...
Ett ESI är en unik, permanent och stabil identifierare som byggs upp av ett prefix som är unikt för organisationen eller organisationerna, och ett suffix som är unikt inom en eller en grupp av organisationer. Det är inte omöjligt att en person "samlar på sig" mer än ett ESI under sin studietid men det är naturligtvis enklare ju färre ESIer man behöver hålla reda på. Det finns också fördelar om ett ESI kan följa med en student genom hela livet. varför eduID kan vara värdefullt att integrera med även för lärosäten med egna IdPer.
Implementationen av ESI på ett lärosäte kretsar kring följande två frågor:
- Vad har en student för ESI (skapa lokalt ESI eller hämta från annan källa)?
- Hur görs ESI-attributet tillgängligt i samband med inloggning till de tjänster som ska konsumera attributet?
Svaret på den första frågan handlar delvis om lärosätet är anslutet till Ladok eller ej. Svaret på den andra frågan handlar om om det finns en bra integration mellan Ladok (eller ett annat motsvarande system) och antingen lärosätets IdP. Om Svaret på den första frågan är nej - dvs om lärosätet inte är anslutet till Ladok - måste man hitta ett annat sätt att välja en stabil, unik och permanent identifierare. Om lärosätet saknar integration med sin IdP eller av andra skäl inte kan eller vill använda denna kan eduID användas.
Tänk på följande:
- Allt detta är rekommendationer - varje lärosäte fattar ett eget beslut om ESI
- Det är bäst om en student har få ESI:er men det är inte en katastrof om en student har flera ESIer under sin studietid - tex i samband med flytt till eller från ett lärosäte som inte ingår i Ladok eller för studenter som inte gått igenom central antagning och därför inte har ett StudentUID.
- Man kan behöva hantera studenter som gått igenom lokal antagning på ett annat sätt än vanliga "NyA-studenter" - detta kan ge olika ESI-strukturer inom ett lärosäte. Detta är inte ett problem för ESI-samarbetet.
- ESI är inte knutet till personnummer och kräver inte "verifierade" användare - ett ESI är frikopplat från nationella identifieringssystem och är gemensamt för hela EU
- Genom att samordna ESI med eduID kan en student behålla sitt ESI över lång tid - även efter att man valt att rensa bort ett lärosäteskonto. Detta främjar livslångt lärande på sikt.
...
I Ladok finns ett ExterntUID för varje student. Värdet kommer ursprungligen från UHR:s studenttjänst och samordnas med NyA/Antagning.se. För att i möjligaste mån se till studenter har samma ESI oberoende vilket lärosäte/inloggningstjänst studenten loggar in via så bör detta användas för ESI. Notera att Ladok samt NyA/Antagning.se även har interna UID:er för studenter (som bland annat kan användas i norEduPersonLIN), dessa är inte samma som ExterntUID.
ExterntUID i Ladok är ett uuid, exempelvis 9e342e78-5b6c-4902-966e-50e28a21e601.
...
Värdet på schacPersonalUniqueCode blir då: urn:schac:PersonalUniqueCode:int:esi:larosate.se:abcd1234
Utestående frågor
Hur få in Ladoks ExterntUID i eduID för en användare/personnummer?
Hur få ut unikt id från eduID för ett personnummer till ett lärosäte?
Behöver vi bry oss om ifall användaren är en "aktiv" student?
Övrigt
De olika fallen faller inom följande huvudkategorier som vi beskriver nedan.
Lärosätet är anslutet till Ladok och och har egen integration med Ladok
Förslag till beslut
- Lärosätet skapar ESI baserat på ExterntUID i Ladok enligt beskrivningen nedan.
- Det egna lärosätets IdP konfigureras att göra attribut-release av ESI via integration med det lokala systemet.
Att tänka på...
- Lärosätet kan även be eduID slå på integration med Ladok så att samma ESI släpps från både lärosätets egen IdP samt från eduID (för studenter som även har konto i eduID). Kontakta eduID isåfall
Lärosätet är inte anslutet till Ladok men använder NyA för antagning
Förslag till beslut
- Lärosätet skapar ESI baserat på STUDENT_UID i NyA-Open enligt beskrivningen nedan.
- Det egna lärosätets IdP konfigureras att göra attribut-release av ESI via integration med det lokala systemet.
Lärosätet är anslutet till ladok men har inte möjlighet att göra en egen integration som använder StudentUID
Förslag till beslut
- Använd den integration som eduID kommer utveckla med Ladok. ESI får den struktur som beskrivs nedan baserat på ExterntUID i Ladok.
