| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:common_attributes [2021/12/14 18:42] – Wolfgang Pempe | de:common_attributes [2023/06/23 15:41] (aktuell) – Wolfgang Pempe |
|---|
| | Verwendungszweck | Nicht verfälschbare Anzeige des Namens, z.B. wissenschaftliche Journale mit öffentlicher Diskussion / nichtanonymer Peer-Review | | | Verwendungszweck | Nicht verfälschbare Anzeige des Namens, z.B. wissenschaftliche Journale mit öffentlicher Diskussion / nichtanonymer Peer-Review | |
| | OID | 2.5.4.3 | | | OID | 2.5.4.3 | |
| | Referenzen | [[http://macedir.org/specs/eduperson/#cn|eduPerson-Doku]] | | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-cn|eduPerson-Doku]] | |
| |
| [[#a00|nach oben]] | [[#a00|nach oben]] |
| | Bemerkungen | Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studierende oder MitarbeiterInnen oder eine Auswahl von MitarbeiterInnen), die sich darüber autorisieren. Die Berechtigungen können auch je nach Kontext im Rahmen eines Projekts oder einer Fachcommunity unabhängig von der Heimateinrichtung in einer separaten Attributquelle (Attribute Authority) gepflegt werden. Die Attributwerte und ihre Bedeutung müssen je nach Kontext auf Projekt-, Hochschul-, Föderationsebene oder auch föderationsübergreifend festgelegt oder direkt zwischen Anbietern und Teilnehmern abgesprochen werden. | | | Bemerkungen | Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studierende oder MitarbeiterInnen oder eine Auswahl von MitarbeiterInnen), die sich darüber autorisieren. Die Berechtigungen können auch je nach Kontext im Rahmen eines Projekts oder einer Fachcommunity unabhängig von der Heimateinrichtung in einer separaten Attributquelle (Attribute Authority) gepflegt werden. Die Attributwerte und ihre Bedeutung müssen je nach Kontext auf Projekt-, Hochschul-, Föderationsebene oder auch föderationsübergreifend festgelegt oder direkt zwischen Anbietern und Teilnehmern abgesprochen werden. | |
| | Beispiel | eduPersonEntitlement: urn:mace:dir:entitlement:common-lib-terms | | | Beispiel | eduPersonEntitlement: urn:mace:dir:entitlement:common-lib-terms | |
| | Verwendungszweck | **Bibliotheken:** Wichtiges Attribut für den Bibliotheksbereich, wird von vielen Anbietern verwendet, um den Zugang zu lizenzpflichtigen Inhalten zu kontrollieren. MACE hat für den Fall einer typischen Campuslizenz, wie sie von den meisten Anbietern angeboten wird, den Attributwert [[https://www.internet2.edu/products-services/trust-identity/mace-registries/urnmace-namespace/urn-mace-dir-registry/urn-mace-dir-entitlement/|urn:mace:dir:entitlement:common-lib-terms]] definiert. \\ **Allgemein:** Das Attribut wird in vielen Anwendungen verwendet, um Benutzern spezielle Rechte (zum Beispiel Schreibzugriff oder Administrationsrechte) zuzuweisen oder den Zugriff auf Anwendungen auf ausgewählte Nutzer(gruppen) zu beschränken, sofern dies nicht über Personalisierungsmechanismen und Identifier wie z.B. [[#a07|eduPersonPrincipalName]] geschieht. | | | Verwendungszweck | **Bibliotheken:** Wichtiges Attribut für den Bibliotheksbereich, wird von vielen Anbietern verwendet, um den Zugang zu lizenzpflichtigen Inhalten zu kontrollieren. MACE hat für den Fall einer typischen Campuslizenz, wie sie von den meisten Anbietern angeboten wird, den Attributwert [[https://www.internet2.edu/products-services/trust-identity/mace-registries/urnmace-namespace/urn-mace-dir-registry/urn-mace-dir-entitlement/|urn:mace:dir:entitlement:common-lib-terms]] definiert. \\ **Allgemein:** Das Attribut wird in vielen Anwendungen verwendet, um Benutzern spezielle Rechte (zum Beispiel Schreibzugriff oder Administrationsrechte) zuzuweisen oder den Zugriff auf Anwendungen auf ausgewählte Nutzer(gruppen) zu beschränken, sofern dies nicht über Personalisierungsmechanismen und Identifier wie z.B. [[#a07|eduPersonPrincipalName]] geschieht. \\ **Hinweis:** Namensräume für hochschul- oder projektspezifische Entitlements können [[de:urnreg:start|über den DFN registriert]] werden. | |
| | OID | 1.3.6.1.4.1.5923.1.1.1.7 | | | OID | 1.3.6.1.4.1.5923.1.1.1.7 | |
| | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonEntitlement|eduPerson-Doku]] | | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonEntitlement|eduPerson-Doku]] | |
| | erlaubte Werte | Liste von URLs, deren ID-Komponenten immer aus 16 Ziffern bestehen (International Standard Name Identifier), siehe Beispiel | | | erlaubte Werte | Liste von URLs, deren ID-Komponenten immer aus 16 Ziffern bestehen (International Standard Name Identifier), siehe Beispiel | |
| | Bemerkungen | Um im Rahmen von AAI genutzt werden zu können, müssen ORCID IDs ins Nutzerverzeichnis der jeweiligen Heimateinrichtung eingetragen werden. | | | Bemerkungen | Um im Rahmen von AAI genutzt werden zu können, müssen ORCID IDs ins Nutzerverzeichnis der jeweiligen Heimateinrichtung eingetragen werden. | |
