Page History

Zur Kommunikation studentischer Matrikelnummern an Stellen der öffentlichen Verwaltung oder Systeme der Lern-/Lehrverwaltung, die dieses Datum legitimerweise benötigen.

...

urn:schac:personalUniqueCode:int:esi:at:01234567

Shibboleth IDP

Diese Beispiele orientieren sich an der aktuellen Shibboleth IDP-Version ohne Nutzung der Attribute Registry (was Systeme betrifft, die von IDPv3 aktualisiert wurden).

Erzeugen

Nachdem dieses Attribut nicht in genau in Form des ESI bereits irgendwo gespeichert sein wird, folgt ein Beispiel, wie dynamisch aus dem Attribut uid (das aus dem DataConnector mit der id="myLDAP" kommt) die Matrikelnummer extrahiert und in die benötigte Form gebracht werden kann. In diesem (fiktiven) Beispiel enthält uid eine lokale UserID, die für Studierende dem Werteschema "x<MATRIKELNR>" folgt. Hat die UserID nicht die erwartete Form, bleibt das Attribut leer (und wird vom IDP später entfernt):

<AttributeDefinition id="schacPersonalUniqueCode" xsi:type="Mapped">
    <InputDataConnector ref="myLDAP" attributeNames="uid" />
    <DisplayName xml:lang="de">Europäische Studierendenkennung (ESI)</DisplayName>
    <DisplayName xml:lang="en">European Student Identifier (ESI)</DisplayName>
    <ValueMap>
        <ReturnValue>urn:schac:personalUniqueCode:int:esi:at:$1</ReturnValue>
        <SourceValue>^x([0-9]{8,})$</SourceValue>
    </ValueMap>
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.25178.1.2.14" friendlyName="schacPersonalUniqueCode" encodeType="false" />
</AttributeDefinition>

Wird keine Umformung des Quelldatums benötigt (fiktives Attribut matrikelnummer liefert bereits genau diese), reicht auch eine Template-Definition:

<AttributeDefinition id="schacPersonalUniqueCode" xsi:type="Template">
    <InputDataConnector ref="myLDAP" attributeNames="matrikelnummer" />
    <DisplayName xml:lang="de">Europäische Studierendenkennung (ESI)</DisplayName>
    <DisplayName xml:lang="en">European Student Identifier (ESI)</DisplayName>
    <Template>urn:schac:personalUniqueCode:int:esi:at:${matrikelnummer}</Template>
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.25178.1.2.14" friendlyName="schacPersonalUniqueCode" encodeType="false" />
</AttributeDefinition>

Keine Matrikelnummer

Institutionen, die keine Matrikelnummern ausgeben, erzeugen den European Student Identifier übrigens weitgehend analog, nur eben aus einer lediglich lokal eindeutigen Kennung (im Beispiel unten wieder aus dem uid-Attribut) sowie der kanonischen DNS-Domain ("scope") der Institution:

...

...

Erzeugen

Das dynamische Erzeugen des ESI aus einem Attribut, das eine Form der Matrikelnummer enthält, zeigen wir in unserer Attribute Resolver-Dokumentation.

Freigeben

Eine passende Policy für den attribute-filter.xml, dieses die Matrikelnummer als ESI-Attribut (d.h. nur die ESI-spezifischen Werte des schacPersonalUniqueCodedes schacPersonalUniqueCode-Attributs) nur an aufgezählte berechtigte Service Provider weiterzugeben (etwa an den Erasmus+ Proxy und was u.a. das "MyAcademicID IAM Service" sowie das österreichische iXam-Prüfungssystem), und nur, wenn das Attribut eduPersonAffiliation den Wert student hat (also nur für Studierende einschließt), könnte beim Shibboleth IDP dann so aussehen: