2. Person

2.1. Obligatorisk - person

2.1.1. cn

Attributtnavn cn
Kort beskrivelse Generelt navn på noden med personinformasjon.
Eksempel cn: Arnt Nordmann
og/eller
cn: olanor123
Multi valued Ja

2.1.2. displayName

Attributtnavn displayName
Kort beskrivelse Personens foretrukne navn.
Eksempel displayName: Ola Nordmann
Multi valued Nei

2.1.3. norEduPersonLegalName

Attributtnavn norEduPersonLegalName
Kort beskrivelse Personens juridiske navn, eksempelvis som registrert i Folkeregisteret.
Eksempel norEduPersonLegalName: Arnt Ola Olsen Nordmann
Multi valued Nei

2.1.4. givenName

Attributtnavn givenName
Kort beskrivelse Personens fornavn.
Eksempel givenName: Ola
Multi valued Ja

2.1.5. sn

Attributtnavn sn
Kort beskrivelse Personens etternavn.
Eksempel sn: Nordmann
og/eller
sn: Olsen Nordmann
Multi valued Ja

2.1.6. eduPersonPrincipalName

Attributtnavn eduPersonPrincipalName
Kort beskrivelse Fullt Feide-navn.
Eksempel eduPersonPrincipalName: olanor123@skotthyll.kommune.no
Multi valued Nei

eduPersonPrincipalName er per definisjon ikke case-sensitive. OlaNor123@uin.no er altså det samme Feide-navnet som olanor123@uin.no. For å sikre kompabilitet med andre systemer, skal likevel eduPersonPrincipalName legges inn i katalogen med kun små bokstaver.

eduPersonPrincipalName bør aldri gjenbrukes av en ny person. Organisasjonen må sikre at eduPersonPrincipalName er unik. Dersom organisasjonen velger å gjenbruke et eduPersonPrincipalName som ikke er i aktiv bruk, er organisasjonen ansvarlig for at dette ikke fører til problemer. Det må for eksempel tas i betraktning at eduPersonPrincipalName kan ha blitt brukt som identifikator i eksterne systemer/tjenester.

eduPersonPrincipalName består av to deler: <bruker>@<realm>. Merk at når domenenavn benyttes som realm, skal dette være (underlagt) et domene som vertsorganisasjonen er registrert eier av.

Første del av eduPersonPrincipalName (før “@”) skal være lik uid.

2.1.7. uid

Attributtnavn uid
Kort beskrivelse Personens lokale brukernavn hos skoleeier.
Eksempel uid: olanor123
Multi valued Ja

Selv om uid i utgangspunktet er multivalued, skal man bare registrere én verdi i dette feltet. uid er ikke case-sensitiv, men skal på samme måte som eduPersonPrincipalName legges inn i katalogen med kun små bokstaver. uid skal utgjøre den første delen av eduPersonPrincipalName, før “@”.

2.1.8. norEduPersonNIN

Attributtnavn norEduPersonNIN
Kort beskrivelse Nasjonalt identitetsnummer.
Eksempel norEduPersonNIN: 28089533134
Multi valued Nei

norEduPersonNIN skal være et unikt identifikasjonsnummer utstedt av Folkeregisteret eller Utlendingsdirektoratet (UDI):

  • Fødselsnummer
  • D-nummer
  • DUF-nummer

Dersom en person ikke har noen av disse numrene, skal det ikke registreres noen verdi i norEduPersonNIN for denne personen.

En person kan ha bruker i Feide uten å ha en verdi i norEduPersonNIN. For de fleste tjenester vil brukeren fungere normalt, men for tjenester som er avhengig av norEduPersonNIN vil skoleeier måtte finne andre løsninger for å gi brukeren tilgang til tjenesten.

Lokalt utstedte identifikasjonsnummer kan legges i norEduPersonLIN.

2.1.9. userPassword

Attributtnavn userPassword
Kort beskrivelse Personens passord for Feide-pålogging.
Eksempel userPassword: {CRYPT}$6$ufxrIZTs$hl3ocEOAb01o3HC1yk1DUTD6aaHnH7xD5ZDFCH9xnoNUWZky6lt0/
Multi valued Ja

Selv om userPassword i utgangspunktet er multivalued, er det vanlig å bare registrere ett passord i dette feltet.

I dette dokumentet er userPassword satt som en obligatorisk attributt fordi alle brukere må ha passord ved pålogging. Vær oppmerksom på at passord kan bli håndtert automatisk av katalogsystemet, slik at det ikke nødvendigvis må bli håndtert direkte. Det viktige er at den enkelte person kan autentisere seg ovenfor katalogsystemet (og dermed Feide) med bruk av et passord.

