2. Person¶
2.1. Obligatorisk - person¶
2.1.1. cn¶
| Attributtnavn | cn |
| Kort beskrivelse | Generelt navn på noden med personinformasjon. |
| Eksempel | cn: Arnt Nordmann og/eller cn: olanor123 |
| Multivalued | Ja |
2.1.2. displayName¶
| Attributtnavn | displayName |
| Kort beskrivelse | Personens foretrukne navn. |
| Eksempel | displayName: Ola Nordmann |
| Multivalued | Nei |
2.1.3. norEduPersonLegalName¶
| Attributtnavn | norEduPersonLegalName |
| Kort beskrivelse | Personens juridiske navn, eksempelvis som registrert i Folkeregisteret. |
| Eksempel | norEduPersonLegalName: Arnt Ola Olsen Nordmann |
| Multivalued | Nei |
2.1.4. givenName¶
| Attributtnavn | givenName |
| Kort beskrivelse | Personens fornavn. |
| Eksempel | givenName: Ola |
| Multivalued | Ja |
2.1.5. sn¶
| Attributtnavn | sn |
| Kort beskrivelse | Personens etternavn. |
| Eksempel | sn: Nordmann og/eller sn: Olsen Nordmann |
| Multivalued | Ja |
2.1.6. eduPersonPrincipalName¶
| Attributtnavn | eduPersonPrincipalName |
| Kort beskrivelse | Fullt Feide-navn. |
| Eksempel | eduPersonPrincipalName: olanor123@skotthyll.kommune.no |
| Multivalued | Nei |
eduPersonPrincipalName er per definisjon ikke case-sensitive.
OlaNor123@uin.no er altså det samme Feide-navnet som olanor123@uin.no.
For å sikre kompabilitet med andre systemer, skal likevel
eduPersonPrincipalName legges inn i katalogen med kun små bokstaver.
eduPersonPrincipalName bør aldri gjenbrukes av en ny person.
Organisasjonen må sikre at eduPersonPrincipalName er unik. Dersom
organisasjonen velger å gjenbruke et eduPersonPrincipalName som ikke
er i aktiv bruk, er organisasjonen ansvarlig for at dette ikke fører til
problemer. Det må for eksempel tas i betraktning at
eduPersonPrincipalName kan ha blitt brukt som identifikator i eksterne
systemer/tjenester.
eduPersonPrincipalName består av to deler: <bruker>@<realm>. Merk at
når domenenavn benyttes som realm, skal dette være (underlagt) et domene
som vertsorganisasjonen er registrert eier av.
Første del av eduPersonPrincipalName (før “@”) skal være lik uid.
2.1.7. uid¶
| Attributtnavn | uid |
| Kort beskrivelse | Personens lokale brukernavn hos skoleeier. |
| Eksempel | uid: olanor123 |
| Multivalued | Ja |
Selv om uid i utgangspunktet er multivalued, skal man bare registrere
én verdi i dette feltet. uid er ikke case-sensitiv, men skal på samme
måte som eduPersonPrincipalName legges inn i katalogen med kun små
bokstaver. uid skal utgjøre den første delen av
eduPersonPrincipalName, før “@”.
2.1.8. norEduPersonNIN¶
| Attributtnavn | norEduPersonNIN |
| Kort beskrivelse | Nasjonalt identitetsnummer. |
| Eksempel | norEduPersonNIN: 28089533134 |
| Multivalued | Nei |
norEduPersonNIN skal være et unikt identifikasjonsnummer utstedt av
Folkeregisteret eller Utlendingsdirektoratet (UDI):
- Fødselsnummer
- D-nummer
- DUF-nummer
Dersom en person ikke har noen av disse numrene, skal det ikke
registreres noen verdi i norEduPersonNIN for denne personen.
En person kan ha bruker i Feide uten å ha en verdi i norEduPersonNIN.
For de fleste tjenester vil brukeren fungere normalt, men for tjenester
som er avhengig av norEduPersonNIN vil skoleeier måtte finne andre
løsninger for å gi brukeren tilgang til tjenesten.
Lokalt utstedte identifikasjonsnummer kan legges i norEduPersonLIN.
2.1.9. userPassword¶
| Attributtnavn | userPassword |
| Kort beskrivelse | Personens passord for Feide-pålogging. |
| Eksempel | userPassword: {CRYPT}$6$ufxrIZTs$hl3ocEOAb01o3HC1yk1DUTD6aaHnH7xD5ZDFCH9xnoNUWZky6lt0/ |
| Multivalued | Ja |
Selv om userPassword i utgangspunktet er multivalued, er det vanlig å
bare registrere ett passord i dette feltet.
