Jämförda versioner

Gammal version 12

changes.mady.by.user Former user (Deleted)

Sparat den

jämfört med

Ny version 13

changes.mady.by.user Former user

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC.

...


Innehållsförteckning
stylenone

Sammanställning och mappning

Valbara attribut/claims

...

SAML Attributnamn

...

Introduktion

IdP tillhandahåller identifierande och behörighetsstyrande användarattribut till anslutna SP/RP.

Grundflöde för att begära attribut

  • Vilka attribut en SP/RP får begära registreras i IdP vid anslutning av SP/RP, och bestäms utifrån vilka attribut som begärts i förstudien för anslutning.
    • För SAML så anges attributen i SP-metadata, i ett eller flera <AttributeConsumingService>-element innehållandes önskad uppsättning attribut.
    • För OIDC så registreras tillåtna attribut manuellt av IdP-administratör i samband med registrering av RP.
  • Vid autentiseringsbegäran så anger SP/RP vilka attribut som efterfrågas.
    • För SAML anges vilken kollektion av attribut (vilken <AttributeConsumingService>) som skall användas.
    • För OIDC så anges direkt i anropet vilka attribut som önskas.

Se Attributstyrning SAML respektive Attributstyrning OIDC för mer detaljerad information om hur attributbegäran sker i respektive protokoll

Datakällor

Autentiserings- och användarattribut som IdP levererar härstammar från en handfull olika datakällor.

Autentiseringsmetadata

Dessa attribut innefattar information om själva autentiseringen, t.ex. tidpunkt för autentisering, utfärdande entitet, osv.

Användarcertifikat

Dessa attributvärden hämtas direkt från användarens certifikat.

HSA

HSA innehåller information om vårdpersonal och deras behörigheter.

Strukturen grovt är att en fysisk person (identifierad med personnummer) har en eller flera personposter i HSA (identifierade med employeeHsaId) som i sin tur kan ha ett eller flera medarbetaruppdrag kopplade till sig (identifierade med commissionHsaId).

  • Fysisk person (personnummer)
    • Personpost1 i HSA (employeeHsaId)
      • uppdrag1 (commissionHsaId)
      • uppdrag2
    • Personpost2
      • uppdrag3
      • uppdrag4

HSA-attribut som IdP levererar kan härstamma från antingen personpost-nivån eller från uppdragsnivån.

Användarnas id-bärare har antingen personnummer eller employeeHsaId ( = personHsaId i HSA-katalogen) som identifierare. Beroende på vilken id-bärare som används vid autentisering så kommer alltså personpost redan vara förvalt eller inte.

Användarval i autentiseringsflödet

Användarval av Personpost

Användaren kommer att ställas inför ett val av personpost om:

  1. SP/RP har begärt HSA-attribut (på personpost- eller uppdragsnivå),
  2. användaren autentiserar sig med en id-bärare som har användarens personnummer som identifierare, och 
  3. användaren har multipla personposter i HSA.

Användarval av medarbetaruppdrag

Användaren kommer att ställas inför ett uppdragsval om:

  1. SP/RP har begärt HSA-attribut på uppdragsnivå, och
  2. användaren har multipla uppdrag i HSA.


Sammanställning och mappning

Valbara attribut/claims

Tabellen nedan listar alla valbara attribut, vad de heter i SAML respektive OIDC, huruvida de är multivärda eller inte,  vilken datakälla de kommer ifrån, samt huruvida de kan leda till användarval eller inte.

SAML Attributnamn

OIDC Claim (s = OIDC standardiserat)MultivärdeDatakälla:
Autentiseringsmetadata		Datakälla:
Användarcertifikat		Datakälla:
HSA		Kan leda till val av PersonpostKan leda till val av Uppdrag
urn:sambi:names:attribute:authnMethod

amr (s)

X (för OIDC)
amr (s)
X



urn:sambi:names:attribute:x509IssuerName

http://www.w3.org/2000/09/xmldsig#X509IssuerName

x509IssuerName

X


http://www.w3.org/2000/09/xmldsig#X509SubjectName

x509SubjectName

X


urn:sambi:names:attribute:levelOfAssuranceacr(s)
X (utifrån cert)



urn:credential:givenNamecredentialGivenName

X


urn:credential:surnamecredentialSurname

X


urn:credential:personalIdentityNumbercredentialPersonalIdentityNumber

X


urn:credential:displayNamecredentialDisplayName

X


urn:credential:organizationNamecredentialOrganizationName

X


urn:credential:certificatePoliciescredentialCertificatePoliciesX
X


urn:allCommissionsallCommissionsX

X

urn:allEmployeeHsaIdsallEmployeeHsaIdsX

X

http://sambi.se/attributes/1/commissionHsaIdcommissionHsaId


X
X
http://sambi.se/attributes/1/commissionNamecommissionName


X
X
http://sambi.se/attributes/1/commissionPurposecommissionPurpose


X
X
http://sambi.se/attributes/1/commissionRightcommissionRightX

X
commissionRight

X
http://sambi.se/attributes/1/employeeHsaIdemployeeHsaId


XX
http://sambi.se/attributes/1/givenNamegiven_name(s)


XX
http://sambi.se/attributes/1/surnamefamily_name(s)


XX
N/Aname(s)


XX
http://sambi.se/attributes/1/groupPrescriptionCodegroupPrescriptionCodeX

X
groupPrescriptionCode
X
http://sambi.se/attributes/1/healthcareProfessionalLicensehealthcareProfessionalLicenseX
healthcareProfessionalLicense


