Zur Kommunikation studentischer Matrikelnummern an Stellen der öffentlichen Verwaltung oder Systeme der Lern-/Lehrverwaltung, die dieses Datum legitimerweise benötigen.
Geltungs- und Nutzungsbereich
Anwendungen, die studienrelevante Daten verwalten, brauchen u.U. zur eindeutigen Identifikation von Studierenden auch die österreichweit eindeutige Matrikelnummer. Sofern keine technische Verbindung zu Systemen der öffentlichen bzw. Hochschullehrverwaltung besteht, sollte jedenfalls auf die Nutzung der Matrikelnummer als name identifier verzichtet werden – ebenso wie z.B. die Sozialversicherungsnummer nur innerhalb des für sie bestimmten Bereichs der Gesundheitsverwaltung eingesetzt werden sollte.
Matrikelnummern sind keine guten Identifier für Personen (auch etwa als Teil von UserIDs oder Email-Adressen) oder anderen Gebrauch außerhalb der Lehrverwaltung im engeren Sinn, da es durch (Korrektur von) Falsch- bzw. Neuvergaben immer wieder zu Änderungen von Matrikelnummern kommt, auch wenn diese eigentlich lebenslang unverändert und landesweit eindeutig sein sollten.
Solche Änderung an Verwaltungsdaten sollten nach Möglichkeit auf Systeme der Lehrverwaltung beschränkt bleiben. Benutzt man die Matrikelnummer jedoch auch als Basis von UserIDs oder Email-Adressen, vervielfältigt man die Auswirkungen solcher Änderungen in andere IT-Systeme, unter teils hohem Aufwand für Datenmigration und BenutzerInnen-Support ("Ihre UserID, Email-Adresse, Homepage, eduroam-Identifier, etc. haben sich geändert, ..."). Im Kontext von Identity Federation wären dann aber auch Systeme außerhalb der eigenen Institution von solchen Änderungen betroffen, wenn etwa das eduPersonPrincipalName-Attribut aus der Matrikelnummer gebildet würde und diese sich änderte: Damit änderte sich auch der Wert des eduPersonPrincipalName und Betroffene verlören damit u.U. Zugriff auf ihre Daten bei diversen föderierten Services, die sich eben auf das eduPersonPrincipalName-Attribut zur Wiedererkennung ihrer NutzerInnen verließen. Im Anlassfall "alle" davon betroffenen Services zu ermitteln und zu verständigen und um deren Kooperation bei der Korrektur/dem Nachtragen solcher Änderungen zu ersuchen, erscheint wenig verlockend.
SCHAC personalUniqueCode
Im international eingesetzten SCHAC-Schema wurde das Attribut schacPersonalUniqueCode definiert, das auch für die Formulierung des European Student Identifier (ESI) verwendet wird: Die Werte dieses Attributs sind URNs mit standardisierten Prefixen. Sofern also die studentische Matrikelnummer als SAML-Attribut übertragen werden soll, empfielt ACOnet die Form als ESI:
Shibboleth IDP
Erzeugen
Das dynamische Erzeugen des ESI aus einem Attribut, das eine Form der Matrikelnummer enthält, zeigen wir in unserer Attribute Resolver-Dokumentation.
Freigeben
Eine passende Policy für den attribute-filter.xml, die Matrikelnummer als ESI-Attribut (d.h. nur die ESI-spezifischen Werte des schacPersonalUniqueCode-Attributs) nur an berechtigte Service Provider weiterzugeben (was u.a. das "MyAcademicID IAM Service" sowie das österreichische iXam-Prüfungssystem einschließt), könnte beim Shibboleth IDP dann so aussehen:
<AttributeFilterPolicy id="MyAcacemicID">
<PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
attributeName="http://macedir.org/entity-category"
attributeValue="https://myacademicid.org/entity-categories/esi"/>
<AttributeRule attributeID="schacPersonalUniqueCode">
<PermitValueRule xsi:type="ValueRegex" regex="^urn:schac:personalUniqueCode:int:esi:.*$" />
</AttributeRule>
<AttributeRule attributeID="eduPersonEntitlement">
<PermitValueRule xsi:type="ValueRegex" regex="^urn:geant:erasmuswithoutpaper.eu:.*$" />
</AttributeRule>
</AttributeFilterPolicy>
Die Erasmus+ Services benötigen weitere Attribute/Daten und nicht nur die hier relevante/gezeigte Matrikelnummer als ESI.
Overview
Content Tools
Tasks