- eduID gör attribut-release av ESI
Att tänka på...
- Ta kontakt med eduID
Lärosätet är inte anslutet till ladok och väljer att göra egen attribut-release av ESI.
Förslag till beslut
- Etablera ESI i en lokalt system eller liknande enligt följande struktur urn:schac:PersonalUniqueCode:int:esi:<lärosätets scope i swamid>:<lokal unik identifierare>
- Det egna lärosätets IdP konfigureras att göra attribut-release av ESI via integration med det lokala systemet.
Att tänka på...
- Planera för utvecklingsinsatsen redan nu.
- Överväg att även integrera med eduID för att göra det möjligt för studenter att behålla sitt ESI hela livet. Kontakta eduID isåfall.
Lärosätet är inte anslutet till ladok och använder eduID för att skapa ESI
Förslag till beslut
- Lärosätet använder eduIDs API (SCIM) för att skicka information om vilka som är studenter till eduID
- eduID gör attribut-release av ESI baserad på eduID eppn
Att tänka på...
...
Synkronisering med eduID
Oavsett om lärosäten väljer att implementera ESI i sin identitetsutfärdare eller ej så finns skäl att synkronisers studenters ESI med eduID. Exempel på detta:
- Lärosätet hämtar ESI från Ladok/NyA till sin egen IdP och lärosätets studenter använder ibland eduID för inloggning
- Lärosätet har sina studenter i Ladok men hämtar inte ESI från Ladok/NyA och låter istället sina studenter använda eduID för inloggning mot ERASMUS+
- Lärosätet har inte sina studenter i Ladok/NyA
eduID har integrationsmöjligheter både för att:
- Hämta ESI från Ladok för ett lärosätes studenter (via Ladoks REST-API)
- Hämta ESI från eduID för ett lärosätes studenter (via en SCIM-integration mot eduID)
- Skicka in ESI för ett lärosätes studenter (via en SCIM-integration mot eduID)
Alternativ för lärosäten
| Lärosäte | Studenter i Ladok | Studenter i NyA | Inloggningstjänst för studenter i SWAMID |
|---|---|---|---|
Blekinge tekniska högskola | ja | ja | egen |
Chalmers tekniska högskola | ja | ja | egen |
Enskilda Högskolan Stockholm | ja | ja | eduID används för studenter |
Ersta Sköndal Bräcke högskola | ja | ja | egen |
Försvarshögskolan | ja | ja | egen |
Gymnastik- och idrottshögskolan | ja | ja | egen |
Göteborgs universitet | ja | ja | egen |
Handelshögskolan i Stockholm | nej, ej planerat | ja | egen |
Högskolan Dalarna | ja | ja | egen |
Högskolan Kristianstad | ja | ja | egen |
Högskolan Väst | ja | ja | egen |
Högskolan i Borås | ja | ja | egen |
Högskolan i Gävle | ja | ja | egen |
Högskolan i Halmstad | ja | ja | egen |
Högskolan i Jönköping | ja | ja | egen |
Högskolan i Skövde | ja | ja | egen |
Johannelunds teologiska högskola | nej, kanske snart | ja | saknar inloggningstjänst |
Karlstads universitet | ja | ja | egen |
Karolinska institutet | ja | ja | egen |
Konstfack | ja | ja | egen |
Kungl. Konsthögskolan | ja | ja | egen |
Kungl. Musikhögskolan i Stockholm | ja | ja | egen |
Kungliga Tekniska högskolan | ja | ja | egen |
Linköpings universitet | ja | ja | egen |
Linnéuniversitetet | ja | ja | egen |
Luleå tekniska universitet | ja | ja | egen |
Lunds universitet | ja | ja | egen |
Malmö universitet | ja | ja | egen |
Mittuniversitetet | ja | ja | egen |
Mälardalens högskola | ja | ja | egen |
Newmaninstitutet | nej, kanske snart | ja | saknar inloggningstjänst |
Röda Korsets högskola | ja | ja | egen |
Sophiahemmet Högskola | ja | ja | egen |
Stockholms konstnärliga högskola | ja | ja | egen |
Stockholms universitet | ja | ja | egen |
Sveriges lantbruksuniversitet | ja | ja | egen |
Södertörns högskola | ja | ja | egen |
Umeå universitet | ja | ja | egen |
Uppsala universitet | ja | ja | egen |
Örebro Teologiska Högskola | nej, kanske snart | ja | saknar inloggningstjänst |
Örebro universitet | ja | ja | egen |
...
Att göra attributrelease av ESI
...