Attribute

Download: Attributspezifikation Version 1.0 (letzte Änderung am 31.07.2013)

Die für bwIDM verwendeten Attribute leiten sich von den Spezifikationen der DFN-AAI ab. Die Heimatorganisationen (Identity Provider, kurz IdP) liefern diese Attribute gemäß dem hier notierterten Standard via bwIDM-Infrastruktur an die Dienstanbieter in der Föderation (Service Provider, kurz SP) aus. Dabei wird zwischen dem Kernsatz der Attribute, die jede Heimatorganisation ausliefern können muss, und den optionalen Attributen unterschieden, die jeweils nur manche Landesdienste anfordern und so bei Bedarf ausgeliefert werden können sollten.

1. Kernsatz

2. Optionale Attribute

3. Sonstige Attribute

Kernsatz

Principal Name

  • Name: eduPersonPrincipalName
  • Beschreibung: Ein Identifikator für eine Person mit Scope. Er wird mit user@scope repräsentiert, wobei „user“ ein namensbasierter Identifikator für eine Person und „scope“ die Domain (meist DNS registriert) beschreibt. Jeder Wert von „scope“ definiert einen Namensraum, innerhalb dessen der Identifikator eindeutig sein muss.
  • Vokabular:
  • Verwendung: Der eduPersonPrincipalName wird als weltweit eindeutiger Loginname benutzt. Zudem wird er oft (intern) in Anwendungen verwendet, wenn der Benutzer eindeutig identifiziert werden soll und ein Pseudonym hierfür nicht genügt.
  • Referenz: eduPerson
  • OID: 1.3.6.1.4.1.5923.1.1.1.6
  • LDAP Syntax: DirectoryString
  • Werteanzahl: einer
  • Beispiel: eduPersonPrincipalName: frank.poole@uni-konstanz.de
  • Notizen: Im Gegensatz zum Attribut „mail“ muss es sich nicht um eine funktionierende und dieser Person zugeordnete Mail-Adresse handeln, auch wenn diese vom Syntax gleich ist.

E-Mail-Adresse

  • Name: mail
  • Beschreibung: Beinhaltet die E-Mail Adresse der Person. Bevorzugte Adresse für das „To:“-Feld einer E-Mail die an diese Person gesendet werden soll.
  • Vokabular:
  • Verwendung: Kontaktierung des Benutzers, eindeutige ID zur Personalisierung
  • Referenz: inetOrgPerson, RFC 2821
  • OID: 0.9.2342.19200300.100.1.3
  • LDAP Syntax: IA5String (256)
  • Werteanzahl: mehrere (Empfehlung: einer)
  • Beispiel: mail: dave.bowman@uni-ulm.de
  • Notizen: Der „mail“ Attributtyp beinhaltet die Internet Mail Adresse in Mailbox Form (RFC822, RFC2821). Sollte eine Person mehrere Mail-Adressen besitzen, wird empfohlen nur eine E-Mail Adresse zu ubermitteln. Hierbei sollte die E-Mail Adresse verwendet werden, die auch von der Heimatorganisation verwendet wird, um den Benutzer zu erreichen.

Vorname

  • Name: givenName
  • Beschreibung: Der Vorname einer Person
  • Vokabular:
  • Verwendung: Ansprache des Benutzers. Wird üblicherweise in Kombination mit „surname“ verwendet.
  • Referenz: inetOrgPerson , definiert in RFC4519 , eduPerson
  • OID: 2.5.4.42
  • LDAP Syntax: DirectoryString
  • Werteanzahl: 1
  • Beispiel: givenName: Dave
  • Notizen: Das „givenName“ Attribut beinhaltet nach RFC4519 den Teil des Namens einer Person, der nicht der Nachname ist. Innerhalb der bwIDM Föeration müssen Heimatorganisationen genau einen einzelnen Wert für dieses Attribut liefern. Es sollte der Vorname geliefert werden, der für offizielle Kommunikation mit der Person verwendet wird.

Nachname

  • Name: surname (sn)
  • Beschreibung: Nachname, Familienname der Person
  • Vokabular:
  • Verwendung: Ansprache des Benutzers. Wird üblicherweise in Kombination mit „givenName“ verwendet.
  • Referenz: inetOrgPerson , RFC4519 , eduPerson
  • OID: 2.5.4.4
  • LDAP Syntax: DirectoryString
  • Werteanzahl: einer
  • Beispiel: surname: Bowman
  • Notizen: Dies ist das X.500-Attribut, das den Familiennamen einer Person beinhaltet (RFC2256). Innerhalb von bwIDM müssen Heimatorganisationen nur einen einzelnen Wert für dieses Attribut liefern. Es sollte der Nachname geliefert werden, der für die offizielle Kommunikation mit der Person verwendet wird.

