Hieronder staan de verplichte en optionele attributen vermeld die benodigd zijn voor aansluiting op govconext. Verplichte zijn aangeduid met een *attributen zijn vet weergegeven.
Stichting govroam streeft naar dataminimalisatie. Derhalve zijn maar 3 attributen benodigd. De additionele optionele attributen zijn vooral bedoeld om de gebruiker vriendelijk aan te spreken met de eigen naam e.d. en deze kan de eindgebruiker vaak bij de SP zelf in een profiel opgeven. Daarom zijn ze niet strikt noodzakelijk. Het zal duidelijk zijn dat de optionele attributen veel overlap vertonen, waardoor de hoeveelheid feitelijk overgedragen informatie zeer gering is.
| Informatie |
|---|
Specifieke applicaties die binnen selecte brancheorganisaties worden gebruikt, benodigen additionele claims. Neem contact op met uw koepel- of brancheorganisatie op (voor GGD’s bijvoorbeeld GGD-GHOR) om hierover meer informatie te ontvangen. |
GovConext Display Name |
Naam |
Example value
Manda-tory
Voorbeeldwaarde | Toelichting |
User ID | urn:mace:dir:attribute-def: |
uid | erik.dobbelsteijn@govroam.nl |
y
Benodigd, of eduPersonPrincipalName, omdat eduPersonPrincipalName als primaire userID binnen educatieve software gebruikt wordt. Bij uitbreiding van de govconext dienst richting andere SPs zal dit attribuut de unieke gebruiker identificeren. Waarde altijd in kleine letters. | |
Institution user ID | urn:mace:dir:attribute-def: |
eduPersonPrincipalName | erik. |
dobbelsteijn@govroam.nl | Benodigd, of persistent NameID. Aangezien persistent NameID die vanuit Azure komt vaak een voor de eindgebruiker zelf onbekende vulling heeft, heeft het onze voorkeur om EPPN te gebruiken als unieke identiteit van de eindgebruiker. In principe kunnen we deze zelf samenstellen uit andere attributen, maar vulling is naar keuze van de organisatie te anonimiseren. Dat heeft onze voorkeur. Waarde altijd in kleine letters. | |
Organization* | urn:mace:terena.org:attribute-def:schacHomeOrganization | govroam.nl |
y
Benodigd voor govguest, getgovroam en andere SP’s. Nodig om de eindgebruiker te bedienen vanuit de juiste ‘tenant’ binnen onze diensten. Waarde altijd in kleine letters. | |
Display Name | urn:mace:dir:attribute-def: |
n
displayName | Erik Dobbelsteijn | govroam | Gewenst. Wordt gebruikt voor vriendelijk aanspreken van de eindgebruiker in GUI |
First name | urn:mace:dir:attribute-def: |
givenName | Erik |
n
Gewenst. Wordt gebruikt voor vriendelijk aanspreken van de eindgebruiker in GUI. | |
Surname | urn:mace:dir:attribute-def: |
sn |
Dobbelsteijn |
n
Gewenst. Wordt gebruikt voor vriendelijk aanspreken van de eindgebruiker in GUI | |
Full Name | urn:mace:dir:attribute-def: |
cn | Erik |
n
Dobbelsteijn | govroam | Gewenst. Wordt gebruikt voor vriendelijk aanspreken van de eindgebruiker in GUI |
Email address | urn:mace:dir:attribute-def: |
Dobbelsteijn
n
erik.dobbelsteijn@govroam.nl | Benodigd voor govguest, om bevestiging te sturen van aangemaakte gastaccounts e.d. Bovendien overwegen we om bijv. notificaties te versturen bij verlopen van getgovroam certificaat omdat in Windows geen bruikbaar notificatiemechanisme beschikbaar is | |
Affiliation* | urn:mace:dir:attribute-def:eduPersonAffiliation | employee |
n
Benodigd. Hierin wordt een rol weergegeven die binnen SP’s gebruikt kan worden om een bepaald profiel toe te kennen. Govguest is gebaseerd op software uit de educatieve wereld waar verschillende rollen zijn voorgedefinieerd. De organisatie kan deze meesturen om bepaalde autorisaties te verlenen. Vooralsnog gebruiken we in de govroam context alleen de rol ‘employee’ maar anticiperen op andere rollen. Als de rol niet gevuld is zal login niet werken op getgovroam en govguest. Waarde altijd in kleine letters. | ||
Scoped affiliation** | urn:mace:dir:attribute-def:eduPersonScopedAffiliation | employee@govroam.nl |
Zie ‘employee’. De ‘scoping’ voegt het domein toe van de organisatie waartoe de eindgebruiker behoort en moet gelijk zijn aan schacHomeOrganization. Dit is van belang voor multi-tenant SSO waarbij de verantwoordelijke organisatie voor de identiteit wordt meegegeven (versus de ‘aanbieder’ die de koppeling beheert maar niet verantwoordelijk is voor de identiteit). Waarde altijd in kleine letters. |
*) schacHomeOrganization moet de FQDN/het domein zijn van de specifieke gebruiker. Als via de SAML koppeling meerdere domeinen in gebruik zijn, moet in dit attribuut het domein worden weergegeven van de specifieke gebruiker. Om te voorkomen dat een SP de gebruiker niet meer herkent na een naamswijziging van een IdP, kan dit attribuut gelijk blijven als de organisatie tot een naamswijziging besluit. Het is belangrijk om alle mogelijke domeinen aan te geven bij govconext die via SAML geauthenticeerd worden, want daarop wordt gefilterd.
...
Microsoft EntraID stuurt standaard de volgende attributen mee, die echter voor govconext niet gebruikt worden:
GovConext Display Name |
Naam |
Example value
Voorbeeldwaarde | Toelichting | |
MS Tenant ID | 611ad293-071a-405c-a471- |
a4d0b4af19b1 | Optioneel. MS levert deze automatisch aan | |
MS Object ID | http://schemas.microsoft.com/identity/claims/objectidentifier | d0667fe9-74d9-45cd-9eec- |
370e7078e9c3 | Optioneel. MS levert deze automatisch aan | |
MS IdP ID | http://schemas.microsoft.com/identity/claims/identityprovider |
Optioneel. MS levert deze automatisch aan | ||
MS Authn methods |
Optioneel. MS levert deze automatisch aan |