XX
http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumberhealthcareProfessionalLicenseIdentityNumber


XX
http://sambi.se/attributes/1/healthCareProfessionalLicenceSpecialityhealthCareProfessionalLicenceSpecialityX
healthCareProfessionalLicenceSpeciality


XX
http://sambi.se/attributes/1/healthCareProviderHsaIdhealthCareProviderHsaId


X
X

http://sambi.se/attributes/1/healthcareProviderId

healthcareProviderId


X
X
http://sambi.se/attributes/1/healthCareProviderNamehealthCareProviderName


X
X
http://sambi.se/attributes/1/healthCareUnitHsaIdhealthCareUnitHsaId


X
X
http://sambi.se/attributes/1/healthCareUnitNamehealthCareUnitName


X
X
http://sambi.se/attributes/1/mailmailX
mail


XX
http://sambi.se/attributes/1/mobileTelephoneNumbermobileTelephoneNumberX

X
mobileTelephoneNumber
X
http://sambi.se/attributes/1/occupationalCodeoccupationalCodeX

X
occupationalCode
X
http://sambi.se/attributes/1/organizationIdentifierorganizationIdentifier


X
X
http://sambi.se/attributes/1/organizationNameorganizationName


X
X
http://sambi.se/attributes/1/paTitleCodepaTitleCodeX
paTitleCode


XX
http://sambi.se/attributes/1/personalIdentityNumberpersonalIdentityNumber


XX
http://sambi.se/attributes/1/personalPrescriptionCodepersonalPrescriptionCode


XX
http://sambi.se/attributes/1/pharmacyIdentifierpharmacyIdentifier


X
X
http://sambi.se/attributes/1/systemRolesystemRoleX

X
systemRoleauthorizationScope
X
http://sambi.se/attributes/1/telephoneNumbertelephoneNumberX

X
telephoneNumber
X
N/AauthorizationScope


XX

Default attribut/claims

Dessa attribut (element inom SAML) är den del av standarden (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.

Beskrivning

SAML Assertion element

Multivärde

OIDC Claim (s = OIDC standardiserat)MultivärdeDatakälla:
Autentiseringsmetadata
Subjektets id

<saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">9c01e3aa-3046-45d2-a0c7-288842cfb50b</saml2:NameID>

sub (s)
X
Utfärdare av identitetsintyget
(IdP)

<saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://auth.dev.inera.test:8443/saml</saml2:Issuer>

iss (s)
X
Tilltänkt mottagare

<saml2:AudienceRestriction>
<saml2:Audience>https://sp.dev.inera.test:8881</saml2:Audience>
</saml2:AudienceRestriction>

X

aud (s)XX
Giltighetstid

<saml2:Conditions NotOnOrAfter="2018-06-12T18:25:57.701Z">

exp (s)
X
Tidpunkt för utfärdande<saml2:Assertion ID="_466ef75b0524a76c1602e239c79bebcd33a683f1be0dff661bbcbcd80fef" IssueInstant="2018-06-12T17:25:57.695Z" Version="2.0">iat (s)
X
Tillitsnivå (LoA)

<saml2:AuthnContextClassRef>http://id.sambi.se/loa/loa3</saml2:AuthnContextClassRef>

acr
X
Tidpunkt för autentisering<saml2:AuthnStatement AuthnInstant="2018-06-12T17:25:53.875Z" SessionIndex="ecdba7f0-dafd-42ae-8de1-d38b7f2e2946">auth_time (s)
X
Id som klienten skapar och som kommer tillbaka oförvanskat i svaret<saml2:SubjectConfirmationData InResponseTo="219c3745-4399-4366-82ef-ebc92f3af88f" NotOnOrAfter="2018-06-13T05:53:36.828Z" Recipient="https://sp.dev.inera.test:8881/api/saml/sso/HTTP-POST"/>nonce (s)
X
Unikt id för assertion/jwt<saml2:Assertion ID="_466ef75b0524a76c1602e239c79bebcd33a683f1be0dff661bbcbcd80fef" IssueInstant="2018-06-12T17:25:57.695Z" Version="2.0">jti (s)
X
Hash av access token
at_hash(s)
X

OIDC Scopes

Detta är de scope som definierats i OIDC standard eller av Inera.

ScopeClaims
openid (OIDC standard)

sub, iss, aud, exp, iat, amr, acr, auth_time, jti, at_hash

authorization_scopeauthorizationScope
personal_identity_numberpersonalIdentityNumber
commissionAlla resterande attribut (d.v.s. claims som inte ingår i något annat scope)

Attributbeskrivning

Se https://www.sambi.se/attributes/1/ för mer information om SAMBI attribut.

...

Anger identifikationsmetod.

Möjliga värden:

  • urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
  • urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContract

...

Anger tillitsnivå (LoA) för den autentiserade användarenidentitetsbärare som använts för användaridentifiering. Bestäms utifrån vilket e-id som används för autentisering. Se Guide till IdP för mer informationSe Tillitsnivå (LoA) för information om hur IdP tolkar LoA-nivåer.

Möjliga värden:

  • http://id.sambi.se/loa/loa2
  • http://id.sambi.se/loa/loa3
  • http://id.sambi.se/loa/loa4

Källa: IdP, utifrån certifikatsinformation.

http://www.w3.org/2000/09/xmldsig#X509SubjectName

...

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation  commission.healthCareProviderOrgNo

http://sambi.se/attributes/1/organizationName

...

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation  commission.healthCareProviderName

http://sambi.se/attributes/1/paTitleCode

...