Detta är ett arbetsdokument
Beskrivning av European Student Identifier (ESI)
European Student Identifier, förkortat ESI, är ett särskilt attribut som används vid administration av europeiska studentutbyten, t.ex. inom Erasmusprogrammet, samt vid de virtuella europeiska universiteten för att primärt underlätta att personuppgifter och studieresultat överförs korrekt mellan de inblandade högskolorna och universiteten.
ESI representeras i SAML som schacPersonalUniqueCode (se nedan för detaljer)
Alla lärosäten som deltar i Erasmus+ måste innan November 2021 ha implementerat ESI för att vara säkra på att fortsättningsvis ha tillgång till Erasmus-programmets tekniska infrastruktur.
Ett ESI är en unik, permanent och stabil identifierare som byggs upp av ett prefix som är unikt för organisationen eller organisationerna, och ett suffix som är unikt inom en eller en grupp av organisationer. Det är inte omöjligt att en person "samlar på sig" mer än ett ESI under sin studietid men det är naturligtvis enklare ju färre ESIer man behöver hålla reda på. Det finns också fördelar om ett ESI kan följa med en student genom hela livet.
Implementationen av ESI på ett lärosäte kretsar kring följande två frågor:
- Vad har en student för ESI (skapa lokalt ESI eller hämta från annan källa)?
- Hur görs ESI-attributet tillgängligt i samband med inloggning till de tjänster som ska konsumera attributet?
Tänk på följande:
- Allt detta är rekommendationer - varje lärosäte fattar ett eget beslut om ESI
- Det är bäst om en student har få ESI:er men det är inte en katastrof om en student har flera ESIer under sin studietid - tex i samband med flytt till eller från ett lärosäte som inte ingår i Ladok eller för studenter som inte gått igenom central antagning och därför inte har ett StudentUID.
- Man kan behöva hantera studenter som gått igenom lokal antagning på ett annat sätt än vanliga "NyA-studenter" - detta kan ge olika ESI-strukturer inom ett lärosäte. Detta är inte ett problem för ESI-samarbetet.
- ESI är inte knutet till personnummer och kräver inte "verifierade" användare - ett ESI är frikopplat från nationella identifieringssystem och är gemensamt för hela EU
- Genom att samordna ESI med eduID kan en student behålla sitt ESI över lång tid - även efter att man valt att rensa bort ett lärosäteskonto. Detta främjar livslångt lärande på sikt.
Alternativ vid implementation av ESI
På grund av GDPR så är det inte lämpligt att använda studenters personnummer som ESI. För studenter så finns två andra nationella identifiererare som kan vara lämpliga att använda som ESI, ExterntUID från Ladok/NyA/Antagning.se respektive unikt id i eduID. Ett tredje alternativ är att skapa ett lokalt ESI direkt kopplat till studentens identitetsutfärdare.
Använda ExterntUID från Ladok som ESI
I Ladok finns ett ExterntUID för varje student. Värdet kommer ursprungligen från UHR:s studenttjänst och samordnas med NyA/Antagning.se. För att i möjligaste mån se till studenter har samma ESI oberoende vilket lärosäte/inloggningstjänst studenten loggar in via så bör detta användas för ESI. Notera att Ladok samt NyA/Antagning.se även har interna UID:er för studenter (som bland annat kan användas i norEduPersonLIN), dessa är inte samma som ExterntUID.
ExterntUID i Ladok är ett uuid, exempelvis 9e342e78-5b6c-4902-966e-50e28a21e601.
Alternativ 1: Värdet på schacPersonalUniqueCode blir då: urn:schac:PersonalUniqueCode:int:esi:SE:student-9e342e78-5b6c-4902-966e-50e28a21e601
Alternativ 2: Värdet på schacPersonalUniqueCode blir då: urn:schac:PersonalUniqueCode:int:esi:ladok.se:9e342e78-5b6c-4902-966e-50e28a21e601
Alternativ 1 föredras då <sHO> troligtvis måste kunna korsrelateras till attributet schacHomeOrganization (inte klart utläsbart ur specen av ESI, undersökning pågår).
ExterntUID går även att läsa ut från NyA-Open (speciellt för lärosäten som inte har Ladok men som använder NyA för antagning). Där återfinns det i tabellen STUDENT_PERSON_ID_MAP:
select p.PNR, m.STUDENT_UID from NYA.PERSON p join NYA.STUDENT_PERSON_ID_MAP m on p.PERSON_ID = m.PERSON_ID where p.PNR = '<pnr>'Använda unikt id från eduID som ESI
Varje användare i eduID har en unikt id som används som identifierare i attributet eduPersonPrincipalName (<unikt-id>@eduid.se)
Det unika id:t är en textsträng på specifikt format, exempelvis abcde-fghij.
