Nitelikler

Çekirdek Nitelikler

YETKİM Üyesi Kimlik Sağlayıcılar ihtiyaçlarına göre (erişecekleri servislerin ihtiyaçlarına göre) birçok nitelik üretebilir/yayımlayabilirler. Ancak YETKİM içi ya da federasyonlar arası (eduGAIN) servis kullanımlarında sorun çıkmaması için çekirdek bir nitelik kümesini üretebilmesi/yayımlayabilmesi gerekmektedir.

Bu çekirdek niteliklerin anlamları, özellikleri, alabilecekleri değerler, vb. hakkında bilgiler aşağıda verilmiştir. YETKİM üyesi kimlik sağlayıcılar, nitelikleri, buradaki tanımlarına göre üretmekle/yayımlamakla yükümlüdürler, bunun sayesinde ortak çalışabilirlik mümkün ve kolay olacaktır.

(*) Değerlerin Adedi, bu niteliğe verilebilecek değer sayısını göstermektedir. tek; niteliğin tek bir değer alabileceğini belirtir, çok ise niteliğin birden çok değer alabileceğini belirtir.

givenName
OID: oid:2.5.4.42
Tanımı: Kişinin adı
Değerlerinin Adedi: tek
Referans: eduPerson#givenName
Örnek: Ayşe,Fatma, Mehmet Ali,

Açıklama: Normalde bu nitelik birden fazla değer alabilir. Örneğin, Mehmet Ali için Mehmet ve Ali ama YETKİM’de bu alan bir kere kullanılmalıdır, Mehmet Ali gibi.


sn (surname)
OID: oid:2.5.4.4
Tanımı: Kişinin soyadı
Değerlerinin Adedi: tek
Referans: eduPerson#sn
Örnek: Kaya, Yıldız Şahin

Açıklama: Normalde bu nitelik birden fazla değer alabilir. Örneğin, Yıldız Şahin için Yıldız ve Şahin ve hatta Yıldız-Şahin ama YETKİM’de bu alan bir kere kullanılmalıdır, Yıldız Şahin gibi.


displayName
OID: oid:2.16.840.1.113730.3.1.241
Tanımı: Kişinin adı gösterilirken kullanılacak, kişinin tercih edilen adı. Genelde “givenName sn” şeklindedir
Değerlerinin Adedi: tek
Referans: eduPerson#displayName
Örnek: Elif Değerli, Ahmet Kara

mail
OID: oid:0.9.2342.19200300.100.1.3
Tanımı: Kişinin eposta adresi.
Değerlerinin Adedi: çok
Referans: eduPerson#mail
Örnek: ahmet.yigit@ankara.edu.tr, elifk@ankara.edu.tr

Açıklama: Bu niteliğin birden fazla değeri olabilir, ancak kullanici@universite.edu.tr kurumsal eposta adresi biçiminde olması tercih edilir.


schacHomeOrganization
OID: oid:1.3.6.1.4.1.25178.1.2.9
Tanımı:: Kişinin dahil olduğu ev kurumun (home organization) alan adı
Değerlerinin Adedi: tek
Referans: SCHAC
Örnek: istanbul.edu.tr

schacHomeOrganizationType
OID: oid:1.3.6.1.4.1.25178.1.2.10
Tanımı:: Kişinin dahil olduğu ev kurumun türü.
Değerlerinin Adedi: çok
Referans:: SCHAC
Örnek: urn:schac:homeOrganizationType:int:university, urn:schac:homeOrganizationType:int:researchHospital, urn:schac:homeOrganizationType:int:nren, urn:schac:homeOrganizationType:int:other

Açıklama: YETKİM’de üniversiteler urn:schac:homeOrganizationType:int:university kullanmalı.


eduPersonAffiliation
OID: oid:1.3.6.1.4.1.5923.1.1.1.1
Tanımı: Kişinin kurumuyla olan ilişkisi (geniş kapsamda – broad category).
Değerlerinin Adedi: çok
Referans: eduPerson#eduPersonAffiliation
Örnek: student, faculty, member