Zugehörigkeit

  • Name: eduPersonScopedAffiliation
  • Beschreibung: Der Wert besteht aus einem linken und einem rechten Teil getrennt durch ein „@“ Zeichen. Der linke Teil spezifiziert eine Zugehörigkeit zu einer weitgefassten Kategorie wie z.B. Student, Alumni … Er beinhaltet einen Wert aus dem unten definierten Vokabular. Der rechte Teil definiert die Organisationseinheit innerhalb der die Person der Kategorie zugehört. Diese entspricht den in der „eppn“ auf der rechten Seite verwendeten Werten.
  • Vokabular: faculty (Mitglied des Lehrkörpers), student (Studierende), staff (Mitarbeiter, die nicht zum Lehrkörper gehören), employee (faculty, staff und sonstige Angestellte), alum (Alumni), member (faculty, staff, student), affiliate (Partner der Organisation wie Gasthörer, Gastdozenten, Dienstleister), library-walk-in (Mitarbeiter, die sich (physikalisch) in der Bibliothek befinden)
    Das Attribut bleibt leer, sollte keine der Kategorien auf die Person zutreffen.
  • Verwendung: Festlegung von Berechtigungen anhand des Status des Benutzers.
  • Referenz: eduPerson
  • OID: 1.3.6.1.4.1.5923.1.1.1.9
  • LDAP Syntax: DirectoryString
  • Werteanzahl: mehrere
  • Beispiel: eduPersonScopedAffiliation: student@kit.edu;member@uni-ulm.de
  • Notizen: Ein Wert von ”x@y“ wird als Zusicherung verstanden, das die Person die Zugehörigkeit „x“ zur Organisation (security domain) „y“ hat. So ist eine Person mit dem Wert „“ ein Student am KIT. Das Attribut wird von einigen Anbietern verwendet, um den Zugriff auf lizenzpflichtige Inhalte zu kontrollieren. Einige Anbieter planen, das Attribut zu verwenden, um je nach Benutzergruppe unterschiedliche Funktionalität anzubieten. Ermöglicht eine Einschränkung der Wahrscheinlichkeit leichtfertiger Nutzung teurer Ressourcen.

Berechtigung

  • Name: eduPersonEntitlement
  • Beschreibung: URI (entweder URL oder URN), der Berechtigungen der Person für spezielle Ressourcen anzeigt.
  • Vokabular: nur URIs (URL oder URN)
  • Verwendung: Das Attribut wird in vielen Anwendungen verwendet, um Benutzern spezielle Rechte zuzuweisen oder den Zugriff auf die Anwendung auf ausgewählte Benutzer zu beschränken.
  • Referenz: eduPerson, RFC4512
  • OID: 1.3.6.1.4.1.5923.1.1.1.7
  • LDAP Syntax: DirectoryString
  • Werteanzahl: mehrere
  • Beispiel: eduPersonEntitlement: urn:mace:dir:entitlement:common-lib-terms;http://sp.de/aai/resources/bib12
  • Notizen: Das Attribut bezieht sich auf die Berechtigung, auf eine bestimmte Ressource zuzugreifen. Generelles Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studenten oder Mitarbeiter oder eine Auswahl von Mitarbeitern), die sich darüber autorisieren. Die Bedeutung der Attributwerte muss entweder auf Föderationsebene oder föderationsübergreifend festgelegt oder direkt zwischen Anbietern und Teilnehmern abgesprochen werden!

Organisationskürzel

  • Name: http://bwidm.de/bwidmOrgId
  • Beschreibung: Ein eindeutiges zweistelliges Kürzel für die Organisation.
  • Vokabular: zweistellig, [a-z], alle vergebenen Kürzel
  • Verwendung: Wird zur eindeutigen Identifikation der Organisation, als Ersatz für den Domainnamen, verwendet.
  • Referenz: Belegung
  • Werteanzahl: einer
  • Beispiel: http://bwidm.de/bwidmOrgId: ul
  • Notizen: Das Organisationskürzel wird jeder Organisation, die der bwIDM-Föderation beitritt, einmalig zugewiesen. Danach wird sie als statisches Attribut ausgeliefert. Das Organisationskürzel ist innerhalb der bwIDM-Föderation ein eindeutiger Identifikator für die Organisation der Person.

Benutzer ID

  • Name: uid
  • Beschreibung: Login-ID
  • Vokabular:
  • Verwendung: veraltet (wenn möglich sollte als eindeutige Login-ID der Principal Name verwendet werden)
  • Referenz: inetOrgPerson, RFC4519
  • OID: 0.9.2342.19200300.100.1.1
  • LDAP Syntax: DirectoryString
  • Werteanzahl: einer
  • Beispiel: uid: abc234
  • Notizen: Spezifiziert einen Login Namen für ein System. Muss innerhalb der Organisation eindeutig sein. Innerhalb von bwIDM dürfen Heimatorganisationen nur einen einzelnen Wert für dieses Attribut liefern.

