Transformation von Attributen

Krinetzki, Stephan Krinetzki at itc.rwth-aachen.de
Do Jul 6 15:34:19 CEST 2017


Hallo Ramon,

es wird kompliziert, wenn es mehrere Beschäftigungsverhältnisse gibt. Bei
einem wäre das definitiv der gangbare Weg.

Gruß

Stephan

--
Stephan Krinetzki
Fachinformatiker

IT Center
Abteilung: Systeme und Betrieb
RWTH Aachen University
Seffenter Weg 23
52074 Aachen
Tel: +49 241 80-24866
Fax: +49 241 80-22134


-----Original Message-----
From: Aai-users [mailto:aai-users-bounces at aai.dfn.de] On Behalf Of Ramon
Pfeiffer
Sent: Thursday, July 06, 2017 3:28 PM
To: aai-users at aai.dfn.de
Subject: Re: Transformation von Attributen

Hallo Stephan,

vielleicht etwas naiv, aber spricht etwas dagegen, die einzelnen Teile
als vier eigene Attribute im LDAP abzuspeichern und dann pro SP zu filtern?

Viele Grüße
Ramon



On 06.07.2017 14:50, Krinetzki, Stephan wrote:
> Hallo Liste,
> 
>  
> 
> folgender Usecase bereitet uns aktuell Kopfschmerzen:
> 
>  
> 
> In unserem ldap gibt es das Attribut
> 
>  
> 
> personenstatus:
>
personalnummer=1234576:eintrittsdatum=01012017:enddatum=31122017:verhältnis=
wbes
> 
>  
> 
> nun möchten wir in Abhängigkeit vom Serviceprovider auf Grund von
> Datenschutz das Attribut im unterschiedlichen Format an den
> Serviceprovider übergeben:
> 
>  
> 
> SP 1: voller Wert
>
personalnummer=1234576:eintrittsdatum=01012017:enddatum=31122017:verhältnis=
wbes
> 
>  
> 
> SP 2: Teil des Wertes personalnummer=1234576:verhältnis=wbes
> 
>  
> 
> Dieser Usecase ist nur als Beispiel zu verstehen, bei dem nur ein Teil
> des Attributwertes an den Serviceprovider übergeben wird.
> 
>  
> 
> Folgende Lösungsmöglichkeiten wurden bisher evaluiert:
> 
>  
> 
> 1.       Mehrfaches Abspeichern des Attributwertes im LDAP und
> Herausfiltern des richtigen Attributwerts im Attributfilter => skaliert
> nicht, redundante Datenhaltung im LDAP
> 
> 2.       Parsen des Attributwerts im Attribute-Resolver => komplexe
> if-else-Strukturen bei mehr als 110 Serviceprovidern
> 
> 3.       Aufrufen vom externen Programm aus dem Attribute-Resolver
> heraus => hohe Komplexität, schlechte Wartbarkeit, hoher Aufwand bei
> angestrebter generischer Lösung, eventuell schlechtere Performanz, da
> Attribute-Resolver bei jedem Login abgearbeitet wird
> 
> 4.       Attributtransformation im Attributfilter => nach unserem Wissen
> ist es nur möglich ein Attribut ganz herauszufiltern oder es zu lassen
> wie es ist. Die Transformation von Teilen des Attributwertes ist nach
> unserem Wissen hier nicht möglich.
> 
> 5.       Attributtransformation beim Serviceprovider => aus
> Datenschutzgründen nicht möglich, da Daten bereits an Kunden geliefert
> wurden, allerdings wäre dort, im Gegensatz zum Attributfilter, die
> Transformation aus technischer Sicht möglich (Groupmatching bei
> 
> regulärem Ausdruck)
> 
>  
> 
> Frage 1: Ist unsere Annahme aus Lösungsmöglichkeit 4 richtig, dass im
> Attributfilter keine Attributtransformation vorgenommen werden kann?
> 
>  
> 
> Frage 2: Kennt ihr noch Alternativen?
> 
>  
> 
> Viele Grüße aus Aachen
> 
> Stephan
> 
>  
> 
>  
> 
> --
> 
> Stephan Krinetzki
> 
> Fachinformatiker
> 
>  
> 
> IT Center
> 
> Abteilung: Systeme und Betrieb
> 
> RWTH Aachen University
> 
> Seffenter Weg 23
> 
> 52074 Aachen
> 
> Tel: +49 241 80-24866
> 
> Fax: +49 241 80-22134
> 
>  
> 

--
Universität Tübingen
Zentrum für Datenverarbeitung
Wächterstraße 76
72074 Tübingen

E-Mail: ramon.pfeiffer at uni-tuebingen.de
Telefon: +49-7071-29-70213


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5849 bytes
Beschreibung: nicht verfügbar
URL         : <http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20170706/789d1c7d/attachment.bin>


Mehr Informationen über die Mailingliste Aai-users