2.1.10. eduPersonOrgDN

Attributtnavn eduPersonOrgDN
Kort beskrivelse Peker til LDAP-noden som inneholder informasjon om skoleeieren personen tilhører.
Eksempel eduPersonOrgDN: dc=Skotthyll,dc=kommune,dc=no
Multi valued Nei

2.1.11. eduPersonOrgUnitDN

Attributtnavn eduPersonOrgUnitDN
Kort beskrivelse Peker til LDAP-nodene som inneholder informasjon om organisasjonsenheten(e) personen tilhører.
Eksempel eduPersonOrgDN: ou=Hylla skole,cn=organization,dc=Skotthyll,dc=kommune,dc=no
Multi valued Ja

eduPersonOrgUnitDN er obligatorisk for personer som er tilknyttet en skole. For de personer som ikke er tilknyttet en skole, men likevel har behov for en Feide-bruker i sitt daglige virke, skal det ikke registreres noen verdi i eduPersonOrgUnitDN.

2.1.12. eduPersonPrimaryOrgUnitDN

Attributtnavn eduPersonPrimaryOrgUnitDN
Kort beskrivelse Peker til LDAP-noden som inneholder informasjon om organisasjonsenheten personen har sin hovedtilhørighet til.
Eksempel eduPersonPrimaryOrgUnitDN: ou=Hylla skole,cn=organization,dc=Skotthyll,dc=kommune,dc=no
Multi valued Nei

Det presiseres at verdien som benyttes i eduPersonPrimaryOrgUnitDN også må være satt i eduPersonOrgUnitDN.

2.1.13. eduPersonAffiliation

Attributtnavn eduPersonAffiliation
Kort beskrivelse Roller hos skoleeier.
Eksempel eduPersonAffiliation: member
eduPersonAffiliation: student

eller

eduPersonAffiliation: faculty
eduPersonAffiliation: employee
eduPersonAffiliation: member
Multi valued Ja

eduPersonAffiliation inneholder informasjon om personens generelle roller ved organisasjonen. Det er definert et lite sett generelle roller, ordnet i et hierarki som vist i figur 2 under.

En elev vil ha alle verdiene:

  • eduPersonAffiliation: student
  • eduPersonAffiliation: member

En pedagogisk ansatt vil ha alle verdiene:

  • eduPersonAffiliation: faculty
  • eduPersonAffiliation: employee
  • eduPersonAffiliation: member

En ansatt som ikke er pedagogisk ansatt vil ha alle verdiene:

  • eduPersonAffiliation: staff
  • eduPersonAffiliation: employee
  • eduPersonAffiliation: member

Verdien “affiliate” brukes for å tydeliggjøre at personen er tilknyttet organisasjonen, men uten formelle kontrakter for et ansettelsesforhold eller en skoleplass (for eksempel privatister):

  • eduPersonAffiliation: affiliate

En person kan ha flere roller, for eksempel både være ansatt og elev:

  • eduPersonAffiliation: student
  • eduPersonAffiliation: staff
  • eduPersonAffiliation: employee
  • eduPersonAffiliation: member

Figur 2

Figur 2: Rollehierarki

2.1.14. eduPersonEntitlement

Attributtnavn eduPersonEntitlement
Kort beskrivelse Informasjon om rettigheter, roller og grupper personen har.
Eksempel Eksempel på trinn:
eduPersonEntitlement:
urn:mace:feide.no:go:grep:http://psi.udir.no/laereplan/aarstrinn/aarstrinn6

Eksempel på utdanningsprogram:
eduPersonEntitlement:
urn:mace:feide.no:go:grep:http://psi.udir.no/ontologi/utdanningsprogram/studiespesialisering

Eksempel på basisgruppe:
eduPersonEntitlement:
urn:mace:feide.no:go:group:b::NO975278964:6A:2014-08-01:2015-06-15:student:Klasse%206A

Eksempel på undervisningsgruppe:
eduPersonEntitlement:
urn:mace:feide.no:go:group:u:NOR1211:NO974558386:3aaa%2F3nh:2014-08-01:2015-06-15:student:Norsk%20hovedm%C3%A5l%20VG3

Eksempel på annen gruppe:
eduPersonEntitlement:
urn:mace:feide.no:go:group:a::NO974558386:3fysa%2Flb3:2014-08-01:2014-12-31:student:Labgruppe%203%20Fysikk%20VG3

Eksempel på gruppe-IDer:
eduPersonEntitlement:
urn:mace:feide.no:go:groupid:b:NO975278964:6a:2014-08-01:2015-06-15
eduPersonEntitlement:
urn:mace:feide.no:go:groupid:u:NO974558386:3aaa%2F3nh:2014-08-01:2015-06-15
eduPersonEntitlement:
urn:mace:feide.no:go:groupid:a:NO974558386:3fysa%2Flb3:2014-08-01:2014-12-31
Multi valued Ja

eduPersonEntitlement inneholder spesifikke rettigheter eller roller som personen har. Dette kan f.eks. være uttrykt ved en stillingskode eller spesifikke rettigheter knyttet til en bestemt tjeneste. Så fremt det finnes slik informasjon om en person, anbefales det at dette blir registrert i eduPersonEntitlement.

