Attributter

Hver gang en bruger forsøger at tilgå en tilsluttet tjeneste, videresender WAYF til tjenesten en mængde oplysninger om brugeren fra den institution eller brugerorganisation hvor brugeren logger ind. Hver tjeneste modtager kun det minimum af brugeroplysninger som er nødvendigt for at tjenestens udbyder kan levere tjenesten.

WAYF understøtter oversendelse af de typer bruger­oplysninger eller attributter som står på listen herunder. Hver attribut er defineret – mht. brug og udformning – af den standardiseringsorganisation som vedligeholder det skema som attributten tilhører. Listen herunder link'er til hver understøttet attributs autoritative definition og beskriver det hvis attributten bruges eller dannes på en særlig måde i WAYF. Repertoiret af understøttede attributter udvides efter behov.

Værdier af attributter mærket med asterisk (*) skal WAYFs bruger­organisationer levere; resten kan de levere i det omfang som benyttede tjenester behøver dem. Værdier af attributter mærket med dobbelt asterisk (**) er godkendt af WAYF og leveres af WAYF på bruger­organisationens vegne. For attributter mærket med obelisk (†) beregner WAYF de værdier som brugerorganisationen ikke selv leverer, for så vidt som organisationen leverer et brugbart beregningsgrundlag i værdien af en anden attribut.

I selve logintrafikken fra WAYF kan attributterne benævnes enten som på listen herunder eller i det såkaldte URN:OID-format. Hver tjenestes udbyder kan selv vælge hvilken af de to navnetyper WAYF skal bruge i sin kommunikation med tjenesten. Selve attributnavnene kan også tilpasses den enkelte tjeneste.

Pva. NemLog-in/MitID svarer WAYF med de samme attributter som fra bruger­organisationerne – dvs. tjenesterne kan bruge samme attributinterface uanset om login­svaret kommer fra NemLog-in eller fx et universitet. Men hvis en tjenesteudbyder foretrækker det, kan WAYF sagtens levere attributter fra NemLog-in med de navne de har i OIOSAML (og kan levere enhver attribut fra NemLog-in).

  • cn* fulde navn
  • cvrNumberIdentifier** CVR-nummer fremsender WAYF til Statens SSO.
  • displayNamevisningsnavn sætter WAYF til værdien af cn hvis brugerorganisationen ikke selv leverer den.
  • eduPersonAffiliationroller ved brugerorganisationen supplerer WAYF ud fra værdien af eduPersonPrimaryAffiliation.
  • eduPersonAssurance* identitetens pålidelighed har værdien 3 hvis en verificeret bruger gav sig til kende ved tofaktor-autentifikation, værdien 2 hvis en verificeret bruger gav sig til kende med en enkelt faktor, og værdien 1 hvis brugeren slet ikke er verificeret af brugerorganisationen – inspireret af men ikke nøjagtigt som NIST 800-63-2. Derudover kan brugerorganisationen sende yderligere (og på samme tid flere) værdier defineret i forskellige rammeværker for identitetssikring, især rammeværket REFEDS Assurance Framework, som er international standard inden for forskning og videregående uddannelse.
  • eduPersonEntitlement særlige rettigheder ved tjenesten
  • eduPersonPrimaryAffiliation* primære rolle ved brugerorganisationen er i WAYF generelt staff for lønnede medarbejdere ved brugerorganisationen; faculty og employee bruges ikke systematisk. Hvis brugeren har flere roller, bør organisationen hér sende den værdi som vil give ham adgang til flest ressourcer, og sende både den værdi og hans øvrige værdier i eduPersonAffiliation. Se en praktisk vejledning her.
  • eduPersonPrincipalName* bruger-ID ved brugerorganisationen må brugerorganisationen aldrig bruge en værdi af til at betegne en anden person en den som værdien først betegnede; ellers vil nogen potentielt kunne få adgang til en andens data ved forskellige tjenester, i modstrid med GDPR:5(1)f.
  • eduPersonScopedAffiliationroller ved brugerorganisationens domæne(r) fortolkes i WAYF også som brugerens rolle inden for en bestemt gruppe med navnet @(gruppe-ID).org.dk, hvor org.dk er brugerorganisationens domæne. WAYF supplerer værdimængden ud fra værdierne af eduPersonAffiliation og schacHomeOrganization.
  • eduPersonTargetedID** vedholdende pseudonymt bruger-ID ved tjenesten har i WAYF formatet WAYF-DK-hashværdi og genereres af WAYF på grundlag af værdien af eduPersonPrincipalName.
  • entryUUID bruger-record'ens unikke løbenummer i brugerorganisationens brugerregister kræves af Statens SSO og svarer til ObjectGUID i Microsoft AD.
  • gn* fornavne sættes når brugerorganisationen er MitID, til værdien af cn fradraget værdiens sidste delnavn.
  • isMemberOf gruppemedlemskaber i brugerorganisationen
  • mail e-mailadresser kan ikke bruges som bruger-ID i modtagende systemer, for WAYF garanterer ikke at værdierne er hverken unikke eller vedholdende for brugeren eller endda er institutionsspecifikke – ellers risikerer tjenesteudbyderen overtrædelse af GDPR:5(1)f. En mailadresse er alene noget man kan bruge til at sende en mail til brugeren – ikke hendes identitet. Læs mere her om hvorfor mailadresser må frarådes som bruger-ID'er.
  • mobile mobiltelefonnummer kan WAYF formidle til Statens SSO hvis det ønskes brugt som andenfaktor dér.
  • norEduPersonLIN lokalt identifikationsnummer
  • organizationName* visningsnavn for brugerorganisationen
  • preferredLanguage foretrukne sprog
  • sn* efternavne sættes til sidste delnavn i værdien af cn når brugerorganisationen er MitID.
  • schacCountryOfCitizenship statstilhørsforhold
  • schacHomeOrganization** entydigt ID for brugerorganisationen skal være et DNS-domæne under brugerorganisationens kontrol.
  • schacHomeOrganizationType** typen af brugerorganisationens organisation er higherEducationalInstitution hvis organisationen udbyder primært videregående uddannelser, educationalInstitution for andre udddannelsesinstitutioner, universityHospital for universitetshospitaler, NRENAffiliate for WAYF Orphanage og other for alle andre brugerorganisationer.
  • schacPersonalUniqueCode entydig kode bruges til transport af European Student Identifier.
  • schacPersonalUniqueID nationale unikke ID bruges til dansk CPR-nummer, med værdiformatet urn:mace:terena.org:schac:personalUniqueID:dk:CPR:(CPR-nr.-uden-bindestreg). CPR-nummer udleveres kun til offentlige dataansvarlige og kun til modtagere som er godkendt af den brugerorganisation som ønsker tjenesten tilsluttet WAYF.
  • schacDateOfBirthfødselsdato beregner WAYF af værdien af schacPersonalUniqueID hvis ikke brugerorganisationen selv leverer værdien.
  • schacYearOfBirthfødeår beregner WAYF af værdien af schacPersonalUniqueID hvis ikke brugerorganisationen selv leverer værdien.
  • uidnøgent bruger-ID ved brugerorganisationen sætter WAYF til delstrengen foran @ i værdien af eduPersonPrincipalName hvis brugerorganisationen ikke selv leverer værdien.