Alternativ 1: Värdet på schacPersonalUniqueCode blir då: urn:schac:PersonalUniqueCode:int:esi:SE:eduid-abcde-fghij
Alternativ 2: Värdet på schacPersonalUniqueCode blir då: urn:schac:PersonalUniqueCode:int:esi:eduid.se:abcde-fghij
Alternativ 1 föredras då <sHO> troligtvis måste kunna korsrelateras till attributet schacHomeOrganization (inte klart utläsbart ur specen av ESI, undersökning pågår).
Använda användaridentitet vid lärosäte som ESI
Varje användare vid lärosätet har en unik användaridentitet som aldrig återanvänds för annan individ.
Användaridentiteten är en textsträng, exempelvis abcd1234, och lärosätet har DNS-domänen (SAML Scope) larosate.se.
Värdet på schacPersonalUniqueCode blir då: urn:schac:PersonalUniqueCode:int:esi:larosate.se:abcd1234
Synkronisering med eduID
Oavsett om lärosäten väljer att implementera ESI i sin identitetsutfärdare eller ej så finns skäl att synkronisers studenters ESI med eduID. Exempel på detta:
- Lärosätet hämtar ESI från Ladok/NyA till sin egen IdP och lärosätets studenter använder ibland eduID för inloggning
- Lärosätet har sina studenter i Ladok men hämtar inte ESI från Ladok/NyA och låter istället sina studenter använda eduID för inloggning mot ERASMUS+
- Lärosätet har inte sina studenter i Ladok/NyA
eduID har integrationsmöjligheter både för att:
- Hämta ESI från Ladok för ett lärosätes studenter (via Ladoks REST-API)
- Hämta ESI från eduID för ett lärosätes studenter (via en SCIM-integration mot eduID)
- Skicka in ESI för ett lärosätes studenter (via en SCIM-integration mot eduID)
Förutsättningar för lärosäten
Lista på lärosäten hämtad från https://www.uka.se/fakta-om-hogskolan/universitet-och-hogskolor/lista-over-universitet-hogskolor-och-enskilda-utbildningsanordnare.html.
| Lärosäte | Studenter i Ladok | Studenter i NyA | Inloggningstjänst för studenter i SWAMID |
|---|---|---|---|
Beckmans designhögskola | nej, ej planerat | nej, ej planerat | saknar inloggningstjänst |
Blekinge tekniska högskola | ja | ja | egen |
Chalmers tekniska högskola | ja | ja | egen |
Enskilda Högskolan Stockholm | ja | ja | eduID används för studenter |
| Ericastiftelsen | nej, ej planerat | nej, ej planerat | saknar inloggningstjänst |
Ersta Sköndal Bräcke högskola | ja | ja | egen |
Försvarshögskolan | ja | ja | egen |
Gammelkroppa skogsskola | nej, ej planerat | nej, ej planerat | saknar inloggningstjänst |
Gymnastik- och idrottshögskolan | ja | ja | egen |
Göteborgs universitet | ja | ja | egen |
Handelshögskolan i Stockholm | nej, ej planerat | ja | egen |
Högskolan Dalarna | ja | ja | egen |
Högskolan Evidens | nej, ej planerat | nej, ej planerat | saknar inloggningstjänst |
Högskolan i Borås | ja | ja | egen |
Högskolan i Gävle | ja | ja | egen |
Högskolan i Halmstad | ja | ja | egen |
Högskolan i Skövde | ja | ja | egen |
Högskolan Kristianstad | ja | ja | egen |
Högskolan Väst | ja | ja | egen |
Johannelunds teologiska högskola | nej, kanske snart | ja | saknar inloggningstjänst |
Karlstads universitet | ja | ja | egen |
Karolinska institutet | ja | ja | egen |
Konstfack | ja | ja | egen |
Kungl. Konsthögskolan | ja | ja | egen |
Kungl. Musikhögskolan i Stockholm | ja | ja | egen |
Kungl. Tekniska högskolan | ja | ja | egen |
Linköpings universitet | ja | ja | egen |
Linnéuniversitetet | ja | ja | egen |
Luleå tekniska universitet | ja | ja | egen |
Lunds universitet | ja | ja | egen |
Malmö universitet | ja | ja | egen |
Mittuniversitetet | ja | ja | egen |
Mälardalens högskola | ja | ja | egen |
Newmaninstitutet | nej, kanske snart | ja | saknar inloggningstjänst |
Röda Korsets högskola | ja | ja | egen |
Skandinaviens akademi för psykoterapiutveckling | nej, ej planerat | nej, ej planerat | saknar inloggningstjänst |
Sophiahemmet Högskola | ja | ja | egen |
Stiftelsen Högskolan i Jönköping | ja | ja | egen |
Stockholms konstnärliga högskola | ja | ja | egen |
Stockholms Musikpedagogiska Institut | nej, ej planerat | nej, ej planerat | saknar inloggningstjänst |
Stockholms universitet | ja | ja | egen |
Svenska institutet för kognitiv psykoterapi | nej, ej planerat | nej, ej planerat | saknar inloggningstjänst |
Sveriges lantbruksuniversitet | ja | ja | egen |
Södertörns högskola | ja | ja | egen |
Umeå universitet | ja | ja | egen |
Uppsala universitet | ja | ja | egen |
Örebro Teologiska Högskola | nej, kanske snart | ja | saknar inloggningstjänst |
Örebro universitet | ja | ja | egen |
Att göra attributrelease av ESI
European Student Identifier (ESI) har inget eget attribut utan använder attributet schacPersonalUniqueCode. Detta attribut är ett s.k. samlingsattribut som kan innehålla värden för många olika tjänster. Det är därför inte lämpligt att släppa detta attribut för tjänster som kräver det i metadata via entitetskategorin Géant Data Protection Code of Conduct. För närvarande håller det på att tas fram en egen entitetskategori för att kunna släppa ESI endast till de tjänster som ska få tillgång till ESI. Mer information kommer att publiceras här.