Verdier som benyttes i eduPersonEntitlement-feltet skal være gyldige URI-er (Uniform Resource Identifier). Vi anbefaler bruk av URN-er (Uniform Resource Name).

Dersom det opprettes nye URN-verdier for eduPersonEntitlement, skal disse registreres i et register som administreres av Feide. Forespørsler om tildeling av navnerom sendes på e-post til support@feide.no.

For grunnopplæringen skal informasjon om personens trinn, utdanningsprogram, programområde og fag være registrert i attributtet eduPersonEntitlement, uttrykt ved koder fra Utdanningsdirektoratets Grep-rammeverk. Trinn, utdanningsprogram og programområde er obligatorisk å fylle ut, det vil si at attributtet skal være tilstede og det skal ha et innhold. Elever i grunnskolen er ikke assosiert med utdanningsprogram og programområde, og skal følgelig ikke ha disse utfylt. Grep-koder skal prefikses med strengen “urn:mace:feide.no:go:grep:”. Personens informasjon om trinn, utdanningsprogram og programområde er ikke knyttet til hver skole, men summen av personens verdier ved alle skoler han/hun er tilknyttet. Se “Appendiks 2 - Registrering av Grep-koder i eduPersonEntitlement” for detaljert informasjon.

Informasjon om personers tilhørighet til grupper skal registreres i attributtet eduPersonEntitlement. Elever og læreres tilhørighet til basisgrupper/klasser og undervisningsgrupper er obligatorisk å fylle ut. Tilhørighet til andre typer grupper kan fylles ut. Gruppeinformasjon skal prefikses med strengen “urn:mace:feide.no:go:group:”. Personens informasjon om grupper er bygd opp slik at at den er knyttet til hver skole personen tilhører. Se “Appendiks 3 – Registrering av gruppeinformasjon i eduPersonEntitlement” for detaljert informasjon.

Informasjon om personers gruppe-IDer skal registreres i attributtet eduPersonEntitlement. Det er obligatorisk å fylle ut gruppe identifikatorene til grupper personen har tilhørighet til som beskrevet i avsnittet over. Gruppe-IDer skal prefikses med strengen “urn:mace:feide.no:go:groupid:” og har strenge krav til utforming. Se “Appendiks 4 - Registrering av gruppe-IDer i eduPersonEntitlement” for detaljert informasjon.

2.1.15. norEduPersonAuthnMethod

Attributtnavn norEduPersonAuthnMethod (kun obligatorisk ved bruk av sterk autentisering)
Kort beskrivelse Liste over metoder for sterk autentisering som er tilgjengelig for personen.
Eksempel norEduPersonAuthnMethod:
urn:mace:feide.no:auth:method:sms +4712345678 label=Work%20phone

og/eller

norEduPersonAuthnMethod:
urn:mace:feide.no:auth:method:ga eyEUJfe...WERIW
Multi valued Ja

Denne attributten er obligatorisk for personer som skal logge inn på tjenester med sterk autentisering. Gyldige verdier bygges opp slik: <identifikator for metoden> <metodedata spesifikt for personen> <valgfri "merkelapp">

Identifikator for SMS: urn:mace:feide.no:auth:method:sms

Identifikator for Godkjenner/Authenticator: urn:mace:feide.no:auth:method:ga

Autentiseringmetoden kan merkes med en valgfri merkelapp for å vise en brukervennlig tekst og skille mellom forskjellige metoder. Merkelapp markeringen label= skal bare tilstede når det er en merkelapp og skal ikke være en tom verdi.

