Differenze tra le versioni di "Erasmus Plus e ESI"
| Riga 1: | Riga 1: | ||
| − | Nell'ambito della European Student Card Initiative la commisione europea ha stabilito un percorso di digitalizzazione di tutti i servizi legati al programma Erasmus+ | + | Nell'ambito della European Student Card Initiative la commisione europea ha stabilito un percorso di digitalizzazione di tutti i servizi legati al programma Erasmus+ quali [https://learning-agreement.eu/user/login Online Learning Agreement] (OLA), Erasmus+ mobile application, ecc. Una parte fondamentale della digitalizzazione riguarda l'autenticazione degli studenti, per la quale è stata scelta eduGAIN, cosicché gli studenti possano accedere con le proprie credenziali istituzionali e che i servizi ricevano fin da subito tutte le informazioni necessarie ad identificare correttamente gli utenti. |
===MyAcademicID proxy=== | ===MyAcademicID proxy=== | ||
| Riga 62: | Riga 62: | ||
|} | |} | ||
| − | ==== European Student Identifier ==== | + | ====European Student Identifier==== |
Lo European Student Identifier (ESI) è un idenficatore globalmente univoco, persistente, non mirato (rimane lo stesso per tutti i Service Provider). Viene codificato e trasmesso tramite l'attributo <code>schacPersonalUniqueCode</code>. L'ESI supporta due modalità principali di codifica: per nazione, nel caso sia disponibile un codice studentesco nazionale, o per istituto. Nel caso dell'Italia l'unica forma ammessa è per istituto. | Lo European Student Identifier (ESI) è un idenficatore globalmente univoco, persistente, non mirato (rimane lo stesso per tutti i Service Provider). Viene codificato e trasmesso tramite l'attributo <code>schacPersonalUniqueCode</code>. L'ESI supporta due modalità principali di codifica: per nazione, nel caso sia disponibile un codice studentesco nazionale, o per istituto. Nel caso dell'Italia l'unica forma ammessa è per istituto. | ||
Lo ESI si compone di tre parti, un namespace URN invariabile, il dominio dell'organizzazione ed un codice idenficativo dello studente: | Lo ESI si compone di tre parti, un namespace URN invariabile, il dominio dell'organizzazione ed un codice idenficativo dello studente: | ||
| − | * namespace URN: <code><nowiki>urn:schac:personalUniqueCode:int:esi</nowiki>:</code> | + | *namespace URN: <code><nowiki>urn:schac:personalUniqueCode:int:esi</nowiki>:</code> |
| − | * dominio dell'organizzazione: foo.bar | + | *dominio dell'organizzazione: foo.bar |
| − | * codice identificativo dello studente (ad es. la matricola): <code>17585515</code> | + | *codice identificativo dello studente (ad es. la matricola): <code>17585515</code> |
Lo ESI completo risultante: <code><nowiki>urn:schac:personalUniqueCode:int:esi:foo.bar:17585515</nowiki></code> | Lo ESI completo risultante: <code><nowiki>urn:schac:personalUniqueCode:int:esi:foo.bar:17585515</nowiki></code> | ||
| Riga 75: | Riga 75: | ||
Le specifiche complete dello ESI sono disponibili sul wiki di GEANT: https://wiki.geant.org/display/SM/European+Student+Identifier | Le specifiche complete dello ESI sono disponibili sul wiki di GEANT: https://wiki.geant.org/display/SM/European+Student+Identifier | ||
| − | ==== Configurazione Identity Provider ==== | + | ====Configurazione Identity Provider==== |
