Versions Compared

Old Version 34

changes.mady.by.user Leif Johansson

Saved on

compared with

New Version 35

changes.mady.by.user Leif Johansson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

European Student Identifier, förkortat ESI, är ett särskilt attribut som används vid administration av europeiska studentutbyten, t.ex. inom Erasmusprogrammet, samt vid de virtuella europeiska universiteten för att primärt underlätta att personuppgifter och studieresultat överförs korrekt mellan de inblandade högskolorna och universiteten.

ESI representeras i SAML som schacPersonalUniqueCode (se nedan för detaljer)

Alla lärosäten som deltar i Erasmus+ måste innan November 2021 ha implementerat ESI för att vara säkra på att fortsättningsvis ha tillgång till Erasmus-programmets tekniska infrastruktur.

Alternativa sätt att implementera ESI

Ett ESI är alltså en unik, permanent och stabil identifierare som byggs upp av ett prefix som är unikt för organisationen eller organisationerna, och ett suffix som är unikt inom en eller en grupp av organisationer.  Det är inte omöjligt att en person "samlar på sig" mer än ett ESI under sin studietid men det är naturligtvis enklare ju färre ESIer man behöver hålla reda på.. Det finns också fördelar om ett ESI kan följa med en student genom hela livet varför eduID kan vara värdefullt att integrera med även för lärosäten med egna IdPer.

Implementationen av ESI på ett lärosäte kretsar kring Alla lärosäten måste fatta följande två beslut:

  1. Hur skapar man den lokala unika identifieraren för en student?
  2. Hur gör man ESI-attributet tillgängligt i samband med inloggning till de tjänster som ska konsumera attributet.?

Svaret på den första frågan handlar delvis om lärosätet är anslutet till Ladok eller ej. Svaret på den andra frågan handlar om om det finns en bra integration mellan Ladok (eller ett annat motsvarande system) och antingen lärosätets IdP. Om Svaret på den första frågan är nej - dvs om lärosätet inte är anslutet till Ladok - måste man hitta ett annat sätt att välja en stabil, unik och permanent identifierare. Om lärosätet saknar integration med sin IdP eller av andra skäl inte kan eller vill använda denna kan eduID användas.

Tänk på följande:

  • Allt detta är rekommendationer - varje lärosäte fattar ett eget beslut om ESI
  • Det är bäst med om en student har få ESI för en student :er men det är inte en katastrof om en student har flera ESI ESIer under sin studietid - tex i samband med flytt till eller från ett lärosäte som inte ingår i Ladok eller för studenter som inte gått igenom central antagning och därför inte har ett StudentUID.
  • Man kan behöva hantera studenter som gått igenom lokal antagning på ett annat sätt än vanliga "NyA-studenter" - detta kan ge olika ESI-strukturer inom ett lärosäte. Detta är inte ett problem för ESI-samarbetet.
  • ESI är inte knutet till personnummer och kräver inte "verifierade" användare - ett ESI är frikopplat från nationella identifieringssystem och är gemensamt för hela EU
  • Genom att samordna ESI med eduID kan en student behålla sitt ESI över lång tid - även efter att man valt att rensa bort ett lärosäteskonto. Detta främjar livslångt lärande på sikt.

De olika fallen faller inom följande huvudkategorier som vi beskriver nedan.

Lärosätet är anslutet till ladok men har inte möjlighet att göra en egen integration som använder

...

StudentUID


Förslag till beslut

  1. Använd Ta kontakt med eduID och använd den integration som eduID kommer utveckla med ladok Ladok. ESI får den struktur som beskrivs nedan baserat på StudentUID.
  2. eduID gör attribut-release av ESI baserat på ladok enligt beskrivningen nedan.

Att tänka på...

  • Ta kontakt med eduID

Lärosätet är inte anslutet till ladok och väljer att göra egen attribut-release av ESI.


Förslag till beslut

  1. Etablera ESI i en lokalt system eller liknande enligt följande struktur Värdet på schacPersonalUniqueCode blir då: urn:schac:PersonalUniqueCode:int:esi:<lärosätets scope i swamid>:<lokal unik identifierare>
  2. Det egna lärosätets IdP konfigureras att göra attribut-release av ESI via integration med det lokala systemet.

Att tänka på...

  • Planera för utvecklingsinsatsen redan nu.

Lärosätet är inte anslutet till ladok och använder eduID för att skapa ESI


Förslag till beslut

  1. Lärosätet använder eduIDs API (SCIM) för att skicka information om vilka som är studenter till eduID
  2. eduID gör attribut-release av ESI baserad på eduID eppn

Att tänka på...

  • Evt kan lärosätet också välja att hämta hem ESI-attributet till en egen IdP för att även göra attribut-release från egen IdP.
  • Planera för utvecklingsinsatsen och kontakta eduID för att så snart som möjligt börja utveckla mot eduID SCIM-API.

Lärosätet är anslutet till ladok och och har egen integration med ladok.


Förslag till beslut

  1. Lärosätet gör attribut-release av skapar ESI baserat på ladok StudentUID enligt beskrivningen nedan.
  2. Det egna lärosätets IdP konfigureras att göra attribut-release av ESI via integration med det lokala systemet.

Att tänka på...

  • Läroästet kan även be eduID slå på integration med ladok så att samma ESI släpps från både lärosätets egen IdP samt från eduID - kontakta eduID isåfall

Använda StudentUID från Ladok som ESI

I Ladok finns ett ExterntUID för varje student. Värdet kommer ursprungligen från UHR:s studenttjänst (studentIdStudentUID) och samordnas med NyA/Antagning.se. För att i möjligaste mån se till studenter har samma ESI oberoende vilket lärosäte/inloggningstjänst studenten loggar in via så bör detta användas för ESI.

...

NameschacPersonalUniqueCode
DescriptionSpecifies a “unique code” for the subject it is associated with.
Its value does not necessarily correspond to any identifier outside the scope of the
directories using this schema.
This might be Student number, Employee number,...
OID1.3.6.1.4.1.25178.1.2.14
Formaturn:schac:personalUniqueCode:<country-code>:<iNSS>

The must be a valid two-letter ISO 3166 country code identifier or the string “int”, and assigned by the SCHAC URN Registry for this attribute at https://wiki.refeds.org/display/STAN/SCHAC+URN+Registry is a Namespace Specific String as defined in RFC 2141 but case insensitive, from a nationally controlled vocabulary, published through the URI identified at the above mentioned SCHAC URN registry.
RFC 4517 definition( schacAttributeType:14
  NAME 'schacPersonalUniqueCode'
  DESC 'Unique code for the subject'
  EQUALITY caseIgnoreMatch
  ORDERING caseIgnoreOrderingMatch
  SUBSTR caseIgnoreSubstringsMatch
  SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
ExamplesCommon values:
urn:schac:personalUniqueCode:int:studentIDStudentUID:<country-code>:<code>

National extensions:
urn:schac:personalUniqueCode:fi:tut.fi:hetu:010161-995A
urn:schac:personalUniqueCode:es:uma:estudiante:a3b123c12
urn:schac:personalUniqueCode:se:LIN:87654321

...