Versions Compared

Old Version 72

changes.mady.by.user Fresia Pérez Arriagada

Saved on

compared with

New Version 73

changes.mady.by.user Fredrik Domeij

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Implementeringen av plattformen för e-tjänster relaterade till Erasmus+ i kombination med användning av den Europeiska Student Identifieraren (ESI) via eduGAIN och Erasmus Without Paper kommer att medföra avsevärd minskad administrativ arbetsbörda för personal och studenter. 

...

  • Genom en direktanslutning till Erasmus Without Paper-nätverket.
  • Genom att lärosätet ansluter sitt upphandlade systemstöd för utlandsstudier från tredje part (ex. Mobility Online eller MoveOn) till Erasmus Without Paper-nätverket.
  • Genom att lärosätet ansluter ett egenutvecklat systemstöd för utlandsstudier till Erasmus Without Paper-nätverket.

European Student Identifier (ESI)

...

  1. Vad har en student för ESI (skapa lokalt ESI eller hämta från annan källa)?
  2. Hur görs ESI-attributet tillgängligt i samband med inloggning till de tjänster som ska konsumera attributet?

Tänk på följande:

  • Allt detta är rekommendationer, varje lärosäte fattar ett eget beslut om ESI.
  • Det underlättar om en student har få ESI:er men det är hanterbart även om en student har flera ESI:er under sin studietid, tex i samband med flytt till eller från ett lärosäte som inte ingår i Ladok eller för studenter som inte gått igenom central antagning och därmed inte har ett ExterntStudentUID från Ladok/NyA/Antagning.se.
  • Lärosätet kan behöva hantera studenter som gått igenom lokal antagning på ett annat sätt än vanliga "NyA-studenter". Detta kan ge flera olika ESI-strukturer inom lärosätet. Detta är inte ett problem för ESI-samarbetet.
  • ESI är inte knutet till personnummer och kräver inte "verifieradebekräftade" användare. Ett ESI är frikopplat från nationella identifieringssystem och är gemensamt för hela EU.
  • Genom att samordna ESI med eduID kan en student behålla sitt ESI över lång tid, även efter ett eventuellt val av lärosätet att rensa bort ett lärosäteskonto. Detta främjar livslångt lärande på sikt.

...

I Ladok finns ett ExterntStudentUID för varje student. Värdet kommer från UHR:s studentregister där samordning sker med Ladok och NyA/Antagning.se och Ladok för att varje student som etableras i Ladok eller NyA/Antagning.se eller Ladok ska få en unik gemensam identifierare. För att i möjligaste mån se till att studenter har samma ESI oberoende vilket lärosäte/inloggningstjänst studenten loggar in via så bör ExterntStudentUID användas för ESI. Notera att Ladok respektive NyA/Antagning.se även har egna, interna UID:er för studenter (som i Ladoks fall bland annat kan användas i norEduPersonLIN), dessa är inte samma som ExterntStudentUID.

...

Varje användare i eduID har ett unikt id som används som identifierare i attributet eduPersonPrincipalName (<unikt-id>@eduid.se) som kan användas som grund för att skapa ESI. eduID har även möjlighet att på lärosätets uppdrag integrera mot Ladok för att hämta ut ExterntStudentUID därifrån, eller att få det av lärosätet lärosätet och då används ExterntStudentUID för att skapa ESI.Det unika id:t är Det unika id:t är en textsträng på specifikt format, exempelvis abcde-fghij.

Värdet på schacPersonalUniqueCode blir då: urn:schac:PersonalUniqueCode:int:esi:eduid.se:abcde-fghij

Notera att eduID även har möjlighet att på lärosätets uppdrag integrera mot Ladok för att hämta ut ExterntStudentUID därifrån eller få det av lärosätet via en SCIM-integration och då använda ExterntStudentUID från Ladok för att använda som ESI.

Använda lokal användaridentitet vid lärosäte som ESI

...

Användaridentiteten är en textsträng, exempelvis abcd1234, och lärosätet har en DNS-domänen (SAML Scope), exempelvis larosate.se.

Värdet på schacPersonalUniqueCode blir då: urn:schac:PersonalUniqueCode:int:esi:larosate.se:abcd1234

...

  • Lärosätet hämtar ESI från Ladok/NyA till sin egen IdP och lärosätets studenter använder ibland, eller i framtiden främst, eduID för inloggning
  • Lärosätet har sina studenter i Ladok men hämtar inte ESI från Ladok/NyA/Antagning.se och låter istället sina studenter använda eduID för inloggning mot ERASMUSErasmus+
  • Lärosätet har inte sina studenter i Ladok/NyA/Antagning.se

...

MyAcademicID använder entitetskategorin Géant Data Protection Code of Conduct för alla attribut som överförs från lärosätenas identitetsutfärdare förutom European Student Identifier (ESI). Det beror på att ESI använder attributet schacPersonalUniqueCode.  Detta attribut är ett attribut som kan innehålla många olika värden med olika syfte och det är av integritets- och säkerhetsskäl endast lämpligt att endast släppa ESI, inte övriga, av integritets- och säkerhetsskäl just ESI till MyAcademicID.

För närvarande håller det på att tas pågår arbete med att ta fram en egen entitetskategori för att kunna släppa ESI endast till de tjänster som ska få tillgång till ESI. Mer information kommer att publiceras här när detta arbete är klart men det . Det hindrar dock inte att ni som lärosäten lärosätet redan nu ser till så att er lärosätets identitetsplattform och er /identitetsutfärdare har tillgång till ESI innan entitetskategorin är klar. Om ESI är tillgängligt för identitetsutfärdaren blir det behövs endast en konfigurationsförändring när entitetskategorin är klar.

...