(zurück zur Übersicht)

Hierzu gehört u.a. das Online Learning Agreement (OLA).

Zu den Erasmus-FAQ.
Liste der Identity-Provider und der von diesen aktuell (nicht) übertragenen Attributen.

Zu den technischen Aspekten siehe die Doku im GÉANT-Wiki und die Definition des European Student Identifier (ESI). Ein Beispiel für die Syntax des ESI findet sich in der Liste der DFN-spezifischen und E-Learning-Attribute unter schacPersonalUniqueCode:

urn:schac:personalUniqueCode:int:esi:uni-beispiel.de:98765432

Als letzte Komponente des Attributwerts, die auf den Domain Namen bzw. den 'Scope' der Einrichtung (hier uni-beispiel.de) folgt, wird i.d.R. die Matrikelnummer des/der betreffenden Studierenden gesetzt. Alternativ kann auch ein anderer Identifier verwendet werden, wenn das Kriterium erfüllt wird, dass es sich um eine Zeichenkette handelt, anhand derer die Person innerhalb des Geltungsbereichs (i.d.R. das Identity Management der betreffenden Hochschule), für den sie ausgestellt wurde, eindeutig identifizierbar ist (siehe GÉANT-Wiki). Demnach kann auch die Verwendung einer anderen Nutzendenkennung wie der uid o.ä. in Frage kommen.

Für Beispiele zur Generierung des Attributs schacPersonalUniqueCode im Attribute Resolver sei auf die Dokumentation der österreichischen Kolleg*innen verwiesen.

Zum Wert des Berechtigungsattributs eduPersonEntitlement für Hochschul-Mitarbeiter:innen in der Rolle als Erasmus-Without-Paper-Admin (EWP Admin) siehe https://wiki.geant.org/display/SM/EWP+Admin+Role

./conf/attribute-filter.xml
<AttributeFilterPolicy id="erasmus">
   <PolicyRequirementRule xsi:type="Requester" value="https://proxy.prod.erasmus.eduteams.org/metadata/backend.xml" />
 
   <!-- Zukünftig sollen nicht nur Studierende Zugang zur Plattform erhalten -->   
   <AttributeRule attributeID="eduPersonScopedAffiliation" permitAny="true" />
 
   <!-- 
      Alternativ zu samlPairwiseID können auch samlSubjectID, eduPersonPrincipalName, eduPersonTargetedID, 
      eduPersonUniqueId, eduPersonOrcid verwendet werden.  Auch eine persistent Name ID ist möglich (kein Attribut) 
   -->
   <AttributeRule attributeID="samlPairwiseID" permitAny="true"/>
 
   <!-- 
      alternativ zu displayName kann auch cn oder sn+givenName übertragen werden 
   --> 
   <AttributeRule attributeID="displayName" permitAny="true"/>
 
   <AttributeRule attributeID="mail" permitAny="true"/>
 
   <AttributeRule attributeID="schacHomeOrganization" permitAny="true"/>
 
   <!--
     Der European Student Identifier wird über schacPersonalUniqueCode transportiert
     Obacht: es handelt sich um ein multi-value Attribut! Bitte nur den ESI übertragen!
   -->
   <AttributeRule attributeID="schacPersonalUniqueCode">
       <PermitValueRule xsi:type="ValueRegex" regex="^urn:schac:personalUniqueCode:int:esi:.*$" />
   </AttributeRule>
 
   <!-- 
       Entitlement für Hochschulpersonal in der Rolle als EWP-Admin (EWP = Erasmus Without Paper)
       siehe unter https://wiki.geant.org/display/SM/EWP+Admin+Role
   -->
   <AttributeRule attributeID="eduPersonEntitlement">
       <PermitValueRule xsi:type="Value" value="urn:geant:erasmuswithoutpaper.eu:ewp:admin" />
   </AttributeRule>
 
</AttributeFilterPolicy>

Alternativ kann die Attributfreigabe auch anhand der Entity Category https://myacademicid.org/entity-categories/esi erfolgen. In diesem Fall sollte für den betreffenden IdP in der Metadatenverwaltung der entsprechende Entity-Category-Support signalisiert werden.

./conf/attribute-filter.xml
<AttributeFilterPolicy id="erasmus">
   <PolicyRequirementRule 
         xsi:type="EntityAttributeExactMatch"
         attributeName="http://macedir.org/entity-category"
         attributeValue="https://myacademicid.org/entity-categories/esi" />
 
   <!-- alles andere wie im Beispiel oben -->
 
</AttributeFilterPolicy>

Die Attributfreigabe kann unter https://myacademicid.devtest.eduteams.org gefahrlos getestet werden.

  • Zuletzt geändert: vor 21 Monaten