English (US) | |
SWAMID and all other academic identity federations within eduGAIN introduce a new long-term unique identifier, subject-id, which is planned to eventually replace eduPersonPrincipalName (ePPN). This wiki page describes both why a new long-term unique identifier is needed and how we transition in an orderly manner.
BackgroundSince SWAMID was formed in 2007, the eduPersonPrincipalName (ePPN) has been recommended as the user name of users released from identity providers (IdPs) to services (SPs). A majority of the services in SWAMID use ePPN as the identifier of users. To ensure that the organisation complies with Swedish legislation regarding access and handling of personal data and sensitive data, e.g. The Data Protection Regulation, SWAMID requires in its Identity Assurance Profiles and in the SAML WebSSO Technology Profile that the ePPN is globally unique and never reused to another individual: SWAMID Identity Assurance profiles:
SWAMID SAML WebSSO Technology Profile:
One problem with ePPN is that some identity federations within eduGAIN allow the attribute to be reused for other individuals. This makes the attribute inappropriate as an identifier internationally. When an individual leaves an organisation, it is highly likely that the individual's authorisations remain in federated services, linked to the individual's user name (ePPN). If a new individual at the same organisation receives the same username, the new individual will automatically have the same permissions and access to the same data as the previous holder of the username. For this reason, it is an absolute requirement that usernames are not reused for other individuals. To handle this, a new identifier, subject-id, has been developed, defined as the General Purpose Subject Identifier (section 3.3) in the SAML V2.0 Subject Identifier Attributes Profile Version 1.0. From the SWAMID SAML WebSSO Technology Profile:
Differences between ePPN and subject-idsubject-id has the same properties as ePPN has in SWAMID:
However, there is an important difference between ePPN and subject-id; its allowed characters:
Other things to consider
Plan and implement the switch in an Identity Provider (IdP)There are a couple of obvious solutions to this:
The alternatives have both advantages and disadvantages. Option 1 - Use ePPN as subject-id if all requirements are metIf ePPNs are chosen in a way that ensures they are never reused for another individual and underscore ( Advantages:
Option 2 - Change the value of the ePPN (if reuse requirements are not met)For organisations that currently use the user's e-mail address, or something based on the e-mail address, for ePPN, it may be appropriate to take the opportunity to choose a new value for ePPN which is then also used for subject-id.
Option 3.1 - Translate ePPN to subject-id by removing unwanted charactersIf ePPNs are chosen in a way that ensures they are never reused for another individual but the underscore (
Implementation in ShibbolethReplacement of period and underscore in Shibboleth Identity Provider is described in Example of a standard attribute resolver for Shibboleth IdP v5 and above . With minor adjustments, characters can be removed instead. Before that, it needs to be ensured that two individuals cannot get the same subject-id. Implementation in ADFSSupport for changing value from ePPN to subject-id is available in version 2.3 of ADFSToolkit. Option 3.2 - Translate ePPN to subject-id with replacement charactersIf ePPNs are chosen in a way that ensures they are never reused for another individual but the underscore (
Implementation in ShibbolethReplacement of period and underscore in Shibboleth Identity Provider is described in Example of a standard attribute resolver for Shibboleth IdP v5 and above . Implementation in ADFSSupport for changing value from ePPN to subject-id is available in version 2.3 of ADFSToolkit. Option 4 - Choose new values for subject-idIf ePPNs are chosen in a way that ensures they are never reused for another individual but the underscore (
Plan and implement the change in a service (SP)Remember to always compare the user identifiers ePPN and subject-id case-insensitive, i.e Proposed process for switching from ePPN as user identifier to subject-idServices with few users or without the possibility of automating the change of user name
Services with many users and the possibility to automate changing usernames
Swedish | |
SWAMID och alla andra akademiska identitetsfederationer inom eduGAIN inför en ny långsiktigt unik identifierare, subject-id, som på sikt ersätter eduPersonPrincipalName (ePPN). Denna wikisida beskriver både varför en ny långsiktigt unik identifierare behövs och hur vi under ordnade former byter.
