel | entfällt (wird i.d.R. nicht im IdM / NutzerverzeichniMultifactor Authentication Profiles abgelegt) | | Beispiel | entfällt (wird i.d.R. nicht im IdM / NutzerverzeichniMultifactor Authentication Profiles abgelegt) |
 | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den/die Nutzer*in wiedererkennen können muss, für die aber die Identität des Nutzers / der Nutzerin nicht bekannt sein muss. | | Verwendungszweck | Funktionalitäten wie zum Beispiel die Personalisierung einer Anwendung, für die die Anwendung den/die Nutzer*in wiedererkennen können muss, für die aber die Identität des Nutzers / der Nutzerin nicht bekannt sein muss. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.10 | | OID | 1.3.6.1.4.1.5923.1.1.1.10 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonTargetedID|eduPerson-Doku]] \\ [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.edugain.org/Identifier_Attributes|eduGAIN Wiki: Name Identifier Attributes]]|+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonTargetedID|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.geant.org/display/eduGAIN/Identifier+Attributes|eduGAIN Wiki: Name Identifier Attributes]]|
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 211: Zeile 209:
 | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, ggf. mit Zugriff auf spezifische Attributquellen. Siehe hierzu auch unter [[de:aai:attribute_authority|Attribute Authority]] | | Verwendungszweck | Personalisierte Nutzung einer Gruppe von Anwendungen z.B. im Kontext eines Projekts oder einer Forschungsinfrastruktur, ggf. mit Zugriff auf spezifische Attributquellen. Siehe hierzu auch unter [[de:aai:attribute_authority|Attribute Authority]] |
 | OID | 1.3.6.1.4.1.5923.1.1.1.13 | | OID | 1.3.6.1.4.1.5923.1.1.1.13 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonUniqueId|eduPerson-Doku]] \\ [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.edugain.org/Identifier_Attributes|eduGAIN Wiki: Name Identifier Attributes]]|+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonUniqueId|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://wiki.geant.org/display/eduGAIN/Identifier+Attributes|eduGAIN Wiki: Name Identifier Attributes]]|
  
 [[#a00|nach oben]] [[#a00|nach oben]]
Zeile 222: Zeile 220:
 | erlaubte Werte | Liste von URLs, deren ID-Komponenten immer aus 16 Ziffern bestehen (International Standard Name Identifier), siehe Beispiel | | erlaubte Werte | Liste von URLs, deren ID-Komponenten immer aus 16 Ziffern bestehen (International Standard Name Identifier), siehe Beispiel |
 | Bemerkungen | Um im Rahmen von AAI genutzt werden zu können, müssen ORCID IDs ins Nutzerverzeichnis der jeweiligen Heimateinrichtung eingetragen werden. | | Bemerkungen | Um im Rahmen von AAI genutzt werden zu können, müssen ORCID IDs ins Nutzerverzeichnis der jeweiligen Heimateinrichtung eingetragen werden. |
-| Beispiel | http://orcid.org/0000-0002-1825-0097 |+| Beispiel | https://orcid.org/0000-0002-1825-0097 |
 | Verwendungszweck | Neben der Zuordnung zu wissenschaftlichen Publikationen können ORCID IDs auch für Zwecke des Account-Mapping verwendet werden, z.B. bei Föderations- und/oder Infrastruktur-übergreifenden Szenarien, in denen auf unterschiedliche Attributquellen zugegriffen wird. | | Verwendungszweck | Neben der Zuordnung zu wissenschaftlichen Publikationen können ORCID IDs auch für Zwecke des Account-Mapping verwendet werden, z.B. bei Föderations- und/oder Infrastruktur-übergreifenden Szenarien, in denen auf unterschiedliche Attributquellen zugegriffen wird. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.16 | | OID | 1.3.6.1.4.1.5923.1.1.1.16 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonOrcid|eduPerson-Doku]] \\ [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://orcid.org/|ORCID]]|+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonOrcid|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://orcid.org/|ORCID]]|
  