Açıklama: Bu nitelik student, faculty, staff, affiliate, alum, library-walk-in değerlerinden birini veya birden fazlasını alabilir. Bu değerlerin manaları aşağıdaki gibidir:

  • faculty: akademik personel,
  • student: öğrenci,
  • staff: idari personel,
  • member: kurumla doğrudan ilişkisi olan herkes; bu durumda faculty, student, staff olan herkes member da olmalı. faculty, student, staff olmayan ama kurumla ilişkisi member olarak tanımlanabilecek kişiler de member olmalı.
  • affiliate: kurumla doğrudan ilişkisi olmayan, member olarak tanımlanamayacak (çalışan ya da öğrenci olmayan) kişiler. Örneğin, Misafirler, öğrenci velileri, dış denetçiler, vb.
  • alum: mezun
  • library-walk-in: kurum dışından gelip kütüphaneyi kullanan kişiler (çok yaygın olarak kullanılacağını düşünmüyoruz)

Örneğin bu niteliğin değeri;

  • Akademik personel için: faculty ve member,
  • Öğrenci için student ve member,
  • İdari personel için staff ve member
  • Doktora öğrencisi bir araştırma görevlisi için faculty, student ve member,
  • Üniversitede yüksek lisans yapan bir idari personel için staff, student ve member,
  • Öğrenci velisi için affiliate
  • Mezun öğrenciler için alum
  • Kurum ile ilişkisi staff, faculty ve student olarak tanımlanamayan ama kurumun tam bir çalışanı olan kişi için member

olur. Nitelikte faculty, staff ve student değerlerinden biri varsa, otomatik olarak nitelikte member değeri de olması gerekmektedir.


eduPersonScopedAffiliation
OID: oid:1.3.6.1.4.1.5923.1.1.1.9
Tanımı: Kişinin belirli bir güvenlik alanı (kapsam – scope) içindeki ilişkisi (geniş kapsamda)
Değerlerinin Adedi: çok
Referans: eduPerson#eduPersonScopedAffiliation
Örnek: student@izmir.edu.tr, faculty@izmir.edu.tr, member@izmir.edu.tr

Açıklama: Değeri x@y şeklindedir. x, eduPersonAffiliation niteliğinde alınabilecek değerler olabilir (örn. student, faculty, vb.). y ise güvenlik alanıdır (kapsam – scope). y eduPersonPrincipalName değerinin @’den sonraki değeri ile aynıdır.

Örneğin; kapsam’ınız (scope) izmir.edu.tr ise bu niteliğin değeri;

  • öğrenci için, student@izmir.edu.tr, member@izmir.edu.tr,
  • akademik personel için, faculty@izmir.edu.tr, member@izmir.edu.tr,

olacaktır.

Bu nitelik servis sağlayıcılar tarafından sıklıkla kullanılmaktadır. Niteliğin değeri aynı anda hem kişinin kurumla ilişkisini hem de kurum bilgisini içermektedir.


eduPersonPrincipalName
OID: oid:1.3.6.1.4.1.5923.1.1.1.6
Tanımı: Kişi için kapsamı (scope) olan bir tanımlayıcı (identifier)
Değerlerinin Adedi: tek
Referans:: eduPerson#eduPersonPrincipalName
Örnek: elif.kocak@adana.edu.tr, efy24@adana.edu.tr

Açıklama: Bu niteliğin değeri kullanıcı@kapsam şeklinde olmalıdır. kullanıcı verilen kapsam‘da benzersiz (unique) olmalıdır. Aynı kapsam‘da birden fazla kullanıcı aynı kullanıcı’yı kullanmamalıdır. Tüm zamanlar için, kullanılmış bir kullanıcı@kapsam, başka bir kişi için kullanılmamalıdır.

Bu niteliğin değeri eposta adresine benzese de ve çoğu zaman eposta ile aynı olsa da, bu nitelik değeri eposta gibi kullanılmamalıdır.