Definitioner
Definition av European Student Identifier (ESI)
Utdrag från https://wiki.geant.org/display/SM/European+Student+Identifier (v1.0)
This specification defines a profile for the schacPersonalUniqueCode attribute (as defined in the SCHema for Academia) that will be used to transport the European Student Identifier.
Description
The student mobility processes require the use of a number of services, all of which are involved in different stages of the pipeline and which will need to be able to exchange data about the students who are in mobility.
The European Student Identifier is globally unique, persistent, non-targeted, protocol neutral and data transport neutral.
- Globally Unique: Each student should be uniquely identified across organizational and national boundaries
- Persistent: The identifier should follow the student while he/she is on student mobility
- Non-targeted: The identifier should be the same for all services involved in the student mobility processes
- Protocol neutral: The identifier should not change value depending on the protocol used. For example, it should be the same regardless of whether SAML or OpenID Connect is used
- Data transport neural: The identifier should not change value depending on how it is transported. For example, the students should be identified by the same identifier regardless if the it is through a federated authentication flow or a back-channel transfer of records.
Format
The European Student Identifier can take on one of two forms, depending on the qualifiers needed to make a given student code globally unique:
ESI with nation-wide (or region-wide) scope student code:
urn:schac:personalUniqueCode:int:esi:<country-code>:<code>
ESI with HEI-wide scope student code:
urn:schac:personalUniqueCode:int:esi:<sHO>:<code>
Where:
- <country-code> is a valid ISO 3166 country code identifier to qualify the student code with so that it uniquely identifies the student within the Member State (officially assigned ISO 3166-1 alpha-2 country code) or administrative division (e.g. province or state; ISO 3166-2 code), where applicable.
- <sHO> is the Higher Education Institution's
schacHomeOrganizationvalue (possibly further qualified with the organisational unit issuing the student code). Required if the student code is issued by the Home Organization of the student (or one of its org units) and there can be no guarantee that it uniquely identifies the student within the Member State or administrative division. - <code> is a string that uniquely identifies the student within the scope that it has been issued. It has to satisfy the requirements for strings to be used in URNs according to RFC 2141, sections 2.2 to 2.4.
- The complete schacPersonalUniqueCode attribute value for the ESI does not exceed 255 characters in length.
Examples
Non-normative examples for both forms:
- ESI with nation-wide scope student codes :
urn:schac:personalUniqueCode:int:esi:hr:xxxxxxxxxx - ESI with HEI-wide scope student codes :
urn:schac:personalUniqueCode:int:esi:example.edu:xxxxxxxxxxurn:schac:personalUniqueCode:int:esi:math.example.edu:xxxxxxxxxx
Definition av attributet schacPersonalUniqueCode
Utdrag från: https://wiki.refeds.org/display/STAN/SCHAC+Releases (v1.5)
| Name | schacPersonalUniqueCode |
|---|---|
| Description | Specifies a “unique code” for the subject it is associated with. Its value does not necessarily correspond to any identifier outside the scope of the directories using this schema. This might be Student number, Employee number,... |
| OID | 1.3.6.1.4.1.25178.1.2.14 |
| Format | urn:schac:personalUniqueCode:<country-code>:<iNSS> The must be a valid two-letter ISO 3166 country code identifier or the string “int”, and assigned by the SCHAC URN Registry for this attribute at https://wiki.refeds.org/display/STAN/SCHAC+URN+Registry is a Namespace Specific String as defined in RFC 2141 but case insensitive, from a nationally controlled vocabulary, published through the URI identified at the above mentioned SCHAC URN registry. |
| RFC 4517 definition | ( schacAttributeType:14 NAME 'schacPersonalUniqueCode' DESC 'Unique code for the subject' EQUALITY caseIgnoreMatch ORDERING caseIgnoreOrderingMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) |
| Examples | Common values: urn:schac:personalUniqueCode:int:studentID:<country-code>:<code> National extensions: urn:schac:personalUniqueCode:fi:tut.fi:hetu:010161-995A urn:schac:personalUniqueCode:es:uma:estudiante:a3b123c12 urn:schac:personalUniqueCode:se:LIN:87654321 |