Transformation von Attributen

Krinetzki, Stephan Krinetzki at itc.rwth-aachen.de
Do Jul 6 14:50:02 CEST 2017


Hallo Liste,

 

folgender Usecase bereitet uns aktuell Kopfschmerzen:

 

In unserem ldap gibt es das Attribut 

 

personenstatus:
personalnummer=1234576:eintrittsdatum=01012017:enddatum=31122017:verhältnis=
wbes

 

nun möchten wir in Abhängigkeit vom Serviceprovider auf Grund von
Datenschutz das Attribut im unterschiedlichen Format an den Serviceprovider
übergeben:

 

SP 1: voller Wert
personalnummer=1234576:eintrittsdatum=01012017:enddatum=31122017:verhältnis=
wbes

 

SP 2: Teil des Wertes personalnummer=1234576:verhältnis=wbes

 

Dieser Usecase ist nur als Beispiel zu verstehen, bei dem nur ein Teil des
Attributwertes an den Serviceprovider übergeben wird.

 

Folgende Lösungsmöglichkeiten wurden bisher evaluiert:

 

1.       Mehrfaches Abspeichern des Attributwertes im LDAP und Herausfiltern
des richtigen Attributwerts im Attributfilter => skaliert nicht, redundante
Datenhaltung im LDAP

2.       Parsen des Attributwerts im Attribute-Resolver => komplexe
if-else-Strukturen bei mehr als 110 Serviceprovidern

3.       Aufrufen vom externen Programm aus dem Attribute-Resolver heraus =>
hohe Komplexität, schlechte Wartbarkeit, hoher Aufwand bei angestrebter
generischer Lösung, eventuell schlechtere Performanz, da Attribute-Resolver
bei jedem Login abgearbeitet wird

4.       Attributtransformation im Attributfilter => nach unserem Wissen ist
es nur möglich ein Attribut ganz herauszufiltern oder es zu lassen wie es
ist. Die Transformation von Teilen des Attributwertes ist nach unserem
Wissen hier nicht möglich.

5.       Attributtransformation beim Serviceprovider => aus
Datenschutzgründen nicht möglich, da Daten bereits an Kunden geliefert
wurden, allerdings wäre dort, im Gegensatz zum Attributfilter, die
Transformation aus technischer Sicht möglich (Groupmatching bei

regulärem Ausdruck) 

 

Frage 1: Ist unsere Annahme aus Lösungsmöglichkeit 4 richtig, dass im
Attributfilter keine Attributtransformation vorgenommen werden kann?

 

Frage 2: Kennt ihr noch Alternativen?

 

Viele Grüße aus Aachen

Stephan

 

 

--

Stephan Krinetzki

Fachinformatiker

 

IT Center

Abteilung: Systeme und Betrieb

RWTH Aachen University

Seffenter Weg 23

52074 Aachen

Tel: +49 241 80-24866

Fax: +49 241 80-22134

 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20170706/01020d1f/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5849 bytes
Beschreibung: nicht verfügbar
URL         : <http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20170706/01020d1f/attachment.bin>


Mehr Informationen über die Mailingliste Aai-users