Versions Compared

Old Version 109

changes.mady.by.user Fredrik Domeij

Saved on

compared with

New Version 110

changes.mady.by.user Pål Axelsson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

select p.PNR, HEX(m.STUDENT_UID) from NYA.PERSON p join NYA.STUDENT_PERSON_ID_MAP m on p.PERSON_ID = m.PERSON_ID where p.PNR = '<pnr>'

Använda

...

lokal användaridentitet vid lärosäte som ESI

Varje användare i eduID har ett unikt id som används som identifierare i attributet eduPersonPrincipalName (<unikt-id>@eduid.se) som kan användas som grund för att skapa en ESI. Det unika id:t är en textsträng på specifikt format, exempelvis abcde-fghijvid ett lärosäte har en unik användaridentitet som aldrig återanvänds för annan individ (används normalt i eduPersonPrincipalName i SWAMID).

Användaridentiteten är en textsträng, exempelvis abcd1234, och lärosätet har en DNS-domänen (SAML Scope), exempelvis larosate.se.

Värdet på schacPersonalUniqueCode blir då: urn:schac:personalUniqueCode:int:esi:eduidlarosate.se:abcde-fghij

Notera att eduID även har möjlighet att på ett lärosätes uppdrag integrera mot Ladok för att hämta ut ExterntStudentUID därifrån eller få det av lärosätet via en SCIM-integration och då använda ExterntStudentUID från Ladok för att använda som ESI.

Använda lokal användaridentitet vid lärosäte som ESI

Varje användare vid ett lärosäte har en unik användaridentitet som aldrig återanvänds för annan individ (används normalt i eduPersonPrincipalName i SWAMID).

Användaridentiteten är en textsträng, exempelvis abcd1234, och lärosätet har en DNS-domänen (SAML Scope), exempelvis larosate.se.

Värdet på schacPersonalUniqueCode blir då: urn:schac:personalUniqueCode:int:esi:larosate.se:abcd1234

Synkronisering med eduID

Oavsett om ett lärosäte väljer att implementera ESI i sin identitetsutfärdare eller ej så finns skäl att synkronisera studenters ESI med eduID. Exempel på detta:

  • Lärosätet hämtar ESI från Ladok/NyA till sin egen IdP och lärosätets studenter använder ibland, eller i framtiden främst, eduID för inloggning
  • Lärosätet har sina studenter i Ladok men hämtar inte ESI från Ladok/NyA/Antagning.se och låter istället sina studenter använda eduID för inloggning mot Erasmus+
  • Lärosätet har inte sina studenter i Ladok/NyA/Antagning.se

eduID har integrationsmöjligheter både för att koppla ESI till användare i eduID och för att hämta ut användares ESI från eduID:

...

Att göra attributrelease av ESI från en identitetsutfärdare

MyAcademicID använder entitetskategorin Géant Data Protection Code of Conduct för alla attribut som överförs från lärosätenas identitetsutfärdare förutom för European Student Identifier (ESI). Det beror på att ESI använder det multivärda attributet schacPersonalUniqueCode.  Detta attribut kan innehålla många olika värden med olika syfte och det är av integritets- och säkerhetsskäl endast lämpligt att släppa ESI till tjänster som har rätt att använda det.

European Student Identifier har en egen entitetskategori vilken har som enda uppgift att endast släppa ESI-värdet i attributet schacPersonalUniqueCode till de tjänster som efterfrågar ESI via entitetskategorin. Övriga attribut som tjänsten behöver efterfrågas via annan entitetskategori, t.ex. CoCo. Den tekniska identifieraren av denna entitetskategori är https://myacademicid.org/entity-categories/esi och den formella definitionen på entitetskategorin finns på den adressen..

Shibboleth Identity Provider

För Shibboleth Identity Provider har SWAMID uppdaterat SWAMID:s exempelfiler för resolver och filter på hur ESI-värdet släpps genom ett automatiserat beslut. Se wikisidorna "Example of a standard attribute resolver for Shibboleth IdP v4 and above" och "Example of a standard attribute filter for Shibboleth IdP v3.4.0 and above" och sök på attributet schacPersonalUniqueCode för att se exempelkonfigurationerna.