Optionale Attribute

Folgende Attribute kann ein IdP zusätzlich ausliefern. Die Auslieferbarkeit dieser Attribute ist für einen IdP jedoch keine Voraussetzung zur Teilnahme in der Föderation.

Organisationsname

  • Name: organizationName (o)
  • Beschreibung: Name der Organisation bzw. Institution, der eine Person angehört.
  • Vokabular:
  • Verwendung: Als Anzeigename der Organisation einer Person.
  • Referenz: inetOrgPerson, RFC4519
  • OID: 2.5.4.10
  • LDAP Syntax: DirectoryString
  • Werteanzahl: einer
  • Beispiel: o: Eberhard Karls Universität Tübingen
  • Notizen: Innerhalb der bwIDM Föeration dürfen Heimatorganisationen nur einen einzelnen Wert für dieses Attribut liefern. Das „organizationName“ Attribut enthält als Freitext den Namen der Organisation einer Person, keine Untereinheit davon.

Ordnungskriterium

  • Name: http://bwidm.de/bwidmCC
  • Beschreibung: Ein Ordnungskriterium („ClassificationCriterion“) einer Person innerhalb ihrer Heimatorganisation.
  • Vokabular:
  • Verwendung: Wird zur Einteilung von Benutzern in eine Untergruppe ihrer Heimatorganisation verwendet.
  • Werteanzahl: einer
  • Beispiel: http://bwidm.de/bwidmCC: UFR-003111
  • Notizen: Jede Heimatorganisation definiert ihre eigenen Verwaltungsattribute, beispielsweise anhand von Kostenstellen, Abteilungen oder Instituten, usw. Das Ordnungskriterium ist innerhalb der bwIDM-Föderation ein eindeutiges Ordnungskriterium innerhalb der Organisation der Person.

Gruppenzugehörigkeit

  • Name: http://bwidm.de/bwidmMemberOf
  • Beschreibung: Gibt die Zugehörigkeit einer Person zu Gruppen innerhalb ihrer Heimatorganisation an.
  • Vokabular:
  • Verwendung: Wird zur Einteilung von Benutzern in Untergruppen ihrer Heimatorganisation verwendet.
  • Werteanzahl: mehrere
  • Beispiel: http://bwidm.de/bwidmMemberOf: KIT-staff-active-idm;SCC-users-idm;SCC-Staff-IDM;SCC-Mitarbeiter;SCC-Alle
  • Notizen: Das Gruppenzugehörigkeit-Attribut enthält als Freitext den/die Namen der Gruppen einer Person innerhalb ihrer Heimateinrichtung. Jede Heimatorganisation definiert selbst die eigenen Gruppen und deren Namen. Der übertragene String SOLLTE hierbei jeweils nur die nach POSIX für Gruppennamen erlaubten Zeichen enthalten. Vgl. hierzu IEEE Std 1003.1 Abschnitt 3.189 und Abschnitt 3.276

Sonstige Attribute

Persistent ID

  • Name: IdPPersistentNameIdentifier (persistent-id)
  • Beschreibung: Die persistente ID ist ein anonymer, persistenter Identifier für eine Person. Die ID wird beim ersten Zugriff einer Person auf einen Service vom Identity Provider generiert und gespeichert. Bei weiteren Zugriffen der Person auf den Service wird die persistent ID wieder bereitgestellt.
  • Verwendung: Verwendung Die persistent ID eignet sich dazu, service-lokale Benutzerkonten selbst dann noch einer Person zuordnen zu können, wenn sich deren eduPersonPrincipalName einmal ändern sollte, z.B. durch Namensänderung, Heirat usw.
  • Referenz: Shibboleth-Wiki, DFN-Dokumentation
  • Werteanzahl: einer
  • Beispiel: persistent-id: https://idp-test.uni-konstanz.de/idp2/shibboleth!https://bwidm-sp01.uni-konstanz.de/sp!NH/AJuow/mvpQztOrAiDJUGoXew=
  • Notizen: Im Gegensatz zu den anderen in diesem Dokument vorgestellten Attributen wird die persistent ID nicht im lokalen IDM für eine Person vorgehalten, sondern vom shibboleth Identity Provider nach Bedarf generiert. Dieses Attribut stellt somit eine Anforderung an die technische Realisierung des Identity Providers und nicht an die lokale Datenhaltung. Die persistent ID hat die Form eines Triplets mit dem Format „<Name für die Quelle des Identifiers>!<Name für den beabsichtigten Empfänger des Identifiers>!<anonymisierter identifier für den Principal>“. Sie ist also für die Kombination aus Person-Identity Provider-Service Provider eindeutig.