I dette dokumentet er userPassword satt som en obligatorisk attributt
fordi alle brukere må ha passord ved pålogging. Vær oppmerksom på at
passord kan bli håndtert automatisk av katalogsystemet, slik at det ikke
nødvendigvis må bli håndtert direkte. Det viktige er at den enkelte
person kan autentisere seg ovenfor katalogsystemet (og dermed Feide) med
bruk av et passord.
2.1.10. eduPersonOrgDN¶
| Attributtnavn | eduPersonOrgDN |
| Kort beskrivelse | Peker til LDAP-noden som inneholder informasjon om skoleeieren personen tilhører. |
| Eksempel | eduPersonOrgDN: dc=Skotthyll,dc=kommune,dc=no |
| Multivalued | Nei |
2.1.11. eduPersonOrgUnitDN¶
| Attributtnavn | eduPersonOrgUnitDN |
| Kort beskrivelse | Peker til LDAP-nodene som inneholder informasjon om organisasjonsenheten(e) personen tilhører. |
| Eksempel | eduPersonOrgDN: ou=Hylla skole,cn=organization,dc=Skotthyll,dc=kommune,dc=no |
| Multivalued | Ja |
eduPersonOrgUnitDN er obligatorisk for personer som er tilknyttet en
skole. For de personer som ikke er tilknyttet en skole, men likevel har
behov for en Feide-bruker i sitt daglige virke, skal det ikke
registreres noen verdi i eduPersonOrgUnitDN.
2.1.12. eduPersonPrimaryOrgUnitDN¶
| Attributtnavn | eduPersonPrimaryOrgUnitDN |
| Kort beskrivelse | Peker til LDAP-noden som inneholder informasjon om organisasjonsenheten personen har sin hovedtilhørighet til. |
| Eksempel | eduPersonPrimaryOrgUnitDN: ou=Hylla skole,cn=organization,dc=Skotthyll,dc=kommune,dc=no |
| Multivalued | Nei |
Det presiseres at verdien som benyttes i eduPersonPrimaryOrgUnitDN
også må være satt i eduPersonOrgUnitDN.
2.1.13. eduPersonAffiliation¶
| Attributtnavn | eduPersonAffiliation |
| Kort beskrivelse | Roller hos skoleeier. |
| Eksempel | eduPersonAffiliation: member
eduPersonAffiliation: student eller eduPersonAffiliation: faculty eduPersonAffiliation: employee eduPersonAffiliation: member |
| Multivalued | Ja |
eduPersonAffiliation inneholder informasjon om personens generelle
roller ved organisasjonen. Det er definert et lite sett generelle roller,
ordnet i et hierarki som vist i figur 2 under.
En elev vil ha alle verdiene:
eduPersonAffiliation: studenteduPersonAffiliation: member
En pedagogisk ansatt vil ha alle verdiene:
eduPersonAffiliation: facultyeduPersonAffiliation: employeeeduPersonAffiliation: member
En ansatt som ikke er pedagogisk ansatt vil ha alle verdiene:
eduPersonAffiliation: staffeduPersonAffiliation: employeeeduPersonAffiliation: member
Verdien “affiliate” brukes for å tydeliggjøre at personen er tilknyttet organisasjonen, men uten formelle kontrakter for et ansettelsesforhold eller en skoleplass (for eksempel privatister):
eduPersonAffiliation: affiliate
En person kan ha flere roller, for eksempel både være ansatt og elev:
eduPersonAffiliation: studenteduPersonAffiliation: staffeduPersonAffiliation: employeeeduPersonAffiliation: member
Figur 2 : Rollehierarki
2.1.14. eduPersonEntitlement¶
| Attributtnavn | eduPersonEntitlement |
| Kort beskrivelse | Informasjon om rettigheter, roller og grupper personen har. |
| Eksempel | Eksempel på trinn: eduPersonEntitlement: urn:mace:feide.no:go:grep:http://psi.udir.no/laereplan/aarstrinn/aarstrinn6 Eksempel på utdanningsprogram: eduPersonEntitlement: urn:mace:feide.no:go:grep:http://psi.udir.no/ontologi/utdanningsprogram/studiespesialisering Eksempel på basisgruppe: eduPersonEntitlement: urn:mace:feide.no:go:group:b::NO975278964:6A:2014-08-01:2015-06-15:student:Klasse%206A Eksempel på undervisningsgruppe: eduPersonEntitlement: urn:mace:feide.no:go:group:u:NOR1211:NO974558386:3aaa%2F3nh:2014-08-01:2015-06-15:student:Norsk%20hovedm%C3%A5l%20VG3 Eksempel på annen gruppe: eduPersonEntitlement: urn:mace:feide.no:go:group:a::NO974558386:3fysa%2Flb3:2014-08-01:2014-12-31:student:Labgruppe%203%20Fysikk%20VG3 Eksempel på gruppe-IDer: eduPersonEntitlement: urn:mace:feide.no:go:groupid:b:NO975278964:6a:2014-08-01:2015-06-15 eduPersonEntitlement: urn:mace:feide.no:go:groupid:u:NO974558386:3aaa%2F3nh:2014-08-01:2015-06-15 eduPersonEntitlement: urn:mace:feide.no:go:groupid:a:NO974558386:3fysa%2Flb3:2014-08-01:2014-12-31 |
| Multivalued | Ja |
eduPersonEntitlement inneholder spesifikke rettigheter eller roller
som personen har. Dette kan f.eks. være uttrykt ved en stillingskode
eller spesifikke rettigheter knyttet til en bestemt tjeneste. Så fremt
det finnes slik informasjon om en person, anbefales det at dette blir
registrert i eduPersonEntitlement.