Active Directory Federation Services (ADFS)

...

abcd1234

Synkronisering med eduID

Oavsett om ett lärosäte väljer att implementera ESI i sin identitetsutfärdare eller ej så finns skäl att synkronisera studenters ESI med eduID. Exempel på detta:

  • Lärosätet hämtar ESI från Ladok/NyA till sin egen IdP och lärosätets studenter använder ibland, eller i framtiden främst, eduID för inloggning
  • Lärosätet har sina studenter i Ladok men hämtar inte ESI från Ladok/NyA/Antagning.se och låter istället sina studenter använda eduID för inloggning mot Erasmus+

eduID har integrationsmöjligheter med Ladok både för att koppla ESI till användare i eduID och för att hämta ut användares ESI från eduID:

Synkronisering av ESIBeskrivning
Ladok -> eduIDLärosätet kan tillåta eduID att hämta ESI för lärosätets studenter från Ladok (via Ladoks REST-API)
eduID -> LärosäteLärosätet kan hämta ESI för sina studenter från eduID (via en användarinloggning)

Att göra attributrelease av ESI från en identitetsutfärdare

MyAcademicID använder entitetskategorin Géant Data Protection Code of Conduct för alla attribut som överförs från lärosätenas identitetsutfärdare förutom för European Student Identifier (ESI). Det beror på att ESI använder det multivärda attributet schacPersonalUniqueCode.  Detta attribut kan innehålla många olika värden med olika syfte och det är av integritets- och säkerhetsskäl endast lämpligt att släppa ESI till tjänster som har rätt att använda det.

European Student Identifier har en egen entitetskategori vilken har som enda uppgift att endast släppa ESI-värdet i attributet schacPersonalUniqueCode till de tjänster som efterfrågar ESI via entitetskategorin. Övriga attribut som tjänsten behöver efterfrågas via annan entitetskategori, t.ex. CoCo. Den tekniska identifieraren av denna entitetskategori är https://myacademicid.org/entity-categories/esi och den formella definitionen på entitetskategorin finns på den adressen..

Shibboleth Identity Provider

För Shibboleth Identity Provider har SWAMID uppdaterat SWAMID:s exempelfiler för resolver och filter på hur ESI-värdet släpps genom ett automatiserat beslut. Se wikisidorna "Example of a standard attribute resolver for Shibboleth IdP v4 and above" och "Example of a standard attribute filter for Shibboleth IdP v4 and above" och sök på attributet schacPersonalUniqueCode för att se exempelkonfigurationerna.

Active Directory Federation Services (ADFS)

ADFS Toolkit har inte inbyggt stöd i version 2.0.0 och 2.0.1 för att släppa ESI via entitetskategori utan en uppdatering av SWAMID-inställningarna behöver laddas ner och konfigureras manuellt. ADFS Toolkit kommer från och med version 2.1.0 att ha stöd för ESI-kategorin. Det finns inget stöd i version 1.0 och tidigare!

Instruktion för att hantera ESI i ADFS Toolkit 2.0.0 och 2.0.1

...

För att snabbt få stöd för ESI-kategorin innan den byggts in i ADFS Toolkit har SWAMID släppt en utökad federationsfil som kan importeras via ett kommando, se nedan.  Federationsfilen innehåller dels specifika entitetskategorier för SWAMID, dels defaultvärden för ADFS Toolkit

Instruktion för att hantera ESI i ADFS Toolkit 2.0.0 och 2.0.1

För att snabbt få stöd för ESI-kategorin innan den byggts in i ADFS Toolkit har SWAMID släppt en utökad federationsfil som kan importeras via ett kommando, se nedan.  Federationsfilen innehåller dels specifika entitetskategorier för SWAMID, dels defaultvärden för ADFS Toolkit så att man inte behöver ta reda på URL:en till metadatat eller certifikatets fingerprint som signerar metadatat. 

...

Code Block
languagepowershell
Import-ADFSTkMetadata -EntityId 'https://proxy.prod.erasmus.eduteams.org/metadata/backend.xml' -ConfigFile 'C:\ADFSToolkit\config\institution\config.Swamid.xml' -ForcedEntityCategories 'https://myacademicid.org/entity-categories/esi' -ForceUpdate

För att se resultatet av importen, använd följande kommando:

Code Block
languagepowershell
Get-AdfsRelyingPartyTrust -Identifier 'https://proxy.prod.erasmus.eduteams.org/metadata/backend.xml' | Select -ExpandProperty IssuanceTransformRules

Manuell konfiguration av entitetskategori för ESI

Om inte lärosätets identitetsutfärdare inte kan hantera attributrelease av ESI via entitetskategori eller om lärosätet manuellt konfigurerar attributrelease behöver ni tänka på följande vid konfigurationen.

  • Identifieraren för entitetskategorin är https://myacademicid.org/entity-categories/esi.
  • Värdet för ESi ska skickas i attributet schacPersonalUniqueCode (urn:oid:1.3.6.1.4.1.25178.1.2.14).
    • Observera att det är endast ESI-värdet som ska skickas till MyAcademicID, inga andra!

Manuell konfiguration av attributrelease till MyAcademicID om inte entietskategori kan användas

Om inte lärosätets identitetsutfärdare inte kan hantera attributrelease av ESI via entitetskategori eller om lärosätet manuellt konfigurerar attributrelease behöver ni tänka på följande vid konfigurationen.