Bu nitelik genelde kullanıcı dostu bir değere sahip olur ayse.gezer@bursa.edu.tr gibi, ama olmak zorunda da değildir; örneğin 743567@bursa.edu.tr.

Normalde belli bir kapsam‘da kullanılmış kullanıcı bir daha kullanılmamalıdır ya da bir kişinin kullanıcı‘sı değiştirilmemelidir, ancak kurum, zorunluluklardan kaynaklı, bu kurala uyamayabilir. Bu nedenle, eduPersonPrincipalName niteliğini kullanacak olan servis sağlayıcılar bu durumu göz önünde bulundurmalıdır.


eduPersonTargetedID
OID: oid:1.3.6.1.4.1.5923.1.1.1.10
Tanımı: Kişi için kalıcı (persistent), yeniden atanmayan (non-reassigned), opak ve hedefli (targeted) bir tanımlayıcı.
Değerlerinin Adedi: çok
Referans: eduPerson#eduPersonTargetedID

Örnek:

<saml:NameID
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
    NameQualifier="https://kimlik.universite.edu.tr/simplesaml/saml2/idp/metadata.php"
    SPNameQualifier="https://sp.servis.com.tr/simplesaml/module.php/saml/sp/metadata.php/ornek-servis"
    Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
        1e4774a0270be2d549196deebb61b1f20d183bc4
</saml:NameID>

Açıklama: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent biçimindeki SAML V2.0 Ad Tanımlayıcısının (Name ID) soyutlanmış -nitelik haline getirilmiş- bir sürümüdür. Başka bir deyişle bu nitelik değeri; {kişi için bir tanımlayıcı, servis sağlayıcı varlık kimliği ve kimlik sağlayıcı varlık kimliğinden} oluşan bir demettir.

Ad Tanımlayıcı (Name ID), kimlik sunucusundan, kullanıcı doğrulaması sonrası gelen SAML Assertion mesajında bulunur ve kullanıcıyı (Subject) tanımlar. Nitelik değildir.

Her servis sağlayıcı için farklı bir kişi tanımlayıcısı olur (hedefli tanımlayıcı – targeted identifier).

Kişi tanımlayıcısı kalıcıdır (persistent). Çok uzun süreler geçerlidir.

Tanımlayıcı opaktır. Tanımlayıcının değerinden, kişisel bir bilgi elde edilemez. Bu gizliliği sağlar.

Kişi tanımlayıcısı benzersizdir. Aynı kimlik sağlayıcı ve aynı servis sağlayıcı kapsamında başka bir kişi aynı tanımlayıcı değerine sahip olamaz.
Kişi tanımlayıcısı tekrar kullanılamaz.

Kalıcı Ad Tanımlayıcısı (persistent NameID) ve dolayısıyla eduPersonTargetedID genelde belli nitelik(ler)in değerleri ve tuz (salt) kullanılarak, bir algoritma yardımı ile hesaplanır. Hesaplanan bu değerin tüm zamanlarda benzersiz olabilmesi için kullanılan niteliğin/niteliklerin değerinin tüm zamanlarda benzersiz olması gerekmektedir.

Örneğin, kullanıcı adını tutan username niteliği bu hesaplamada kullanılamaz, çünkü aynı kullanıcı adı 2 yıl sonra başka bir kişi için de kullanılabilir. Yani bugünkü ali kullanıcısı ile 2 yıl sonraki ali kullanıcısı aynı kullanıcı olmayabilir. Ama Kalıcı Ad Tanımlayıcısını username niteliği ile hesaplarsak, iki ali kullanıcısı için de aynı değeri hesaplamış oluruz, yani farklı kişiler olmalarına rağmen aynı tanımlayıcıya sahip olurlar.

Örneğin, uid niteliğinde, kişiye ait başka kimse tarafından kullanılmayan ve kullanılmayacak bir kullanıcı kimliği tutuluyorsa (unix userid, uuid gibi), bu nitelik Kalıcı Ad Tanımlayıcısı hesaplamasında kullanılabilir, çünkü her kişinin farklı uid değerleri olacaktır ve hesaplanan tanımlayıcı da farklı değerlere sahip olacaktır.