BakgrundSedan SWAMID bildades 2007 har eduPersonPrincipalName (ePPN) rekommenderats som identifierande attribut för att förmedla användarnamn från identitetsutfärdare (IdP) till tjänster (SP). En majoritet av tjänsterna i SWAMID använder ePPN som identifierare av användare. För att säkerställa att organisationen följer svensk lagstiftning avseende åtkomst och hantering av personuppgifter samt känsliga uppgifter, t.ex. Dataskyddsförordningen, kräver SWAMID i sina tillitsprofiler och i teknologiprofilen för SAML att ePPN är globalt unik och aldrig återanvänds till en annan individ: SWAMID Identity Assurance profiles:
SWAMID SAML WebSSO Technology Profile:
Ett problem med ePPN är att vissa identitetsfederationer inom eduGAIN tillåter att attributet återanvänds till andra individer. Det gör att attributet fungerar sämre som identifierare internationellt. När en individ slutar vid en organisation så är det högst sannolikt att individens behörigheter finns kvar i federerade tjänster, kopplade till individens användarnamn (ePPN). Om då en ny individ vid samma organisation får samma användarnamn kommer den nya individen med automatik ha samma behörigheter och tillgång till samma data som den föregående innehavaren av användarnamnet. Av denna anledning är det ett absolut krav att användarnamn ej återanvänds till andra individer. För att hantera detta har en ny identifierare,subject-id, arbetats fram, definerad som General Purpose Subject Identifier (avsnitt 3.3) i SAML V2.0 Subject Identifier Attributes Profile Version 1.0. Från SWAMID SAML WebSSO Technology Profile:
Skillnader mellan ePPN och subject-idsubject-id har samma egenskaper som ePPN har i SWAMID:
Det finns dock en viktig skillnad mellan ePPN och subject-id, dess tillåtna tecken:
Övrigt att ta hänsyn till
Planera och genomföra bytet i en identitetsutfärdare (IdP)Det finns |
ett par uppenbara lösningar på detta:
Alternativen har både för- och nackdelar. Alternativ 1 - Använd ePPN som subject-id om alla krav uppfyllsOm ePPN är valt på ett sätt som säkerställer att de aldrig återanvänds för annan individ och understreck ( Fördelar:
Alternativ 2 - Byt värde på ePPN (om krav på återanvändning ej uppfylls)För organisationer som idag använder användarens e-postadress, eller något som baseras på e-postadressen, för ePPN kan det vara lämpligt att passa på att välja ett nytt värde för ePPN som sedan används även för subject-id.
Alternativ 3.1 - Översätt ePPN till subject-id genom att ta bort oönskade teckenOm ePPN är valt på ett sätt som säkerställer att de aldrig återanvänds för annan individ men understreck (
Implementering i ShibbolethErsättning av punkt och understreck i Shibboleth Identity Provider finns beskrivet i Example of a standard attribute resolver for Shibboleth IdP v5 and above. Med mindre justeringar kan i stället tecken plockas bort. Innan dess behöver det säkerställas att två individer inte kan få samma subject-id. Implementering i ADFSStöd för ändring av värde från ePPN till subject-id |
finns i version 2.3 av ADFSToolkit. Alternativ 3.2 - Översätt ePPN till subject-id med ersättningsteckenOm ePPN är valt på ett sätt som säkerställer att de aldrig återanvänds för annan individ men understreck (
Implementering i ShibbolethErsättning av punkt och understreck i Shibboleth Identity Provider finns beskrivet i Example of a standard attribute resolver for Shibboleth IdP v5 and above. Implementering i ADFSStöd för ändring av värde från ePPN till subject-id |
finns i version 2.3 av ADFSToolkit. Alternativ 4 - Välj nya värden för subject-idOm ePPN är valt på ett sätt som säkerställer att de aldrig återanvänds för annan individ men understreck (
Planera och genomföra bytet i en tjänst (SP)Tänk på att alltid jämföra användaridentifierarna ePPN och subject-id case-insensitive, dvs Förslag på process för att byta från ePPN som användaridentifierare till subject-idTjänster med få användare eller utan möjlighet att automatisera byte av användarnamn
Tjänster med många användare och möjlighet att automatisera byte användarnamn