Verdier som benyttes i eduPersonEntitlement-feltet skal være gyldige URI-er (Uniform Resource Identifier). Vi anbefaler bruk av URN-er (Uniform Resource Name).
Dersom det opprettes nye URN-verdier for eduPersonEntitlement, skal
disse registreres i et
register som administreres av Feide.
Forespørsler om tildeling av navnerom sendes på e-post til
support@feide.no.
For grunnopplæringen skal informasjon om personens trinn,
utdanningsprogram, programområde og fag være registrert i attributtet
eduPersonEntitlement, uttrykt ved koder fra Utdanningsdirektoratets
Grep-rammeverk.
Trinn, utdanningsprogram og programområde er obligatorisk å fylle ut,
det vil si at attributtet skal være tilstede og det skal ha et innhold.
Elever i grunnskolen er ikke assosiert med utdanningsprogram og
programområde, og skal følgelig ikke ha disse utfylt. Grep-koder skal
prefikses med strengen “urn:mace:feide.no:go:grep:”. Personens informasjon
om trinn, utdanningsprogram og programområde er ikke knyttet til hver skole,
men summen av personens verdier ved alle skoler han/hun er tilknyttet. Se
Registrering av Grep-koder i eduPersonEntitlement
for detaljert informasjon.
Informasjon om personers tilhørighet til grupper skal registreres i
attributtet eduPersonEntitlement. Elever og læreres tilhørighet til
basisgrupper/klasser og undervisningsgrupper er obligatorisk å fylle ut.
Tilhørighet til andre typer grupper kan fylles ut. Gruppeinformasjon
skal prefikses med strengen “urn:mace:feide.no:go:group:”. Personens informasjon
om grupper er bygd opp slik at at den er knyttet til hver skole personen tilhører. Se
Registrering av gruppeinformasjon i eduPersonEntitlement
for detaljert informasjon.
Informasjon om personers gruppe-IDer skal registreres i
attributtet eduPersonEntitlement. Det er obligatorisk å fylle ut
gruppe identifikatorene til grupper personen har tilhørighet til som beskrevet
i avsnittet over. Gruppe-IDer skal prefikses med strengen
“urn:mace:feide.no:go:groupid:” og har strenge krav til utforming. Se
Registrering av gruppe-IDer i eduPersonEntitlement.
detaljert informasjon.
2.1.15. norEduPersonAuthnMethod¶
| Attributtnavn | norEduPersonAuthnMethod (kun obligatorisk ved bruk av sterk autentisering) |
| Kort beskrivelse | Liste over metoder for sterk autentisering som er tilgjengelig for personen. |
| Eksempel | norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:sms +4712345678 label=Work%20phone og/eller norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:ga eyEUJfe...WERIW |
| Multivalued | Ja |
Denne attributten er obligatorisk for personer som skal logge inn på
tjenester med sterk autentisering. Gyldige verdier bygges opp slik:
<identifikator for metoden> <metodedata spesifikt for personen> <valgfri "merkelapp">
Identifikator for SMS: urn:mace:feide.no:auth:method:sms
Identifikator for Godkjenner/Authenticator: urn:mace:feide.no:auth:method:ga
Autentiseringmetoden kan merkes med en valgfri merkelapp for å vise en brukervennlig
tekst og skille mellom forskjellige metoder. Merkelapp markeringen label= skal bare
tilstede når det er en merkelapp og skal ikke være en tom verdi.