 [[#a00|nach oben]] [[#a00|nach oben]]
 ^ <BOOKMARK:a14> 14 Level of Assurance (LoA) / Verlässlichkeitsklasse (eduPersonAssurance) ^^ ^ <BOOKMARK:a14> 14 Level of Assurance (LoA) / Verlässlichkeitsklasse (eduPersonAssurance) ^^
-| Beschreibung | Angaben zur Verlässlichkeit einer Identität und ggf. zum aktuellen Login-Vorgang |+| Beschreibung | Angaben zur Verlässlichkeit einer Identität |
 | aus Objektklasse | eduPerson | | aus Objektklasse | eduPerson |
 | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, zum aktuellen Authentifizierungsvorgang sowie anderer sicherheitsrelevanter Aspekte | | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, zum aktuellen Authentifizierungsvorgang sowie anderer sicherheitsrelevanter Aspekte |
 | LDAP Syntax | DirectoryString | | LDAP Syntax | DirectoryString |
 | Anzahl der Werte | mehrere | | Anzahl der Werte | mehrere |
-| erlaubte Werte | Liste von URIs, die das jeweilige LoA-Kriterium eindeutig bezeichnen, siehe Beispiel |+| erlaubte Werte | Liste von URIs, die LoA-Kriterien eindeutig bezeichnen, siehe Beispiel |
 | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, kontrolliertes Vokabular einigen. Als Basis bietet sich hierfür das REFEDS Assurance Framework an, das mehrere LoA-relevante Aspekte abdeckt, siehe unter Referenzen. \\ Bedeutung der URIs im folgenden Beispiel: \\ https://refeds.org/assurance/ID/eppn-unique-no-reassign : [[#a07|eduPersonPrincipalName]] wird auch nach dem Ausscheiden aus der Heimateinrichtung nicht neu vergeben \\ https://refeds.org/assurance/ATP/ePA-1m : nach Statuswechsel (z.B. Exmatrikulation) werden die Werte von [[#a08|eduPerson(Scoped)Affiliation]] innerhalb höchstens eines Monats aktualisiert/gelöscht | | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, kontrolliertes Vokabular einigen. Als Basis bietet sich hierfür das REFEDS Assurance Framework an, das mehrere LoA-relevante Aspekte abdeckt, siehe unter Referenzen. \\ Bedeutung der URIs im folgenden Beispiel: \\ https://refeds.org/assurance/ID/eppn-unique-no-reassign : [[#a07|eduPersonPrincipalName]] wird auch nach dem Ausscheiden aus der Heimateinrichtung nicht neu vergeben \\ https://refeds.org/assurance/ATP/ePA-1m : nach Statuswechsel (z.B. Exmatrikulation) werden die Werte von [[#a08|eduPerson(Scoped)Affiliation]] innerhalb höchstens eines Monats aktualisiert/gelöscht |
-| Beispiel | https://refeds.org/assurance/ID/no-eppn-reassign; https://refeds.org/assurance/ATP/ePA-1m |+| Beispiel | https://refeds.org/assurance; https://refeds.org/assurance/ID/eppn-unique-no-reassign; https://refeds.org/assurance/IAP/low; https://refeds.org/assurance/ATP/ePA-1m |
 | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. |
 | OID | 1.3.6.1.4.1.5923.1.1.1.11 | | OID | 1.3.6.1.4.1.5923.1.1.1.11 |
-| Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonAssurance|eduPerson-Doku]] \\ [[https://refeds.org/assurance|REFEDS Assurance Framework]]|+| Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonAssurance|eduPerson-Doku]] \\ [[https://refeds.org/assurance|REFEDS Assurance Framework]] \\ [[de:aai:assurance|Assurance in der DFN-AAI]]|
  
 [[#a00|nach oben]] [[#a00|nach oben]]
  • Zuletzt geändert: vor 4 Jahren