Data model 1.1 (steps in effect 1.9.2020)
Changes with version 1.0 are highlighted in red. The attributes marked with an asterisk (*) are multi-value, i.e. a single person may have one or more such attributes. For example, one person may have two school attributes, which is fairly typical case with a teacher having affiliations with several schools. Other attributes are single-value, i.e. a single person may have only one. For example, one person may have only one surname attribute.
| Tieto | Attribuuttinimi (SAML ja OIDC) | Selite (en) | Selite (fi) |
|---|---|---|---|
| Sukunimi | urn:oid:2.5.4.4 (SAML) family_name (OIDC) | The last/family name of the user. | Käyttäjän sukunimi. |
| Etunimi | urn:oid:2.5.4.42 (SAML) given_name (OIDC) | The first/given name of the user. | Käyttäjän etunimi. |
| Yksilöllinen tunniste | urn:mpass.id:uid | The unique identifier of the authenticated user. Currently recommended identifier for identifying the user. NOTE: will change if the user moves to another user registry. | Käyttäjän yksilöivä tunniste käyttäjähakemistossa. Yleensä esim. objectGUID käyttäjähakemistossa. Tämä on tällä hetkellä suositeltu käyttäjän yksilöivä tunniste. HUOM! Tunniste todennäköisesti muuttua silloin, kun käyttäjä siirtyy toiseen käyttäjähakemistoon. |
| CryptID (legacy) | urn:mpass.id:legacyCryptId | The legacy (national) cryptID of the user divided to two parts with @ -character. The left-side contains the cryptID of the user as right-side contains an identifier to the source registry. For instance: f0ba7691aeff3ef2302d6edce5303641@ldap_test. This attribute is issued for legacy reasons, avoid using it if possible. | Käyttäjän yksilöivä tunnus, joka koostuu salatusta (MD5) henkilötunnuksesta sekä käyttäjähakemiston tunnisteesta erotettuna @-merkillä. Esimerkiksi: f0ba7691aeff3ef2302d6edce5303641@ldap_test. Attribuutti on korvautumassa oppijanumerolla ja se tulee jäämään pois MPASSid:n tietomallista, joten sen käyttämistä palveluissa ei suositella. |
| Vahvennettu CryptID | urn:mpass.id:legacyCryptIde | A strengthened version of the legacy cryptID (see above) of the user, divided to two parts with @ -character. The left-side contains the strengthened (encrypted by MPASS proxy) version of the cryptID of the user as right-side contains an identifier to the source registry. For instance: 9ecb8b0256d0c177320037322cf87e4f1211f2df45a2f8e4a667ca5b24a10e89@ldap_test. | Vahvennettu versio CryptID attribuutista, jonka käyttäjän yksilöivä tunniste (@-merkin vasemmanpuoleinen osa) on salattu vahvemmalla salausmenetelmällä. Esimerkiksi: 9ecb8b0256d0c177320037322cf87e4f1211f2df45a2f8e4a667ca5b24a10e89@ldap_test. |
| *Kuntakoodi | urn:mpass.id:municipalityCode | The municipality code of the authenticated user. See http://tilastokeskus.fi/meta/luokitukset/kunta/001-2017/index.html for mappings in Finland. This attribute will be replaced by educationProviderId (see below) after version 1.2. | Käyttäjän kunnan kuntakoodi. Kuntakoodit löytyvät Tilastokeskuksen palvelusta http://tilastokeskus.fi/meta/luokitukset/kunta/001-2017/. Tieto korvataan opetuksen tai koulutuksen järjestäjän oid -tiedolla versiosta 1.2 eteenpäin |
| *Kunta | urn:mpass.id:municipality | The human-readable name of the municipality of the authenticated user. This attribute will be replaced by educationProvider after version 1.2. | Käyttäjän kunnan nimi. Tieto korvataan opetuksen tai koulutuksen järjestäjän nimi -tiedolla versiosta 1.2 eteenpäin |
| *Koulukoodi | urn:mpass.id:schoolCode | The school code of the authenticated user. See https://virkailija.opintopolku.fi/koodisto-service/ for the mappings in Finland. For example, https://virkailija.opintopolku.fi/koodisto-service/rest/codeelement/oppilaitosnumero_04647 for school code 04647. | Käyttäjän koulun koulukoodi. |
| *Koulu | urn:mpass.id:school | The human-readable name of the school of the authenticated user. School name is retrieved based on a value of urn:mpass.id:schoolCode. If no name is found this attribute can be empty. | Käyttäjän koulun nimi. |
| Luokka | urn:mpass.id:class | The class/group-information of the authenticated user. For instance: 8A or 3B. | Käyttäjän luokka. Esimerkiksi: 8A tai 3B. |
| Vuosiluokka | urn:mpass.id:classLevel | The class/level-information of the authenticated user. For instance 8 or 3. | Käyttäjän vuosiluokka (0–10). Ks. https://www.stat.fi/meta/kas/vuosiluokka.html. Esimerkiksi: 8 tai 3. Tieto pakollinen perusasteen oppijoille. |
| *Rooli | urn:mpass.id:role | The role of the user. The accepted values are "opettaja" and "oppilas" The role consists of four parts, divided with a semicolon (;) character. First education provider, followed by school code, group and role in the group. For instance Helsinki;32132;9A;Oppilas. | Käyttäjän rooli. Sallitut arvot ovat: "opettaja" ja "oppilas" Rooli koostuu neljästä osasta, jotka on eroteltu puolipisteellä (;). Roolin tiedot ovat opetuksen tai koulutuksen järjestäjän nimi, koulukoodi, luokka ja tieto siitä onko käyttäjä oppilas vai opettaja. Esimerkiksi: Helsinki;32132;9A;Oppil |
