Versions Compared

Old Version 116

changes.mady.by.user Pål Axelsson

Saved on

compared with

New Version 121

changes.mady.by.user Fredrik Domeij

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

På grund av GDPR så är det inte lämpligt att använda studenters personnummer som ESI. För studenter så finns två andra nationella identifiererare identifierare som kan vara lämpliga att använda som bas för ESI, ExterntStudentUID från Ladok/NyA/Antagning.se respektive unikt id i eduID. Ett tredje alternativ är att skapa en lokalt ESI direkt kopplat till studentens identitetsutfärdare.

Använda ExterntStudentUID från Ladok som ESI

Info
titleRekommendation

För de lärosäten som använder Ladok rekommenderas att ExterntStudentUID i Ladok används för att bilda ESI. Fördelen med just denna variant är att studenten behåller samma ESI-värde även om de börjar studera vid annat lärosäte (om med förutsättning att även det nya lärosätet använder ESI ).

...

från Ladok.

Denna variant går även använda för de lärosäten som inte använder Ladok men använder NyA/Antagning.se för antagning. Detta värde kan då hämtas från NyA/Antagning.se.

I Ladok finns ett ExterntStudentUID för varje student. Värdet kommer från UHR:s studentregister där samordning sker med Ladok och NyA/Antagning.se för att varje student som etableras i Ladok eller NyA/Antagning.se ska få en unik gemensam identifierare. För att i möjligaste mån se till att studenter har samma ESI oberoende vilket lärosäte/inloggningstjänst studenten loggar in via så bör ExterntStudentUID användas för ESI. Notera att Ladok respektive NyA/Antagning.se även har egna, interna UID:er för studenter (som i Ladoks fall (StudentUID) bland annat kan användas i norEduPersonLIN). Dessa är inte samma som ExterntStudentUID.

...

Note

Observera att värdet från ExterntStudentUID ska vara på samma form som i Ladok, dvs ingen konvertering mellan gemener och versalerfrån Ladok/NyA/Antagning.se ska vara skrivna med gemener (små bokstäver). Vissa verktyg får ut dessa i versaler (stora bokstäver) som då behöver konverteras till gemener.

Denna ESI kan användas på två sätt:

...

select p.PNR, HEX(m.STUDENT_UID) from NYA.PERSON p join NYA.STUDENT_PERSON_ID_MAP m on p.PERSON_ID = m.PERSON_ID where p.PNR = '<pnr>'

Använda lokal användaridentitet vid lärosäte som ESI

Note

Använd denna variant endast om inte ExterntStudentUID från Ladok (och antagning.se) inte kan användas!

Varje användare vid ett lärosäte har en unik användaridentitet som aldrig återanvänds för annan individ (används normalt i eduPersonPrincipalName i SWAMID).

Användaridentiteten är en textsträng, exempelvis abcd1234, och lärosätet har en DNS-domänen (SAML Scope), exempelvis larosate.se.

Värdet på schacPersonalUniqueCode blir då: urn:schac:personalUniqueCode:int:esi:larosate.se:abcd1234

Synkronisering med eduID

eduID kan på uppdrag från ett lärosäte tillhanda ESI för dess studenter. Efter att lärosätet godkänt användningen kan en student vid lärosätet aktivera ESI i sin användarprofil. eduID kan dock inte skicka i attributrelease att det är en student vid lärosätet beroende på säkerhetsbegränsningar.

Synkronisering av ExterntStudentUID med eduID

eduID kan på uppdrag från ett lärosäte tillhanda ESI för dess studenter. Efter att lärosätet godkänt användningen kan en student vid lärosätet aktivera ESI i sin användarprofil. eduID kan dock inte skicka i attributrelease att det är en student vid lärosätet beroende på säkerhetsbegränsningar.

Oavsett om ett lärosäte väljer att implementera ESI i sin identitetsutfärdare eller Oavsett om ett lärosäte väljer att implementera ESI i sin identitetsutfärdare eller ej så finns skäl att synkronisera studenters ESI med eduID. Exempel på detta:

...

Lärosätet kan hämta ESI för sina studenter från eduID (via en användarinloggning)
Synkronisering av ESIBeskrivning
Ladok -> eduIDLärosätet kan tillåta eduID att hämta ESI för lärosätets studenter från Ladok (via Ladoks REST-API)eduID -> LärosäteREST-API)
eduID -> LärosäteLärosätet kan hämta ESI för sina studenter från eduID (via en användarinloggning)

Använda lokal användaridentitet vid lärosäte som ESI

Note

Använd denna variant endast om ExterntStudentUID från Ladok (och NyA/Antagning.se) inte kan användas!

Varje användare vid ett lärosäte har en unik användaridentitet som aldrig återanvänds för annan individ (används normalt i eduPersonPrincipalName i SWAMID).

Användaridentiteten är en textsträng, exempelvis abcd1234, och lärosätet har en DNS-domänen (SAML Scope), exempelvis larosate.se.

Värdet på schacPersonalUniqueCode blir då: urn:schac:personalUniqueCode:int:esi:larosate.se:abcd1234

Att göra attributrelease av ESI från en identitetsutfärdare

...

För att testa konfigurationen ovan kan man antingen importera en SP som har rätt entitetskategori i metadatat eller tvinga en entitetskategori på en test-SP.
Man kan också "torrsimma" och emulera vilka attribut som kommer släppas med kommadot Getkommandot Get-ADFSTkToolsIssuanceTransformRules.

...

  • Identifieraren för entitetskategorin är https://myacademicid.org/entity-categories/esi.
  • Värdet för ESi ska skickas i attributet schacPersonalUniqueCode (urn:oid:1.3.6.1.4.1.25178.1.2.14).
    • Observera att det är endast ESI-värdet som ska skickas till MyAcademicID, inga andra!

Manuell konfiguration av attributrelease till MyAcademicID om inte

...

entitetskategori kan användas

Om inte lärosätets identitetsutfärdare inte kan hantera attributrelease av ESI via entitetskategori eller om lärosätet manuellt konfigurerar attributrelease behöver ni tänka på följande vid konfigurationen.

...