Yukarıda bahsedildiği gibi username tek başına tüm zamanlarda benzersiz olmayacaktır, ama username ve creationDate (hesap yaratma tarihi) birlikte tüm zamanlarda benzersiz olabilir hesaplamada iki nitelik birden kullanılabilir.


eduPersonEntitlement
OID: oid:1.3.6.1.4.1.5923.1.1.1.7
Tanımı: Kişinin belirli kaynaklar için yetkileri. Değeri URI (URL veya URN) şeklindedir
Değerlerinin Adedi: çok
Referans: eduPerson#eduPersonEntitlement
Örnek: urn:mace:dir:entitlement:common-lib-terms, https://kimlik.diyarbakir.edu.tr/entitlement/proxy/

Açıklama: Genelde bu niteliğin değerlerini ve manalarını servis sağlayıcılar belirler. Örneğin https://kimlik.diyarbakir.edu.tr/entitlement/proxy/ yetkisine sahip kişiler, diyarbakir.edu.tr‘e ait proxy hizmetini kullanabilirler. https://kimlik.diyarbakir.edu.tr/entitlement/proxy/admin yetkisine sahip kişiler diyarbakir.edu.tr‘e ait proxy hizmetinde Yönetici yetkisine sahip olurlar.

urn:mace:dir:entitlement:common-lib-terms yetkisine sahip kişiler Elsevier ScienceDirect veritabanına erişim sağlayabilirler.

Servis sağlayıcı, kendi servisi için yetki tanımlarını yaparak, kişilere yetki dağıtım işini Ev Kurumlara devredebilir. Örneğin, yukarıda diyarbakir.edu.tr‘deki proxy servisi için normal kullanıcı ya da yönetici yetkileri Ev Kurum (kimlik sağlayıcı) tarafından veriliyor (eduPersonEntitlement niteliği aracılığıyla), servis tarafında bir yetki dağıtımı yapılmıyor.


schacPersonalUniqueCode
OID: oid:1.3.6.1.4.1.25178.1.2.14
Tanımı: Kişi ile ilişkili benzersiz koddur. Öğrenci Numarası ya da personel numarası, vb. olabilir
Değerlerinin Adedi: çok
Referans: SCHAC, European Student Identifier Profile
Örnek: urn:schac:personalUniqueCode:int:esi:sinop.edu.tr:54332-7, urn:schac:personalUniqueCode:int:esi:kars.edu.tr:O92435

Açıklama: Bu nitelik Avrupa Öğrenci Tanımlayıcısı (European Student Identifier – ESI) bilgisini taşımak için kullanılmaktadır.

ESI, evrensel olarak benzersiz (globally unique), kalıcı (persistent), hedefsiz (non-targeted), protokol bağımsız (protocol neutral) ve veri aktarımı bağımsız (data transport neutral) bir tanımlayıcıdır.

YETKİM’de ESI şu şekilde tanımlanmalıdır:

urn:schac:personalUniqueCode:int:esi:<sHO>:<code>

<sHO>: Kişinin kurumunun schacHomeOrganization değeri (örn. sinop.edu.tr)
<code>: kapsamı (scope) içinde öğrenciyi benzersiz olarak tanımlayan kod (örn. 54332-7, O92435). Kod değeri, RFC2141 belgesinin 2.2-2.4 bölümlerinde belirtilen gereklilikleri sağlamalıdır.

<sHO> içinde, <code> tüm zamanlar için bir öğrenciyi işaret etmelidir ve <code> bilgisiyle, öğrenci bilgisine erişilebilinmelidir. Genelde <code> öğrenci numarası olur. TC Kimlik Numarası kullanılması kesinlikle tavsiye edilmez.

Kağıtsız Erasmus hizmetlerine sorunsuz erişim için bu niteliğin üretilebilmesi/yayımlanabilmesi gerekmektedir.

Niteliğin değeri toplamda 255 karakteri geçmemelidir.

search previous next tag category expand menu location phone mail time cart zoom edit close