Zur Kommunikation studentischer Matrikelnummern an Stellen der öffentlichen Verwaltung oder andere Systeme, die dieses Verwaltungsdatum benötigen.
Geltungs- und Nutzungsbereich
Gibt es Anwendungen, die studienrelevante Daten verwalten, brauchen diese u.U. zur eindeutigen Identifikation von Studierenden neben Vor- und Zuname (oder Geburtsdatum) auch die österreichweit eindeutige Matrikelnummer. Sofern keine technische Verbindung zu Systemen der (öffentlichen) Verwaltung besteht, sollte jedenfalls auf die Nutzung der Matrikelnummer als name identifier verzichtet werden – ebenso wie z.B. Sozialversicherungsnummern nur innerhalb des für sie bestimmten Bereichs eingesetzt werden sollten.
Matrikelnummern sind keine guten Identifier für UserIDs, Email-Adressen oder anderen Gebrauch außerhalb der Verwaltung im engeren Sinn, da es durch (Korrektur von) Falsch- bzw. Neuvergaben immer wieder zu Änderungen von Matrikelnummern kommt, auch wenn diese eigentlich lebenslang unverändert und landesweit eindeutig sein sollten.
Solche Änderung an Verwaltungsdaten sollten nach Möglichkeit auf Systeme der Lehrverwaltung beschränkt bleiben. Benutzt man die Matrikelnummer jedoch auch als Basis von UserIDs oder Email-Adressen, vervielfältigt man diese Änderungen in alle IT-Systeme, unter teils hohem Aufwand mit Datenmigration und BenutzerInnen-Support ("Ihre UserID, Email-Adresse, Homepage, eduroam-Identifier, etc. haben sich geändert, ...").
Implementierung eduID.at
Zur Zeit verlangt nur ein eduID.at Service Provider die Matrikelnummer als Attribut (dies aber in der hier spezifizierten Form): Studentensoftware für österreichische Universitäten der TU Wien.
SCHAC personalUniqueCode
Im international eingesetzten SCHAC-Schema wurde das Attribut schacPersonalUniqueCode
definiert, das u.a. für die Kennzeichnung der studentID
verwendet wird. Die Werte dieses Attributs sind URNs, mit standardisierten Prefixen, siehe dazu die SCHAC-Spezifikation. Sofern also die studentische Matrikelnummer als SAML-Attribut übertragen werden soll, empfielt ACOnet die Nutzung des Attributs schacPersonalUniqueCode
. Werte haben dabei die Form:
Shibboleth IDP
Nachdem dieses Attribut nicht in genau dieser Form bereits irgendwo gespeichert sein wird, folgt ein Beispiel, wie dynamisch aus dem Attribut uid
(das aus dem DataConnector mit der id="myLDAP"
kommt) die Matrikelnummer extrahiert und in die benötigte Form gebracht werden kann. In diesem fiktiven Beispiel enthält uid
eine lokale UserID, die für Studierende die Form x<MATRIKELNR>
hat. Hat die UserID nicht die erwartete Form, bleibt das Attribut leer (und wird vom IDP später entfernt):
<resolver:AttributeDefinition id="matrikelMapping" xsi:type="Mapped" xmlns="urn:mace:shibboleth:2.0:resolver:ad" dependencyOnly="true" sourceAttributeID="uid"> <resolver:Dependency ref="myLDAP" /> <ValueMap> <ReturnValue>urn:schac:personalUniqueCode:int:studentID:AT:$1</ReturnValue> <SourceValue>^x([0-9]{7})$</SourceValue> </ValueMap> </resolver:AttributeDefinition> <resolver:AttributeDefinition id="matrikel" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="matrikelMapping"> <resolver:Dependency ref="matrikelMapping" /> <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.25178.1.2.14" friendlyName="schacPersonalUniqueCode" /> </resolver:AttributeDefinition>
Eine passende Regel, dieses Attribut (bzw. nur syntaktisch korrekte Werte davon) nur an aufgezählte Service Provider weiterzugeben, und nur, wenn das Attribut eduPersonAffiliation
den Wert student
hat (also nur für Studierende), könnte beim Shibboleth IDP so aussehen. (Das Beispiel verwendet die etwas entschlackte Syntax ab IDPv3.2.)
<AttributeFilterPolicy id="Matrikelnummer"> <PolicyRequirementRule xsi:type="AND"> <Rule xsi:type="OR"> <Rule xsi:type="Requester" value="https://test-sp.aco.net/shibboleth" /> <Rule xsi:type="Requester" value="https://idp.zid.tuwien.ac.at/studentsoftware" /> </Rule> <Rule xsi:type="Value" attributeID="eduPersonScopedAffiliation" value="student" /> </PolicyRequirementRule> <AttributeRule attributeID="matrikel"> <PermitValueRule xsi:type="ValueRegex" regex="^urn:schac:personalUniqueCode:int:studentID:AT:[0-9]{7}$" /> </AttributeRule> </AttributeFilterPolicy>