This is an old revision of the document!
This page is not fully translated, yet.
Recommended Best Practices for the use of attributes in DFN-AAI
(back to Übersicht)
You can find configuration samples for attribute resolver, attribute filter, and relying party configuration on this page.
| 1. Name Identifier and attributes with similar functions (also see SAML2int Profile V2.0, section “3.1.3. Subject Identification”) |
|
| 1.1 Omni-directional, non-targeted | |
|---|---|
urn:oasis:names:tc:SAML:attribute:subject-id docs | recommended |
eduPersonUniqueId docs | deprecated - the value in fromt of the scope must be identical to the value of subject-id |
eduPersonPrincipalName | do not use! |
mail | do not use for identification! |
| 1.2 Pairwise / targeted | |
urn:oasis:names:tc:SAML:attribute:pairwise-id Doku | empfohlen - Stored Id! (plus Scope) |
eduPersonTargetedID Doku | deprecated - Wert muss identisch mit dem Wert pairwise-id sein, der vor dem Scope steht |
persistent Id (SAML2 Name ID) | deprecated - Wert muss identisch mit dem Wert der pairwise-id sein, der vor dem Scope steht |
| 1.3 Sonstige | |
transient Id ( SAML2 Name ID) | empfohlen (für Logout benötigt) |
| 2. Personennamen | |
displayName Doku | empfohlen |
| 3. E-Mail-Adresse(n) - nicht als Identifier verwenden! | |
mail Doku | empfohlen (idealerweise ein Wert) |
| 4. Name der Heimateinrichtung | |
schacHomeOrganization und o Doku zu o und schacHomeOrganization | empfohlen |
| 5. Sonstige Attribute, die grundsätzlich definiert (Attribute Resolver) sein müssen | |
eduPersonAssurance Doku | siehe REFEDS Assurance Framework |
eduPersonEntitlement Doku |
|
eduPersonOrcid Doku | bleibt ggf. leer |
eduPersonScopedAffiliation Doku |
|
schacUserStatus Doku | insbes. zur SP-seitigen Deprovisionierung |