| | Beispiel | http://orcid.org/0000-0002-1825-0097 | | | Beispiel | https://orcid.org/0000-0002-1825-0097 | |
| | Verwendungszweck | Neben der Zuordnung zu wissenschaftlichen Publikationen können ORCID IDs auch für Zwecke des Account-Mapping verwendet werden, z.B. bei Föderations- und/oder Infrastruktur-übergreifenden Szenarien, in denen auf unterschiedliche Attributquellen zugegriffen wird. | | | Verwendungszweck | Neben der Zuordnung zu wissenschaftlichen Publikationen können ORCID IDs auch für Zwecke des Account-Mapping verwendet werden, z.B. bei Föderations- und/oder Infrastruktur-übergreifenden Szenarien, in denen auf unterschiedliche Attributquellen zugegriffen wird. | |
| | OID | 1.3.6.1.4.1.5923.1.1.1.16 | | | OID | 1.3.6.1.4.1.5923.1.1.1.16 | |
| | Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonOrcid|eduPerson-Doku]] \\ [[https://wiki.shibboleth.net/confluence/display/CONCEPT/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://orcid.org/|ORCID]]| | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonOrcid|eduPerson-Doku]] \\ [[https://shibboleth.atlassian.net/wiki/spaces/CONCEPT/pages/928645231/NameIdentifiers|Shibboleth Wiki: Überblick Name Identifier]] \\ [[https://orcid.org/|ORCID]]| |
| |
| [[#a00|nach oben]] | [[#a00|nach oben]] |
| ^ <BOOKMARK:a14> 14 Level of Assurance (LoA) / Verlässlichkeitsklasse (eduPersonAssurance) ^^ | ^ <BOOKMARK:a14> 14 Level of Assurance (LoA) / Verlässlichkeitsklasse (eduPersonAssurance) ^^ |
| | Beschreibung | Angaben zur Verlässlichkeit einer Identität und ggf. zum aktuellen Login-Vorgang | | | Beschreibung | Angaben zur Verlässlichkeit einer Identität | |
| | aus Objektklasse | eduPerson | | | aus Objektklasse | eduPerson | |
| | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, zum aktuellen Authentifizierungsvorgang sowie anderer sicherheitsrelevanter Aspekte | | | Semantik | Angaben zur Qualität der Prozesse zur Pflege von Identitäten im IdM, der Attribut- und Identifier-Vergabe, zum aktuellen Authentifizierungsvorgang sowie anderer sicherheitsrelevanter Aspekte | |
| | LDAP Syntax | DirectoryString | | | LDAP Syntax | DirectoryString | |
| | Anzahl der Werte | mehrere | | | Anzahl der Werte | mehrere | |
| | erlaubte Werte | Liste von URIs, die das jeweilige LoA-Kriterium eindeutig bezeichnen, siehe Beispiel | | | erlaubte Werte | Liste von URIs, die LoA-Kriterien eindeutig bezeichnen, siehe Beispiel | |
| | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, kontrolliertes Vokabular einigen. Als Basis bietet sich hierfür das REFEDS Assurance Framework an, das mehrere LoA-relevante Aspekte abdeckt, siehe unter Referenzen. \\ Bedeutung der URIs im folgenden Beispiel: \\ https://refeds.org/assurance/ID/eppn-unique-no-reassign : [[#a07|eduPersonPrincipalName]] wird auch nach dem Ausscheiden aus der Heimateinrichtung nicht neu vergeben \\ https://refeds.org/assurance/ATP/ePA-1m : nach Statuswechsel (z.B. Exmatrikulation) werden die Werte von [[#a08|eduPerson(Scoped)Affiliation]] innerhalb höchstens eines Monats aktualisiert/gelöscht | | | Bemerkungen | IdP- und SP-Betreiber müssen sich auf ein gemeinsames, kontrolliertes Vokabular einigen. Als Basis bietet sich hierfür das REFEDS Assurance Framework an, das mehrere LoA-relevante Aspekte abdeckt, siehe unter Referenzen. \\ Bedeutung der URIs im folgenden Beispiel: \\ https://refeds.org/assurance/ID/eppn-unique-no-reassign : [[#a07|eduPersonPrincipalName]] wird auch nach dem Ausscheiden aus der Heimateinrichtung nicht neu vergeben \\ https://refeds.org/assurance/ATP/ePA-1m : nach Statuswechsel (z.B. Exmatrikulation) werden die Werte von [[#a08|eduPerson(Scoped)Affiliation]] innerhalb höchstens eines Monats aktualisiert/gelöscht | |
| | Beispiel | https://refeds.org/assurance/ID/no-eppn-reassign; https://refeds.org/assurance/ATP/ePA-1m | | | Beispiel | https://refeds.org/assurance; https://refeds.org/assurance/ID/eppn-unique-no-reassign; https://refeds.org/assurance/IAP/low; https://refeds.org/assurance/ATP/ePA-1m | |
| | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. | | | Verwendungszweck | Anhand der übertragenen Attributwerte können SPs Autorisierungsentscheidungen treffen. | |
| | OID | 1.3.6.1.4.1.5923.1.1.1.11 | | | OID | 1.3.6.1.4.1.5923.1.1.1.11 | |
| | Referenzen | [[http://macedir.org/specs/eduperson/#eduPersonAssurance|eduPerson-Doku]] \\ [[https://refeds.org/assurance|REFEDS Assurance Framework]] \\ [[de:aai:assurance|Assurance in der DFN-AAI]]| | | Referenzen | [[https://wiki.refeds.org/display/STAN/eduPerson+2020-01#eduPerson202001-eduPersonAssurance|eduPerson-Doku]] \\ [[https://refeds.org/assurance|REFEDS Assurance Framework]] \\ [[de:aai:assurance|Assurance in der DFN-AAI]]| |
| |
| [[#a00|nach oben]] | [[#a00|nach oben]] |