Attribuut

Waarde (voorbeeld)

urn:mace:eduid.nl:1.1

79d014e6-ca3c-4c42-adf2-acae0e3f2b4b

NameID (persistent)

dc1da59d-2eb8-40c1-8bec-2495561aed24

eduPersonPrincipalName (EPPN)

dc1da59d-2eb8-40c1-8bec-2495561aed24@eduid.nl

uid

dc1da59d-2eb8-40c1-8bec-2495561aed24

Attribuut

Waarde (voorbeeld)

urn:mace:eduid.nl:1.1

Dit is een instellings-specifieke eduID-identifier:

• De applicaties van één instelling krijgen een unieke waarde die voor de gebruiker altijd hetzelfde is. 
• Voor de applicaties van een andere instelling wordt een andere waarde doorgegeven voor dezelfde gebruiker. 
• Een applicatie die niet aan een instelling is gekoppeld krijgt een andere, eigen waarde. 

Gebruik dit attribuut voor:

• Onderwijsprocessen binnen één instelling
• Dit kan bijvoorbeeld zijn voor een koppeling tussen SIS (Studenten Informatie Systeem) en een ELO (Elektronische Leeromgeving)

Dit geeft een hoge mate van privacy, want:

• Verschilt per instelling
• Correlatie alleen mogelijk binnen dezelfde instelling.

Dit attribuut wordt aangeraden voor use cases waarbij herkenning tussen applicaties nodig is.

Achtergrondinformatie

De attribuutwaarde wordt bepaald op basis van:

• De unieke identifier van het eduID-account. 
• het instellingsspecifieke kenmerk van de applicatie, de SURFconext instellings-GUID. 

Per applicatie (Service Provider / Relying Party) wordt de bijbehorende instelling bepaald. Deze instelling heeft een vaste GUID binnen SURFconext, die wordt gecombineerd met de eduID van de gebruiker.

Hieruit wordt via een hashfunctie een unieke, reproduceerbare identifier afgeleid.

79d014e6-ca3c-4c42-adf2-acae0e3f2b4b

NameID / eduPersonTargetedID (persistent)

Het persistente NameID bevat een willekeurige, unieke waarde waarmee een gebruiker binnen één applicatie (Service Provider or Relying Party) herkend kan worden. De waarde blijft gelijk over meerdere sessies en is uniek per ClientID of EntityID. 

Dit is bijvoorbeeld geschikt voor:

• gebruikersprofielen
• voorkeuren of instellingen
• herkenning bij herhaald inloggen

Dit attribuut is niet te koppelen aan andere applicaties en daarmee privacyvriendelijk. 

Dit attribuut wordt aangeraden voor use cases waarbij dit van belang is, en herkenning alleen binnen 1 applicatie nodig is.

NameID / eduPersonTargetedID (transient)

Een transient NameID verandert bij elke login. Terugkerende gebruikers worden niet herkend.

Dit is bijvoorbeeld geschikt voor:

• eenmalige of anonieme toegang

• maximale privacy

Dit is de meest privacy vriendelijke optie. 

Dit attribuut wordt aangeraden voor use cases waarbij dit van belang is, en herkenning alleen binnen 1 sessie voldoende is.

eduPersonPrincipalName (EPPN)

Dit maakt unieke identificatie van een gebruiker over meerdere applicaties heen mogelijk.

De eigenschappen op een rij:

• Niet privacyvriendelijk
• Maakt correlatie tussen applicaties mogelijk
• Door het domein (@eduid.nl) geschikt voor multi-tenant applicaties

Het gebruik hiervan wordt daarom afgeraden. Mogelijk verdwijnt dit attribuut.

dc1da59d-2eb8-40c1-8bec-2495561aed24@eduid.nl

uid

Unieke identificatie van gebruikers, over applicaties heen.

Ook dit attribuut is niet privacyvriendelijk en maakt het koppelen tussen applicaties mogelijk. 

Het gebruik hiervan wordt daarom afgeraden. Mogelijk verdwijnt dit attribuut.

dc1da59d-2eb8-40c1-8bec-2495561aed24