Attributter

Hver gang en bruger forsøger at tilgå en tilsluttet tjeneste, videresender WAYF til tjenesten en mængde oplysninger om brugeren fra den institution eller identitetsudbyder hvor brugeren logger ind. Hver tjeneste modtager kun det minimum af brugeroplysninger som er nødvendigt for at tjenestens udbyder kan levere tjenesten.

WAYF understøtter oversendelse af de typer brugeroplysninger eller attributter som står på listen herunder. Hver attribut er defineret – mht. brug og udformning – af den standardiseringsorganisation som vedligeholder det skema som attributten tilhører. Listen herunder link'er til hver understøttet attributs autoritative definition og beskriver det hvis attributten bruges eller dannes på en særlig måde i WAYF. Repertoiret af understøttede attributter udvides efter behov.

Værdier af attributter mærket med asterisk (*) skal WAYFs brugerorganisationer levere; resten kan de levere i det omfang som benyttede tjenester behøver dem. Værdier af attributter mærket med dobbelt asterisk (**) er godkendt af WAYF og leveres af WAYF på brugerorganisationens vegne. For attributter mærket med obelisk (†) beregner WAYF de værdier som brugerorganisationen ikke selv leverer, for så vidt som organisationen leverer et brugbart beregningsgrundlag i værdien af en anden attribut.

I selve logintrafikken fra WAYF kan attributterne benævnes enten som på listen herunder eller i det såkaldte URN:OID-format. Hver tjenestes udbyder kan selv vælge hvilken af de to navnetyper WAYF skal bruge i sin kommunikation med tjenesten. Selve attributnavnene kan også tilpasses den enkelte tjeneste.

  • cn* fulde navn
  • cvrNumberIdentifier** CVR-nummer fremsender WAYF til Statens SSO.
  • displayNamevisningsnavn sætter WAYF til værdien af cn hvis identitetsudbyderen ikke selv leverer den.
  • eduPersonAffiliationroller ved identitetsudbyderen supplerer WAYF ud fra værdien af eduPersonPrimaryAffiliation.
  • eduPersonAssurance* identitetens pålidelighed har værdien 3 hvis en verificeret bruger gav sig til kende ved tofaktor-autentifikation, værdien 2 hvis en verificeret bruger gav sig til kende med en enkelt faktor, og værdien 1 hvis brugeren slet ikke er verificeret af identitetsudbyderen – inspireret af men ikke nøjagtigt som NIST 800-63-2. Derudover kan brugerorganisationen sende yderligere (og på samme tid flere) værdier defineret i forskellige rammeværker for identitetssikring, især rammeværket REFEDS Assurance Framework, som er international standard inden for forskning og videregående uddannelse.
  • eduPersonEntitlement særlige rettigheder ved tjenesten
  • eduPersonPrimaryAffiliation* primære rolle ved identitetsudbyderen er i WAYF generelt staff for lønnede medarbejdere ved identitetsudbyderen; faculty og employee bruges ikke systematisk. Hvis brugeren har flere roller, bør organisationen hér sende den værdi som vil give ham adgang til flest ressourcer, og sende både den værdi og hans øvrige værdier i eduPersonAffiliation.
  • eduPersonPrincipalName* bruger-ID ved identitetsudbyderen må brugerorganisationen aldrig bruge en værdi af til at betegne en anden person en den som værdien først betegnede; ellers vil nogen potentielt kunne få adgang til en andens data ved forskellige tjenester, i modstrid med GDPR:5(1)f.
  • eduPersonScopedAffiliationroller ved identitetsudbyderens domæne(r) fortolkes i WAYF også som brugerens rolle inden for en bestemt gruppe med navnet @(gruppe-ID).org.dk, hvor org.dk er identitetsudbyderens domæne. WAYF supplerer værdimængden ud fra værdierne af eduPersonAffiliation og schacHomeOrganization.
  • eduPersonTargetedID** vedholdende pseudonymt bruger-ID ved tjenesten har i WAYF formatet WAYF-DK-hashværdi og genereres af WAYF på grundlag af værdien af eduPersonPrincipalName.
  • entryUUID bruger-record'ens unikke løbenummer i identitetsudbyderens brugerregister kræves af Statens SSO og svarer til ObjectGUID i Microsoft AD.
  • gn* fornavne sættes når identitetsudbyderen er NemID, til værdien af cn fradraget værdiens sidste delnavn.
  • isMemberOf gruppemedlemskaber i brugerorganisationen
  • mail e-mailadresser kan ikke bruges som bruger-ID i modtagende systemer, for WAYF garanterer ikke at værdierne er hverken unikke eller vedholdende for brugeren eller endda er institutionsspecifikke – ellers risikerer tjenesteudbyderen overtrædelse af GDPR:5(1)f. En mailadresse er alene noget man kan bruge til at sende en mail til brugeren – ikke hendes identitet. Læs mere her om hvorfor mailadresser må frarådes som bruger-ID'er.
  • mobile mobiltelefonnummer kan WAYF formidle til Statens SSO hvis det ønskes brugt som andenfaktor dér.
  • norEduPersonLIN lokalt identifikationsnummer
  • organizationName* visningsnavn for brugerorganisationen
  • preferredLanguage foretrukne sprog
  • sn* efternavne sættes til sidste delnavn i værdien af cn når identitetsudbyderen er NemID.
  • schacCountryOfCitizenship statstilhørsforhold
  • schacHomeOrganization** entydigt ID for identitetsudbyderen skal være et DNS-domæne under identitetsudbyderens kontrol.
  • schacHomeOrganizationType** typen af identitetsudbyderens organisation er higherEducationalInstitution hvis organisationen udbyder primært videregående uddannelser, educationalInstitution for andre udddannelsesinstitutioner, universityHospital for universitetshospitaler, NRENAffiliate for WAYF Orphanage og other for alle andre identitetsudbydere.
  • schacPersonalUniqueCode entydig kode bruges til transport af European Student Identifier.
  • schacPersonalUniqueID nationale unikke ID bruges til dansk CPR-nummer, med værdiformatet urn:mace:terena.org:schac:personalUniqueID:dk:CPR:(CPR-nr.-uden-bindestreg). CPR-nummer udleveres kun til offentlige dataansvarlige og kun til modtagere som er godkendt af den brugerorganisation som ønsker tjenesten tilsluttet WAYF.
  • schacDateOfBirthfødselsdato beregner WAYF af værdien af schacPersonalUniqueID hvis ikke identitetsudbyderen selv leverer værdien.
  • schacYearOfBirthfødeår beregner WAYF af værdien af schacPersonalUniqueID hvis ikke identitetsudbyderen selv leverer værdien.
  • uidnøgent bruger-ID ved identitetsudbyderen sætter WAYF til delstrengen foran @ i værdien af eduPersonPrincipalNamehvis identitetsudbyderen ikke selv leverer værdien.