...
Exempel på användningsfall
Låt oss anta att användaren har en uppsättning i HSA som grovt förenklat ser ut som strukturen nedan. Vi antar också att användaren använder sitt eget SITHS eID med personnummret som finns speficierat nedan.
För att hålla exemplen enkla används enbart employeeHsaId, commissionHsaId och personalIdentityNumber som de attribut som begärs via SP:ns SAML metadata. Kom ihåg att som tidigare beskrivet så finns det ingen koppling mellan attributen från SAML metadata och attributen som matas in via PrincipalSelection. Exemplen i tabellen är bara ett litet urval av möjliga scenarion och täcker inte alla användningsfall eller kombinationer.
- Person: 19121212-1212
- Tjänste-id: employeeHsaId 111
- Medarbetaruppdrag: commissionHsaId aaa, organisationsnummer 12345
- Medarbetaruppdrag: commissionHsaId bbb, organisationsnummer 12345
- Tjänste-id: employeeHsaId 222
- Medarbetaruppdrag: commissionHsaId ccc, organisationsnummer 12345
- Tjänste-id: employeeHsaId 333
- Medarbetaruppdrag: commissionHsaId ddd, organisationsnummer 67890
- Tjänste-id: employeeHsaId 444 (saknar medarbetaruppdrag)
- Tjänste-id: employeeHsaId 111
Exempel där SP begär attribut som erhålles via tjänste-id (ex. employeeHsaId)
| Inmatning till förval | Resultat |
|---|---|
| employeeHsaId: 111 | Ingen användarinteraktion krävs. SAML-biljett erhålles med employeeHsaId 111. |
| employeeHsaId: 999 | Inloggningen misslyckas, inget giltigt tjänste-id hittas. |
| commissionHsaId: bbb | Ingen användarinteraktion krävs. SAML-biljett erhålles med employeeHsaId 111. |
| commissionHsaId: zzz | Inloggningen misslyckas, inget giltigt medarbetaruppdrag hittas. |
| organisationIdentifier: 12345 | Användarinteraktion krävs, användaren presenteras med tjänste-id-väljaren och får välja bland tjänste-id:n 111 och 222. SAML-biljett erhålles med det valda employeeHsaId. |
employeeHsaId: 333 organizationIdentifier: 67890 | Ingen användarinteraktion krävs. SAML-biljett erhålles med employeeHsaId 333. |
employeeHsaId: 333 organizationIdentifier: 12345 | Inloggningen misslyckas, inget matchande medarbetaruppdrag hittas. |
| personalIdentityNumber: 19000101-0001 | Inloggningen misslyckas, personnummer matchar inte identiteten. |
Exempel där SP begär attribut som erhålles via medarbetaruppdrag (ex. commissionHsaId)
| Inmatning till förval | Resultat |
|---|---|
commissionHsaId: ccc | Ingen användarinteraktion krävs. SAML-biljett erhålles med commissionHsaId ccc. |
employeeHsaId: 111 | Användarinteraktion krävs, användaren presenteras med medarbetaruppdrags-väljaren och får välja bland medarbetaruppdrag aaa och bbb. SAML-biljett erhålles med det valda commissionHsaId. |
employeeHsaId: 999 | Inloggningen misslyckas, inget giltigt tjänste-id hittas. |
| organizationIdentifier: 12345 | Användarinteraktion krävs, användaren presenteras med medarbetaruppdrags-väljaren och får välja bland medarbetaruppdrag aaa, bbb och ccc. SAML-biljett erhålles med det valda commissionHsaId. |
employeeHsaId: 222 organizationIdentifier: 12345 | Ingen användarinteraktion krävs. SAML-biljett erhålles med commissionHsaId ccc. |
| personalIdentityNumber: 19121212-1212 | Användarinteraktion krävs, användaren presenteras med medarbetaruppdrags-väljaren och får välja bland medarbetaruppdrag aaa, bbb, ccc, ddd. SAML-biljett erhålles med det valda commissionHsaId. |
Exempel där SP begär attribut som erhålles via SITHS eID (ex. urn:credential:personalIdentityNumber)
| Inmatning till förval | Resultat |
|---|---|
| personalIdentityNumber: 19121212-1212 | Ingen användarinteraktion krävs. SAML-biljett erhålles med personalIdentityNumber 19121212-1212. |
| personalIdentityNumber: 19000101-0001 | Inloggningen misslyckas, personnummer matchar inte identiteten. |
| Inmatning till förval | Resultat |
|---|---|
| personalIdentityNumber: 19121212-1212 | Ingen användarinteraktion krävs. SAML-biljett erhålles med personalIdentityNumber 19121212-1212. |
| personalIdentityNumber: 19000101-0001 | Inloggningen misslyckas, personnummer matchar inte identiteten. |
Förval av principalen i praktiken
I exemplet nedan förväntas användaren bli inloggad med personnummer 194211196979, tjänste-id:t TSTNMT2321000156-10NG för organisationen med organisationsnumret 232100-0214.
| Kodblock | ||||||
|---|---|---|---|---|---|---|
| ||||||
<saml2p:AuthnRequest xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
Destination="https://idp.dev.inera.test:8443/saml/sso/HTTP-POST"
ForceAuthn="false"
ID="a4c722ff-4a14-4719-9c11-a36a47c00139"
IsPassive="false"
IssueInstant="2023-10-19T08:50:52.279Z"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Version="2.0">
<saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">https://sp.dev.inera.test:8881</saml2:Issuer>
<saml2p:Extensions>
<psc:PrincipalSelection xmlns:psc="http://id.swedenconnect.se/authn/1.0/principal-selection/ns">
<psc:MatchValue Name="http://sambi.se/attributes/1/personalIdentityNumber" xmlns:psc="http://id.swedenconnect.se/authn/1.0/principal-selection/ns">194211196979</psc:MatchValue>
<psc:MatchValue Name="urn:orgAffiliation" xmlns:psc="http://id.swedenconnect.se/authn/1.0/principal-selection/ns">SE2321000040-4C08@2321000040</psc:MatchValue>
</psc:PrincipalSelection>
</saml2p:Extensions>
</saml2p:AuthnRequest> |