Hver gang en bruger forsøger at tilgå en tilsluttet tjeneste, videresender WAYF til tjenesten en mængde oplysninger om brugeren fra den institution eller brugerorganisation hvor brugeren logger ind. Hver tjeneste modtager kun det minimum af brugeroplysninger som er nødvendigt for at tjenestens udbyder kan levere tjenesten.
WAYF understøtter oversendelse af de typer brugeroplysninger eller attributter som står på listen herunder. Hver attribut er defineret – mht. brug og udformning – af den standardiseringsorganisation som vedligeholder det skema som attributten tilhører. Listen herunder link'er til hver understøttet attributs autoritative definition og beskriver det hvis attributten bruges eller dannes på en særlig måde i WAYF. Repertoiret af understøttede attributter udvides efter behov.
Værdier af attributter mærket med asterisk (*) skal WAYFs brugerorganisationer levere; resten kan de levere i det omfang som benyttede tjenester behøver dem. Værdier af attributter mærket med dobbelt asterisk (**) er godkendt af WAYF og leveres af WAYF på brugerorganisationens vegne. For attributter mærket med obelisk (†) beregner WAYF de værdier som brugerorganisationen ikke selv leverer, for så vidt som organisationen leverer et brugbart beregningsgrundlag i værdien af en anden attribut.
I selve logintrafikken fra WAYF kan attributterne benævnes enten som på listen herunder eller i det såkaldte URN:OID-format. Hver tjenestes udbyder kan selv vælge hvilken af de to navnetyper WAYF skal bruge i sin kommunikation med tjenesten. Selve attributnavnene kan også tilpasses den enkelte tjeneste.
- cn* fulde navn
- cvrNumberIdentifier** CVR-nummer fremsender WAYF til Statens SSO.
- displayName† visningsnavn sætter WAYF til værdien af cn hvis brugerorganisationen ikke selv leverer den.
- eduPersonAffiliation† roller ved brugerorganisationen supplerer WAYF ud fra værdien af eduPersonPrimaryAffiliation.
- eduPersonAssurance* identitetens pålidelighed har værdien 3 hvis en verificeret bruger gav sig til kende ved tofaktor-autentifikation, værdien 2 hvis en verificeret bruger gav sig til kende med en enkelt faktor, og værdien 1 hvis brugeren slet ikke er verificeret af brugerorganisationen – inspireret af men ikke nøjagtigt som NIST 800-63-2. Derudover kan brugerorganisationen sende yderligere (og på samme tid flere) værdier defineret i forskellige rammeværker for identitetssikring, især rammeværket REFEDS Assurance Framework, som er international standard inden for forskning og videregående uddannelse.
- eduPersonEntitlement særlige rettigheder ved tjenesten
- eduPersonPrimaryAffiliation* primære rolle ved brugerorganisationen er i WAYF generelt staff for lønnede medarbejdere ved brugerorganisationen; faculty og employee bruges ikke systematisk. Hvis brugeren har flere roller, bør organisationen hér sende den værdi som vil give ham adgang til flest ressourcer, og sende både den værdi og hans øvrige værdier i eduPersonAffiliation. Se en praktisk vejledning her.
- eduPersonPrincipalName* bruger-ID ved brugerorganisationen må brugerorganisationen aldrig bruge en værdi af til at betegne en anden person en den som værdien først betegnede; ellers vil nogen potentielt kunne få adgang til en andens data ved forskellige tjenester, i modstrid med GDPR:5(1)f.
- eduPersonScopedAffiliation† roller ved brugerorganisationens domæne(r) fortolkes i WAYF også som brugerens rolle inden for en bestemt gruppe med navnet @(gruppe-ID).org.dk, hvor org.dk er brugerorganisationens domæne. WAYF supplerer værdimængden ud fra værdierne af eduPersonAffiliation og schacHomeOrganization.
- eduPersonTargetedID** vedholdende pseudonymt bruger-ID ved tjenesten har i WAYF formatet WAYF-DK-hashværdi og genereres af WAYF på grundlag af værdien af eduPersonPrincipalName.
- entryUUID bruger-record'ens unikke løbenummer i brugerorganisationens brugerregister kræves af Statens SSO og svarer til ObjectGUID i Microsoft AD.
- gn* fornavne sættes når brugerorganisationen er MitID, til værdien af cn fradraget værdiens sidste delnavn.
- isMemberOf gruppemedlemskaber i brugerorganisationen
- mail e-mailadresser kan ikke bruges som bruger-ID i modtagende systemer, for WAYF garanterer ikke at værdierne er hverken unikke eller vedholdende for brugeren eller endda er institutionsspecifikke – ellers risikerer tjenesteudbyderen overtrædelse af GDPR:5(1)f. En mailadresse er alene noget man kan bruge til at sende en mail til brugeren – ikke hendes identitet. Læs mere her om hvorfor mailadresser må frarådes som bruger-ID'er.
- mobile mobiltelefonnummer kan WAYF formidle til Statens SSO hvis det ønskes brugt som andenfaktor dér.
- norEduPersonLIN lokalt identifikationsnummer
- organizationName* visningsnavn for brugerorganisationen
- preferredLanguage foretrukne sprog
- sn* efternavne sættes til sidste delnavn i værdien af cn når brugerorganisationen er MitID.
- schacCountryOfCitizenship statstilhørsforhold
- schacHomeOrganization** entydigt ID for brugerorganisationen skal være et DNS-domæne under brugerorganisationens kontrol.
- schacHomeOrganizationType** typen af brugerorganisationens organisation er higherEducationalInstitution hvis organisationen udbyder primært videregående uddannelser, educationalInstitution for andre udddannelsesinstitutioner, universityHospital for universitetshospitaler, NRENAffiliate for WAYF Orphanage og other for alle andre brugerorganisatione.
- schacPersonalUniqueCode entydig kode bruges til transport af European Student Identifier.
- schacPersonalUniqueID nationale unikke ID bruges til dansk CPR-nummer, med værdiformatet urn:mace:terena.org:schac:personalUniqueID:dk:CPR:(CPR-nr.-uden-bindestreg). CPR-nummer udleveres kun til offentlige dataansvarlige og kun til modtagere som er godkendt af den brugerorganisation som ønsker tjenesten tilsluttet WAYF.
- schacDateOfBirth† fødselsdato beregner WAYF af værdien af schacPersonalUniqueID hvis ikke brugerorganisationen selv leverer værdien.
- schacYearOfBirth† fødeår beregner WAYF af værdien af schacPersonalUniqueID hvis ikke brugerorganisationen selv leverer værdien.
- uid† nøgent bruger-ID ved brugerorganisationen sætter WAYF til delstrengen foran @ i værdien af eduPersonPrincipalName hvis brugerorganisationen ikke selv leverer værdien.