Per rilasciare lo ESI tramite un Identity Provider (IdP) si possono usare due strategie: valorizzare l'attributo <code>schacPersonalUniqueCode</code> completo di namespace URN e dominio direttamente nella propria Directory o esportare il solo codice identificativo dello studente e valorizzare <code>schacPersonalUniqueCode</code> nell'IdP. La seconda strategia è più flessibile e raccomandata dal Servizio IDEM GARR AAI Di seguito vi proponiamo un esempio di configurazione basato sulla seconda strategia per Shibboleth Identity Provider v 4.X. | Per rilasciare lo ESI tramite un Identity Provider (IdP) si possono usare due strategie: valorizzare l'attributo <code>schacPersonalUniqueCode</code> completo di namespace URN e dominio direttamente nella propria Directory o esportare il solo codice identificativo dello studente e valorizzare <code>schacPersonalUniqueCode</code> nell'IdP. La seconda strategia è più flessibile e raccomandata dal Servizio IDEM GARR AAI Di seguito vi proponiamo un esempio di configurazione basato sulla seconda strategia per Shibboleth Identity Provider v 4.X. | ||
| − | ==== Configurazione dello ESI ==== | + | ====Configurazione dello ESI==== |
Per configurare lo ESI è necessario trasmettere il codice identificativo dello studente al proprio IdP. Ammesso che il codice sia contenuto in un attributo denominato <code>matricolaStudente</code>, quest'ultimo andrà aggiunto alla lista di attributi restituiti dalla Directory in risposta alla query dell'IdP. | Per configurare lo ESI è necessario trasmettere il codice identificativo dello studente al proprio IdP. Ammesso che il codice sia contenuto in un attributo denominato <code>matricolaStudente</code>, quest'ultimo andrà aggiunto alla lista di attributi restituiti dalla Directory in risposta alla query dell'IdP. | ||
| + | |||
| + | Per creare lo ESI va definito e valorizzato l'attributo <code>schacPersonalUniqueCode</code> nel file ''attribute-resolver.xml'', come nell'esempio che segue: | ||
| + | <AttributeDefinition id="schacPersonalUniqueCode" xsi: type = "Template"> | ||
| + | <InputDataConnector ref="myLDAP" attributeNames="matricolaStudente"/> | ||
| + | <DisplayName xml:lang="it">European Student Identifier (ESI)</DisplayName> | ||
| + | <DisplayName xml:lang="en">European Student Identifier (ESI)</DisplayName> | ||
| + | <Template><nowiki>urn:schac:personalUniqueCode:int:esi:it:foo.bar:${matricolaStudente}</nowiki></Template > | ||
| + | <AttributeEncoder xsi:type="SAML2String" name="<nowiki>urn:oid:1.3.6.1.4.1.25178.1.2.14</nowiki>" friendlyName="schacPersonalUniqueCode" encodeType="false"/> | ||
| + | </ AttributeDefinition > | ||
Versione delle 23:53, 9 mar 2021
Nell'ambito della European Student Card Initiative la commisione europea ha stabilito un percorso di digitalizzazione di tutti i servizi legati al programma Erasmus+ quali Online Learning Agreement (OLA), Erasmus+ mobile application, ecc. Una parte fondamentale della digitalizzazione riguarda l'autenticazione degli studenti, per la quale è stata scelta eduGAIN, cosicché gli studenti possano accedere con le proprie credenziali istituzionali e che i servizi ricevano fin da subito tutte le informazioni necessarie ad identificare correttamente gli utenti.
Indice
MyAcademicID proxy
L'accesso ai servizi Erasmus+ avviene mediante un proxy realizzato nell'ambito del progetto MyAcademicID e gestito da GEANT. Questo vuol dire che tutti i servizi legati ad Erasmus+ hanno un unico Service Provider con il seguente entityID:
https://proxy.prod.erasmus.eduteams.org/metadata/backend.xml
Il Service Provider è pubblicato in IDEM tramite eduGAIN, quindi se state già consumando i metadata edugain2idem (vedi Metadata) non dovrete fare alcuna azione per accedere tramite il vostro Identity Provider. In caso contrario, in primo luogo dovete contattare il Servizio IDEM GARR AAI ([[1]]) per richiedere l'esportazione del vostro Identity Provider in eduGAIN, poi dovrete configurare i metadata di eduGAIN distributi dal Servizio (vedi Metadata).