  • entityID för MyAcademicID är https://proxy.prod.erasmus.eduteams.org/metadata/backend.xml.
  • Värdet för ESi ska skickas i attributet schacPersonalUniqueCode (urn:oid:1.3.6.1.4.1.25178.1.2.14).
    • Observera att det är endast ESI-värdet som ska skickas till MyAcademicID, inga andra!
  • MyAcademicID begär även attributen eduPersonAssurance, eduPersonPrincipalName, eduPersonScopedAffiliation, givenNamemailschacHomeOrganization och sn via entitetaskategorin CoCo.

Presentationer från webinarer

Presentationer som beskriver hanteringen av ESI:

På wikisidan Presentationer från webbinarium 2021 finns ytterligare webbinarium om MyAcademicID och EDSSI.

Förutsättningar för lärosäten

Lista på lärosäten hämtad från https://www.uka.se/fakta-om-hogskolan/universitet-och-hogskolor/lista-over-universitet-hogskolor-och-enskilda-utbildningsanordnare.html.

...

Beckmans designhögskola

...

Blekinge tekniska högskola

...

Chalmers tekniska högskola

...

Enskilda Högskolan Stockholm

...

Försvarshögskolan

...

Gammelkroppa skogsskola

...

Gymnastik- och idrottshögskolan

...

Göteborgs universitet

...

Handelshögskolan i Stockholm

...

Högskolan Dalarna

...

Högskolan Evidens

...

Högskolan i Borås

...

Högskolan i Gävle

...

Högskolan i Halmstad

...

Högskolan i Skövde

...

Högskolan Kristianstad

...

Högskolan Väst

...

Johannelunds teologiska högskola

...

Karlstads universitet

...

Karolinska institutet

...

Konstfack

...

Kungl. Konsthögskolan

...

ja

...

Kungl. Musikhögskolan i Stockholm

...

Kungl. Tekniska högskolan

...

Linköpings universitet

...

Linnéuniversitetet

...

Luleå tekniska universitet

...

Lunds universitet

...

Malmö universitet

...

Marie Cederschiöld högskola/Ersta Sköndal Bräcke högskola

...

Mittuniversitetet

...

Mälardalens universitet

...

Newmaninstitutet

...

Röda Korsets högskola

...

Skandinaviens akademi för psykoterapiutveckling

...

Sophiahemmet Högskola

...

Stiftelsen Högskolan i Jönköping

...

Stockholms konstnärliga högskola

...

Stockholms Musikpedagogiska Institut

...

Stockholms universitet

...

Svenska institutet för kognitiv psykoterapi

...

Sveriges lantbruksuniversitet

...

Södertörns högskola

...

Umeå universitet

...

Uppsala universitet

...

Örebro Teologiska Högskola (Akademi för Ledarskap och Teologi)

...

' -ForceUpdate

För att se resultatet av importen, använd följande kommando:

Code Block
languagepowershell
Get-AdfsRelyingPartyTrust -Identifier 'https://proxy.prod.erasmus.eduteams.org/metadata/backend.xml' | Select -ExpandProperty IssuanceTransformRules

Manuell konfiguration av entitetskategori för ESI

Om inte lärosätets identitetsutfärdare inte kan hantera attributrelease av ESI via entitetskategori eller om lärosätet manuellt konfigurerar attributrelease behöver ni tänka på följande vid konfigurationen.

  • Identifieraren för entitetskategorin är https://myacademicid.org/entity-categories/esi.
  • Värdet för ESi ska skickas i attributet schacPersonalUniqueCode (urn:oid:1.3.6.1.4.1.25178.1.2.14).
    • Observera att det är endast ESI-värdet som ska skickas till MyAcademicID, inga andra!

Manuell konfiguration av attributrelease till MyAcademicID om inte entietskategori kan användas

Om inte lärosätets identitetsutfärdare inte kan hantera attributrelease av ESI via entitetskategori eller om lärosätet manuellt konfigurerar attributrelease behöver ni tänka på följande vid konfigurationen.

  • entityID för MyAcademicID är https://proxy.prod.erasmus.eduteams.org/metadata/backend.xml.
  • Värdet för ESi ska skickas i attributet schacPersonalUniqueCode (urn:oid:1.3.6.1.4.1.25178.1.2.14).
    • Observera att det är endast ESI-värdet som ska skickas till MyAcademicID, inga andra!
  • MyAcademicID begär även attributen eduPersonAssurance, eduPersonPrincipalName, eduPersonScopedAffiliation, givenNamemailschacHomeOrganization och sn via entitetaskategorin CoCo.

Presentationer från webinarer

Presentationer som beskriver hanteringen av ESI:

På wikisidan Presentationer från webbinarium 2021 finns ytterligare webbinarium om MyAcademicID och EDSSI.

...

Örebro universitet

...

Specifikationer

Specifikation av European Student Identifier (ESI)

...