...
I denna <AttributeConsumingService> begär SP:n attribut som enbart kan tillhandahållas då IdP:n ber aktören om ett uppdragsval. IdP:n kommer att göra sitt bästa för att tillhandahålla de attribut som SP:n begär, men då inget av attributen är angivna som "isRequired" så kommer autentisering lyckas, oavsett hur många attribut som SP:n får tillbaka. Det är senare upp till SP:n att avgöra vad man vill göra med biljetten.
| Kodblock | ||||||
|---|---|---|---|---|---|---|
| ||||||
<AttributeConsumingService index="2">
<ServiceName xml:lang="sv">TestSP med samtliga uppdragsval</ServiceName>
<RequestedAttribute Name="urn:allCommissions" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="allCommissions"/>
</AttributeConsumingService> |
Om man vill undvika uppdragsval i de fall som en användare har flera uppdrag och man vill ha all uppdragsinformation så kan man begära attributet allCommissions som i denna <AttributeConsumingService>. Detta kan vara användbart i situationer då Service Provider vill ha användarens fullständiga behörighet. Detta kommer leda till att IdP:n gör en slagning mot HSA för att hämta samtliga medarbetaruppdragsval för användaren kommer aldrig presentera något medarbetaruppdragsval för användaren. Samtliga medarbetaruppdragsval kommer skickas tillbaka i biljetten.
| Kodblock | ||||||
|---|---|---|---|---|---|---|
| ||||||
<AttributeConsumingService index="2">
<ServiceName xml:lang="sv">TestSP med samtliga uppdragsval</ServiceName>
<RequestedAttribute Name="urn:allCommissions" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="allCommissions"/>
<RequestedAttribute Name="http://sambi.se/attributes/1/commissionHsaId" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="assignmentHsaId"/>
</AttributeConsumingService> |
I denna <AttributeConsumingService> begär SP:n attributen allCommissions och commissionHsaId. I detta fall kommer IdP:n precis som ovan hämta samtliga medarbetaruppdragsval från HSA och returnera dessa i biljetten. Dock så kommer användaren i det här fallet ändå behöva göra ett medarbetaruppdragsval i IdP:n för att IdP:n ska kunna returnera ett värde för commissionHsaId.
| Kodblock | ||||||
|---|---|---|---|---|---|---|
| ||||||
<AttributeConsumingService index="2">
<ServiceName xml:lang="sv">TestSP med samtliga uppdragsval</ServiceName>
<RequestedAttribute Name="urn:allEmployeeHsaIds" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="allEmployeeHsaIds"/>
</AttributeConsumingService> |
Om man vill undvika uppdragsval i de fall som en användare har flera HSAid och/eller flera uppdrag och man bara vill ha ett HSAid kan man begära attributet allEmployeeHsaIds som visas i denna <AttributeConsumingService>. Då returneras en lista av HSA ID:n och SP:n kan då välja ett av dessa, t.ex. via en användardialog.
AuthnRequest
För varje <AuthnRequest> så anger SP:n vilken av tidigare specificerade <AttributeConsumingService> som skall användas. Detta gör att en SP kan begära olika beteende för olika autentiseringar. SP:n väljer att ange attributet "AttributeConsumingServiceIndex" som skall kunna matchas mot ett index som finns i dess metadata. Nedan följer fyra exempel.
...