Attributi
Gli attributi richiesti per accedere ai servizi Erasmus+ sono i seguenti.
| Attributo | Descrizione | Esempio |
|---|---|---|
| eduPersonPrincipalName | Identificativo globalmente univoco e persistente. | username@foo.bar
|
| eduPersonTargetedID | Identificativo univoco, opaco, mirato (diverso per ogni Service Provider) e persistente. | https://idp.foo.bar/idp/shibboleth!https://sp.example.com/shibboleth!a6c2c4d4-08b9-4ca7-8ff9-43d83e6e1d35
|
| displayName | Nome completo. Rilasciare se non si rilascia già cn, o givenName+sn. | Mario Rossi
|
| cn | Nome completo. Rilasciare se non si rilascia già displayName o givenName+sn. | Mario Rossi
|
| givenName | Nome. Rilasciare se non si rilascia già displayName o cn. | Mario
|
| sn | Cognome. Rilasciare se non si rilascia già displayName o cn. | Rossi
|
| eduPersonAffiliation | Macro ruolo all'interno della propria organizzazione. | [member, student]
|
| eduPersonScopedAffiliation | Macro ruolo all'interno della propria organizzazione con l'aggiunta del dominio. | [member@foo.bar, student@foo.bar
|
| schacPersonalUniqueCode | Codice univoco personale assegnato dalla propria organizzazione (URN). E' utilizzato per codificare e trasmettere lo European Student Identifier. | urn:schac:personalUniqueCode:int:esi:foo.bar:17585515
|
| schacHomeOrganization | Dominio della propria organizzazione. | foo.bar
|
| schacHomeOrganizationType | Tipo di organizzazione (URN) | urn:schac:homeOrganizationType:eu:higherEducationalInstitution
|
European Student Identifier
Lo European Student Identifier (ESI) è un idenficatore globalmente univoco, persistente, non mirato (rimane lo stesso per tutti i Service Provider). Viene codificato e trasmesso tramite l'attributo schacPersonalUniqueCode. L'ESI supporta due modalità principali di codifica: per nazione, nel caso sia disponibile un codice studentesco nazionale, o per istituto. Nel caso dell'Italia l'unica forma ammessa è per istituto.
Lo ESI si compone di tre parti, un namespace URN invariabile, il dominio dell'organizzazione ed un codice idenficativo dello studente:
- namespace URN:
urn:schac:personalUniqueCode:int:esi: - dominio dell'organizzazione: foo.bar
- codice identificativo dello studente (ad es. la matricola):
17585515
Lo ESI completo risultante: urn:schac:personalUniqueCode:int:esi:foo.bar:17585515
Le specifiche complete dello ESI sono disponibili sul wiki di GEANT: https://wiki.geant.org/display/SM/European+Student+Identifier
Configurazione Identity Provider
Per rilasciare lo ESI tramite un Identity Provider (IdP) si possono usare due strategie: valorizzare l'attributo schacPersonalUniqueCode completo di namespace URN e dominio direttamente nella propria Directory o esportare il solo codice identificativo dello studente e valorizzare schacPersonalUniqueCode nell'IdP. La seconda strategia è più flessibile e raccomandata dal Servizio IDEM GARR AAI Di seguito vi proponiamo un esempio di configurazione basato sulla seconda strategia per Shibboleth Identity Provider v 4.X.
Configurazione dello ESI
Per configurare lo ESI è necessario trasmettere il codice identificativo dello studente al proprio IdP. Ammesso che il codice sia contenuto in un attributo denominato matricolaStudente, quest'ultimo andrà aggiunto alla lista di attributi restituiti dalla Directory in risposta alla query dell'IdP.
Per creare lo ESI va definito e valorizzato l'attributo schacPersonalUniqueCode nel file attribute-resolver.xml, come nell'esempio che segue:
<AttributeDefinition id="schacPersonalUniqueCode" xsi: type = "Template">
<InputDataConnector ref="myLDAP" attributeNames="matricolaStudente"/>
<DisplayName xml:lang="it">European Student Identifier (ESI)</DisplayName>
<DisplayName xml:lang="en">European Student Identifier (ESI)</DisplayName>
<Template>urn:schac:personalUniqueCode:int:esi:it:foo.bar:${matricolaStudente}</Template >
<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.25178.1.2.14" friendlyName="schacPersonalUniqueCode" encodeType="false"/>
</ AttributeDefinition >