Eksempler:
Ved bruk av metoden engangspassord på sms:
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:sms +4712345678 label=Work%20phone
Ved bruk av metoden engangspassord på sms, uten merkelapp:
norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:sms +4712345678
Ved bruk av metoden Godkjenner/Authenticator:
urn:mace:feide.no:auth:method:ga eyEUJfe...WERIW label=Authenticator%20(Feide)
2.1.16. norEduPersonServiceAuthnLevel¶
| Attributtnavn | norEduPersonServiceAuthnLevel (kan brukes ved sterk autentisering, er ikke obligatorisk) |
| Kort beskrivelse | Spesifiserer for hvilke tjenester sterk autentisering kreves. |
| Eksempel | norEduPersonServiceAuthnLevel: urn:mace:feide.no:spid:12345 urn:mace:feide.no:auth:level:fad08:3 og/eller norEduPersonServiceAuthnLevel: urn:mace:feide.no:spid:all urn:mace:feide.no:auth:level:fad08:3 |
| Multivalued | Ja |
Denne attributten gir muligheten til å liste opp hvilke tjenester én enkelt person skal bruke sterk autentisering til. Dette kan for eksempel være nyttig for personer som har utvidede rettigheter til en eller flere tjenester. Gyldige verdier er her:
urn:mace:feide.no:spid:<Feide-id for tjeneste> <autentiseringsnivå>: Settes for de enkelttjenester personen skal logge inn med sterk autentisering. Feide-id for tjeneste fås ved å ta kontakt med support@feide.no.urn:mace:feide.no:spid:all <autentiseringsnivå>: Settes dersom personen skal logge inn med sterk autentisering til alle tjenester.
For sterk autentisering gjennom Feide er uri for autentiseringsnivå:
urn:mace:feide.no:auth:level:fad08:3
2.2. Anbefalt - person¶
2.2.1. mail¶
| Attributtnavn | |
| Kort beskrivelse | Personens e-postadresse. Skal være en personlig adresse. |
| Eksempel | mail: ola.nordmann@elev.skotthyll.kommune.no og/eller mail: arnt1990@gmail.com |
| Multivalued | Ja |
mail skal være en personlig e-postadresse som bare brukeren har
tilgang til.
Noen tjenester behandler eduPersonPrincipalName som en e-postadresse. De
skal ikke gjøre det, men enkelte benytter verdien til å sende brukeren
invitasjoner til ressurser, meldinger fra andre brukere og lignende. Om
brukernes e-postadresse er forskjellig fra verdien i eduPersonPrincipalName bør
vertsorganisasjonen vurdere om de skal legge inn denne verdien som et e-postalias
på brukeren i e-postsystemet. Avhengig av hvor synlig organisasjonen ønsker dette
aliaset skal være kan det også legges som en verdi i mail attributtet i Feide.
2.2.2. mobile¶
| Attributtnavn | mobile |
| Kort beskrivelse | Mobilnummer knyttet til personen. |
| Eksempel | mobile: +47 40404040 |
| Multivalued | Ja |
mobile skal være et personlig mobilnummer som bare brukeren benytter.
2.2.3. preferredLanguage¶
| Attributtnavn | preferredLanguage |
| Kort beskrivelse | Personens foretrukne språkform etter ISO 639-3 og BCP 47. |
| Eksempel | preferredLanguage: nn eller preferredLanguage: nb |
| Multivalued | Nei |
2.2.4. schacHomeOrganization¶
| Attributtnavn | schacHomeOrganization |
| Kort beskrivelse | Realm til organisasjonen som personen tilhører. |
| Eksempel | schacHomeOrganization: skotthyll.kommune.no |
| Multivalued | Nei |
2.2.5. eduPersonPrimaryAffiliation¶
| Attributtnavn | eduPersonPrimaryAffiliation |
| Kort beskrivelse | Primærrolle hos skoleeier. |
| Eksempel | eduPersonPrimaryAffiliation: student eller eduPersonPrimaryAffiliation: employee |
| Multivalued | Nei |
eduPersonPrimaryAffiliation angir personens primærrolle ved
organisasjonen. Dette kan eksempelvis være ekstra verdifullt om en
person både opptrer som student og ansatt ved organisasjonen. For
gyldige verdier, se mer info på side 10 (eduPersonAffiliation). Det
presiseres at alle verdiene i Figur 2 kan brukes, men merk at verdien
som benyttes også må være satt i eduPersonAffiliation.
2.2.6. eduPersonScopedAffiliation¶
| Attributtnavn | eduPersonScopedAffiliation |
| Kort beskrivelse | Personens rolle og institusjon. |
| Eksempel | eduPersonScopedAffiliation: employee@NO179530458.skotthyll.kommune.no og eduPersonScopedAffiliation: employee@skotthyll.kommune.no |
| Multivalued | Ja |
For personer tilknyttet en skole, angir eduPersonScopedAffiliation
personens rolle ved skolen, samt hvilken skole det gjelder. Syntaks for
eduPersonScopedAffiliation er:
<rolle>@<norEduOrgUnitUniqueIdentifier>.<realm>
og
<rolle>@<realm>
Rolle må være en av verdiene i eduPersonAffiliation, mens realm
tilsvarer den høyre delen (etter @) i eduPersonPrincipalName.