Oppijanumero | urn:oid:1.3.6.1.4.1.16161.1.1.27 | The national learner id is a permanent 11-digit identifier to identify the learner i.e. the pupil or student. The identifier is presented as an OID on branch 1.2.246.562.24. Eleventh digit of the identifier is a IBM-1-3-7 checksum of the first ten digits. For instance: 1.2.246.562.24.10000000008 | Oppijan yksilöivä valtakunnallinen pysyvä yksilöintitunnus. Oppijanumeroa voidaan käyttää yksilöintiin ja indeksointiin, ja sitä voivat käyttää niin koulutuksen ja opetuksen järjestäjät kuin viranomaisetkin. Henkilölle luodaan oppijanumero, kun hän asioi ensimmäistä kertaa Opintopolku-palvelussa. Oppijanumero on 11 numeroa pitkä luku, jonka viimeinen numero on tarkistusmerkki. Teknisesti oppijanumero rakentuu osaksi JHS 159:n ohjeistamaa ISO OID -yksilöintitunnusta (International Standard Organization: Object Identifier). |
| *Opetuksen tai koulutuksen järjestäjän oid | urn:mpass.id:educationProviderId | The education provider id is a permanent 11-digit identifier to identify the education provider i.e. the organization providing education. The majority of primary and secondary education providers are municipalities in Finland. | Opetushallituksen ylläpitämä oid. Uusi attribuutti, joka korvaa kuntakoodi-attribuutin versiossa 1.2 |
| *Opetuksen tai koulutuksen järjestäjän nimi | urn:mpass.id:educationProvider | The education provider is the human-readable name of the education provider. | Opetuksen tai koulutuksen järjestäjän virallinen nimi, joka korvaa kunta-attribuutin versiossa 1.2 |
Data model 1.0
The MPASS proxy issues the following SAML attributes about authenticated users:
- urn:oid:2.5.4.4 (single value): The last/family name of the user.
- urn:oid:2.5.4.42 (single value): The first/given name of the user.
- http://eidas.europa.eu/attributes/naturalperson/CurrentGivenName (single value): All the first/given names of the user.
- urn:mpass.id:uid (single value): The unique identifier of the authenticated user. Currently recommended identifier for identifying the user. NOTE: will change if the user moves to another user registry.
- urn:mpass.id:legacyCryptId (single value): The legacy (national) cryptID of the user divided to two parts with @ -character. The left-side contains the cryptID of the user as right-side contains an identifier to the source registry. For instance: f0ba7691aeff3ef2302d6edce5303641@ldap_test. This attribute is issued for legacy reasons, avoid using it if possible.
- urn:mpass.id:legacyCryptIde (single value): A strengthened version of the legacy cryptID (see above) of the user, divided to two parts with @ -character. The left-side contains the strengthened (encrypted by MPASS proxy) version of the cryptID of the user as right-side contains an identifier to the source registry. For instance: 9ecb8b0256d0c177320037322cf87e4f1211f2df45a2f8e4a667ca5b24a10e89@ldap_test.
- urn:mpass.id:municipalityCode (multi value): The municipality code of the authenticated user. See http://tilastokeskus.fi/meta/luokitukset/kunta/001-2017/index.html for mappings in Finland.
- urn:mpass.id:municipality (multi value): The human-readable name of the municipality of the authenticated user.
- urn:mpass.id:schoolCode (multi value): The school code of the authenticated user. See https://virkailija.opintopolku.fi/koodisto-service/ for the mappings in Finland. For example, https://virkailija.opintopolku.fi/koodisto-service/rest/codeelement/oppilaitosnumero_04647 for school code 04647.
- urn:mpass.id:school (multi value): The human-readable name of the school of the authenticated user. School name is retrieved based on a value of urn:mpass.id:schoolCode. If no name is found this attribute can be empty.
- urn:mpass.id:class (multi value): The class/group-information of the authenticated user. For instance: 8A or 3B.
- urn:mpass.id:classLevel (multi value): The class/level-information of the authenticated user. For instance 8 or 3.
- urn:mpass.id:role (multi value): The role of the user in four parts, divided with a semicolon (;) character. First municipality, followed by school code, group and role in the group. For instance Helsinki;32132;9A;Oppilas.
All the attributes are issued in the SAML NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri.
Old data model
In addition to the data model 1.0, the MPASS proxy currently issues also the following SAML attributes about authenticated users. However, the same information exists in the data model 1.0:
- urn:educloudalliance.org:OID (single value): The object identifier of the user.
- urn:educloudalliance.org:municipality (multi-value): The municipality of the user.
- urn:educloudalliance.org:school (multi-value): The school of the user.
- urn:educloudalliance.org:structuredRole (multi-value): The role of the user in four parts, divided with a semicolon (;) character. First municipality, followed by school, group and role in the group.
All the attributes are issued in the SAML NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri.