You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 31 Next »

Zur Kommunikation studentischer Matrikelnummern an Stellen der öffentlichen Verwaltung oder andere Systeme, die dieses Verwaltungsdatum benötigen.

Geltungs- und Nutzungsbereich

Anwendungen, die studienrelevante Daten verwalten, brauchen u.U. zur eindeutigen Identifikation von Studierenden neben Vor- und Zuname (oder/und Geburtsdatum) auch die österreichweit eindeutige Matrikelnummer. Sofern keine technische Verbindung zu Systemen der öffentlichen Verwaltung besteht, sollte jedenfalls auf die Nutzung der Matrikelnummer als name identifier verzichtet werden – ebenso wie z.B. Sozialversicherungsnummern nur innerhalb des für sie bestimmten Bereichs eingesetzt werden sollten.

Matrikelnummern sind keine guten Identifier für Personen (auch etwa als Teil von UserIDs oder Email-Adressen) oder anderen Gebrauch außerhalb der Lehrverwaltung im engeren Sinn, da es durch (Korrektur von) Falsch- bzw. Neuvergaben immer wieder zu Änderungen von Matrikelnummern kommt, auch wenn diese eigentlich lebenslang unverändert und landesweit eindeutig sein sollten.

Solche Änderung an Verwaltungsdaten sollten nach Möglichkeit auf Systeme der Lehrverwaltung beschränkt bleiben. Benutzt man die Matrikelnummer jedoch auch als Basis von UserIDs oder Email-Adressen, vervielfältigt man die Auswirkungen solcher Änderungen in alle IT-Systeme, unter teils hohem Aufwand für Datenmigration und BenutzerInnen-Support ("Ihre UserID, Email-Adresse, Homepage, eduroam-Identifier, etc. haben sich geändert, ..."). Im Kontext von Identity Federation wären dann aber auch Systeme außerhalb der eigenen Institution von solchen Änderungen betroffen, wenn etwa das eduPersonPrincipalName-Attribut aus der Matrikelnummer gebildet wird und diese sich ändert: Damit änderte sich auch der Wert des eduPersonPrincipalName und Betroffene verlören damit u.U. Zugriff auf ihre Daten bei diversen föderierten Services, die sich auf das eduPersonPrincipalName-Attribut zur Wiedererkennung ihrer NutzerInnen verlassen. Im Anlassfall alle davon betroffenen Services zu ermitteln und zu verständigen und um deren Kooperation bei der Korrektur/dem Nachtragen solcher Änderungen zu ersuchen, erscheint wenig verlockend.

Implementierung eduID.at

Zur Zeit ist von keinem eduID.at Service Provider eine Nutzung dieses Datums bzw. des unten spezifizierten Attributs bekannt.


SCHAC personalUniqueCode

Im international eingesetzten SCHAC-Schema wurde das Attribut schacPersonalUniqueCode definiert, das aktuell für den European Student Identifier (ESI) verwendet wird. Die Werte dieses Attributs sind URNs, mit standardisierten Prefixen. Sofern also die studentische Matrikelnummer als SAML-Attribut übertragen werden soll, empfielt ACOnet die Form als ESI:

Beispiel Attributwert, für Matrikelnummer 1234567

urn:schac:personalUniqueCode:int:esi:at:01234567

Shibboleth IDP

Erzeugen

Nachdem dieses Attribut nicht in genau in Form des ESI bereits irgendwo gespeichert sein wird, folgt ein Beispiel, wie dynamisch aus dem Attribut uid (das aus dem DataConnector mit der id="myLDAP" kommt) die Matrikelnummer extrahiert und in die benötigte Form gebracht werden kann. In diesem fiktiven Beispiel enthält uid eine lokale UserID, die für Studierende die Form "x<MATRIKELNR>" hat. Hat die UserID nicht die erwartete Form, bleibt das Attribut leer (und wird vom IDP später entfernt):

<AttributeDefinition id="schacPersonalUniqueCode" xsi:type="Mapped">
    <InputDataConnector ref="myLDAP" attributeNames="uid" />
    <DisplayName xml:lang="de">Europäische Studierendenkennung (ESI)</DisplayName>
    <DisplayName xml:lang="en">European Student Identifier (ESI)</DisplayName>
    <ValueMap>
        <ReturnValue>urn:schac:personalUniqueCode:int:esi:at:$1</ReturnValue>
        <SourceValue>^x([0-9]{8,})$</SourceValue>
    </ValueMap>
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.25178.1.2.14" friendlyName="schacPersonalUniqueCode" encodeType="false" />
</AttributeDefinition>

Statt uid kann hier also jedes existierende Attribut eingesetzt werden, das bereits eine konsistente Form der Matrikelnummer enthält, etwa E-Mail-Adresse (mail) oder eduPersonPrincipalName.

Wird keine Umformung des Quelldatums benötigt (fiktives Attribut matrikelnummer liefert bereits genau diese), reicht auch eine Template-Definition:

<AttributeDefinition id="schacPersonalUniqueCode" xsi:type="Template">
    <InputDataConnector ref="myLDAP" attributeNames="matrikelnummer" />
    <DisplayName xml:lang="de">Europäische Studierendenkennung (ESI)</DisplayName>
    <DisplayName xml:lang="en">European Student Identifier (ESI)</DisplayName>
    <Template>urn:schac:personalUniqueCode:int:esi:at:${matrikelnummer}</Template>
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.25178.1.2.14" friendlyName="schacPersonalUniqueCode" encodeType="false" />
</AttributeDefinition>

Keine Matrikelnummer

Institutionen, die keine Matrikelnummern ausgeben, erzeugen den European Student Identifier übrigens weitgehend analog, nur eben aus einer lokal eindeutigen Kennung (im Beispiel unten wieder aus dem uid-Attribut) sowie der kanonischen DNS-Domain ("scope") der Institution:

<AttributeDefinition id="schacPersonalUniqueCode" xsi:type="Template">
    <InputDataConnector ref="myLDAP" attributeNames="uid" />
    <DisplayName xml:lang="de">Europäische Studierendenkennung (ESI)</DisplayName>
    <DisplayName xml:lang="en">European Student Identifier (ESI)</DisplayName>
    <Template>urn:schac:personalUniqueCode:int:esi:%{idp.scope}:${uid}</Template>
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.25178.1.2.14" friendlyName="schacPersonalUniqueCode" encodeType="false" />
</AttributeDefinition>

Freigeben

Eine passende Policy für den attribute-filter.xml, dieses Attribut (bzw. nur die ESI-spezifischen Werte davon) nur an aufgezählte Service Provider weiterzugeben (hier: den eduID.at Demo SP und den Erasmus+ Proxy), und nur, wenn das Attribut eduPersonAffiliation den Wert student hat (also nur für Studierende), könnte beim Shibboleth IDP dann so aussehen:

<AttributeFilterPolicy id="ESItoSelectedServices">
    <PolicyRequirementRule xsi:type="AND">
        <Rule xsi:type="OR">
            <Rule xsi:type="Requester" value="https://test-sp.aco.net/shibboleth" />
            <Rule xsi:type="Requester" value="https://proxy.prod.erasmus.eduteams.org/metadata/backend.xml" />
        </Rule>
        <Rule xsi:type="Value" attributeID="eduPersonScopedAffiliation" value="student" />
    </PolicyRequirementRule>
    <AttributeRule attributeID="schacPersonalUniqueCode">
        <PermitValueRule xsi:type="ValueRegex" regex="^urn:schac:personalUniqueCode:int:esi:at:[0-9]{8,}$" />
    </AttributeRule>
</AttributeFilterPolicy>
  • No labels