Deze functionaliteit is alleen ten behoeve van diensten die door SURF zelf worden aangeboden.

Als je in jouw applicatie welke aan SURFconext is gekoppeld SAB-informatie zoals SAB-rollen en de klantafkorting wil gebruiken, dan is de eenvoudigste manier om dat via SURFconext attribuut-aggregatie (SURFconext -AA) te doen.

Als gebruikers al op de applicatie inloggen via SURFconext zijn hiervoor geen extra API's, interfaces en credentials nodig. Bij de SURFconext-login krijg je in het attribuut 'urn:mace:surf.nl:attribute-def:surf-autorisaties' de informatie van SAB, gefilterd voor de desbetreffende applicatie, van de ingelogde gebruiker mee.

In het attribuut 'surf-autorisaties' (dat meerwaardig kan zijn) kun je de volgende waarden verwachten:

  • Specifieke SAB-rollen die de gebruiker heeft, bijvoorbeeld:
    urn:mace:surfnet.nl:surfnet.nl:sab:role:SURFmedia-beheerder
    urn:mace:surfnet.nl:surfnet.nl:sab:role:SuperuserRO
  • Organisatiecode: CRM GUID:
    urn:mace:surfnet.nl:surfnet.nl:sab:organizationGUID:ad93daef-0911-e511-80d0-005056956c1a
  • Deprecated: organisatiecode uit SURF CRM "UNIHARDERWIJK" (niet te gebruiken voor nieuwe gevallen - in plaats daarvan GUID gebruiken):
    urn:mace:surfnet.nl:surfnet.nl:sab:organizationCode:UNIHARDERWIJK

Let op! Binnen SAB is een rol altijd gekoppeld aan een instelling. Je moet dus de combinatie van de informatie die je van SAB krijgt ("SURFmedia-beheerder" voor instelling "ad93daef-0911-e511-80d0-005056956c1a" (=UNIHARDERWIJK)) gebruiken voor je autorisaties.

Hoe werkt het?

  • Je vraagt deze functionaliteit aan voor je dienst bij het SURFconext supportteam (e-mail naar support@surfconext.nl). Daarbij geef je op welke rollen je specifiek in geïnteresseerd bent, en eventueel of je ook de klantafkoring of GUID wilt.
  • Na verwerking krijg je een extra multi-valued attribuut 'surf-autorisaties' met bovengenoemde rol informatie. Heeft iemand helemaal geen SAB-rollen (die voor jouw dienst van toepassing zijn) dan wordt het attribuut niet doorgegeven.

Als je naast SAB-rollen ook een of enkele SURFconext Invite-rollen wilt gebruiken voor autorisatie, kun je ook die rollidmaatschappen via de SURFconext-AA toegestuurd krijgen in de SAML assertion van het SAML response.

SAML attribute statement 
<saml:AttributeStatement>
  <saml:Attribute Name="urn:mace:surf.nl:attribute-def:surf-autorisaties" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
    <saml:AttributeValue xsi:type="xs:string">urn:mace:surfnet.nl:surfnet.nl:sab:organizationCode:SURFNET</saml:AttributeValue>
    <saml:AttributeValue xsi:type="xs:string">urn:mace:surfnet.nl:surfnet.nl:sab:organizationGUID:ad93daef-0911-e511-80d0-005056956c1a</saml:AttributeValue>
    <saml:AttributeValue xsi:type="xs:string">urn:mace:surfnet.nl:surfnet.nl:sab:role:OperationeelBeheerder</saml:AttributeValue>
    <saml:AttributeValue xsi:type="xs:string">urn:mace:surfnet.nl:surfnet.nl:sab:role:SURFconextbeheerder</saml:AttributeValue>
  </saml:Attribute>
        .
        .
</saml:AttributeStatement>


Note: In geval van OpenID Connect zal deze informatie in de claim 'surf-autorisaties' worden geplaatst welke via het userinfo end-point opvraagbaar is.

In het verleden werden rollen ook uitgedeeld via het attribuut eduPersonEntitlement, op verder dezelfde wijze. Dat werkt nog voor bestaande gevallen maar wordt niet meer toegepast voor nieuwe implementaties.


  • No labels