Eksempler:

Ved bruk av metoden engangspassord på sms:

  • norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:sms +4712345678 label=Work%20phone

Ved bruk av metoden engangspassord på sms, uten merkelapp:

  • norEduPersonAuthnMethod: urn:mace:feide.no:auth:method:sms +4712345678

Ved bruk av metoden Godkjenner/Authenticator:

  • urn:mace:feide.no:auth:method:ga eyEUJfe...WERIW label=Authenticator%20(Feide)

2.1.16. norEduPersonServiceAuthnLevel

Attributtnavn norEduPersonServiceAuthnLevel (kan brukes ved sterk autentisering, er ikke obligatorisk)
Kort beskrivelse Spesifiserer for hvilke tjenester sterk autentisering kreves.
Eksempel norEduPersonServiceAuthnLevel:
urn:mace:feide.no:spid:12345 urn:mace:feide.no:auth:level:fad08:3

og/eller

norEduPersonServiceAuthnLevel:
urn:mace:feide.no:spid:all urn:mace:feide.no:auth:level:fad08:3
Multi valued Ja

Denne attributten gir muligheten til å liste opp hvilke tjenester én enkelt person skal bruke sterk autentisering til. Dette kan for eksempel være nyttig for personer som har utvidede rettigheter til en eller flere tjenester. Gyldige verdier er her:

  • urn:mace:feide.no:spid:<Feide-id for tjeneste> <autentiseringsnivå>: Settes for de enkelttjenester personen skal logge inn med sterk autentisering. Feide-id for tjeneste fås ved å ta kontakt med support@feide.no.
  • urn:mace:feide.no:spid:all <autentiseringsnivå>: Settes dersom personen skal logge inn med sterk autentisering til alle tjenester.

For sterk autentisering gjennom Feide er uri for autentiseringsnivå: urn:mace:feide.no:auth:level:fad08:3

2.2. Anbefalt - person

2.2.1. mail

Attributtnavn mail
Kort beskrivelse Personens e-postadresse. Skal være en personlig adresse.
Eksempel mail: ola.nordmann@elev.skotthyll.kommune.no

og/eller

mail: arnt1990@gmail.com
Multi valued Ja

mail skal være en personlig e-postadresse som bare brukeren har tilgang til.

Noen tjenester behandler eduPersonPrincipalName som en e-postadresse. De skal ikke gjøre det, men enkelte benytter verdien til å sende brukeren invitasjoner til ressurser, meldinger fra andre brukere og lignende. Om brukernes e-postadresse er forskjellig fra verdien i eduPersonPrincipalName bør vertsorganisasjonen vurdere om de skal legge inn denne verdien som et e-postalias på brukeren i e-postsystemet. Avhengig av hvor synlig organisasjonen ønsker dette aliaset skal være kan det også legges som en verdi i mail attributtet i Feide.

2.2.2. mobile

Attributtnavn mobile
Kort beskrivelse Mobilnummer knyttet til personen.
Eksempel mobile: +47 40404040
Multi valued Ja

mobile skal være et personlig mobilnummer som bare brukeren benytter.

2.2.3. preferredLanguage

Attributtnavn preferredLanguage
Kort beskrivelse Personens foretrukne språkform etter ISO 639-3 og BCP 47.
Eksempel preferredLanguage: nn
eller
preferredLanguage: nb
Multi valued Nei

2.2.4. schacHomeOrganization

Attributtnavn schacHomeOrganization
Kort beskrivelse Realm til organisasjonen som personen tilhører.
Eksempel schacHomeOrganization: skotthyll.kommune.no
Multi valued Nei

2.2.5. eduPersonPrimaryAffiliation

Attributtnavn eduPersonPrimaryAffiliation
Kort beskrivelse Primærrolle hos skoleeier.
Eksempel eduPersonPrimaryAffiliation: student

eller

eduPersonPrimaryAffiliation: employee
Multi valued Nei

eduPersonPrimaryAffiliation angir personens primærrolle ved organisasjonen. Dette kan eksempelvis være ekstra verdifullt om en person både opptrer som student og ansatt ved organisasjonen. For gyldige verdier, se mer info på side 10 (eduPersonAffiliation). Det presiseres at alle verdiene i Figur 2 kan brukes, men merk at verdien som benyttes også må være satt i eduPersonAffiliation.

2.2.6. eduPersonScopedAffiliation

Attributtnavn eduPersonScopedAffiliation
Kort beskrivelse Personens rolle og institusjon.
Eksempel eduPersonScopedAffiliation: employee@NO179530458.skotthyll.kommune.no

og

eduPersonScopedAffiliation: employee@skotthyll.kommune.no
Multi valued Ja

For personer tilknyttet en skole, angir eduPersonScopedAffiliation personens rolle ved skolen, samt hvilken skole det gjelder. Syntaks for eduPersonScopedAffiliation er:

<rolle>@<norEduOrgUnitUniqueIdentifier>.<realm>

og

<rolle>@<realm>

Rolle må være en av verdiene i eduPersonAffiliation, mens realm tilsvarer den høyre delen (etter @) i eduPersonPrincipalName.