Sammanfattning

Vid klientregistrering anges vilka attribut (claims) som skall finnas tillgängliga för klienten vid en autentiseringsbegäran.

Vid autentiseringsbegäran anges vilka attribut (claims) som efterfrågas, och huruvida de är tvingande (essential) eller inte.

Tillgängliga claims och scopes

• Claim = attribut
• Scope = en samling av claims

Attributlistan visar vilka claims och scopes som kan levereras av IdP. Notera att varje claim ingår i ett scope.

Klientregistrering

Vid klientregistrering anges vilka claims som är godkända för IdP att släppa ifrån sig till klienten.

Scopet "openid" och de claims som ingår däri är obligatoriska och behöver inte specificeras. Övriga tillåtna attribut kan anges ett och ett som claims eller gruppvis som scopes. Vid registreringen sparas allting som enskilda claims oavsett.

Autentiseringsbegäran

Autentiseringsbegäran måste specificera vilka attribut som skall returneras efter en lyckad autentisering.

Attributbegäran görs via två parametrar i autentiseringsbegäran: scope och/eller claims.

• Begärda claims eller scopes som inte finns definierade i attributlistan ignoreras av IdP.
  
• Det gör ingen skillnad huruvida ett attribut ingår i ett begärt scope eller om det begärs individuellt i claims-parametern, eller i både och. Dock går det i claims-parametern att specificera ytterligare villkor för det begärda attributet (se claims-avsnittet nedan).
• De begärda attributen filtreras och IdP returnerar endast de begärda attribut som är godkända i klientregistreringen enligt ovan.

scope

https://openid.net/specs/openid-connect-core-1_0.html#ScopeClaims

Det obligatoriska "openid"-scopet i autentiseringsbegäran kan kompletteras med ytterligare scopes.

scope = openid commission authorization_scope personal_identity_number

De claims som ingår i begärda scopes levereras i id-token i autentiseringssvaret.

claims

https://openid.net/specs/openid-connect-core-1_0.html#ClaimsParameter

• Begärs ett och ett.
• Anges separat huruvida attributet skall returneras i svarets id-token och/eller levereras från UserInfo-endpointen.
• Kan markeras som essential, d.v.s. tvingande.
  • Motsvarar fältet "isRequired" i SAML
  • Om attributet är flaggat som essential på minst en av userinfo och id_token, och IdP inte kan leverera attributet som begärt så kommer inloggningen att misslyckas.

claims = {
	"userinfo" : {
		"given_name" : null,
		"mobileTelephoneNumber" : {
			"essential" : true
		},
		"healthCareUnitName" : {
			"essential" : true
		},
		"commissionRight" : null
	},
	"id_token" : {
		"healthCareUnitHsaId" : {
			"essential" : true
		},
		"healthCareUnitName" : null
	}
}
 

Filtrering av authorization_scope

• Styrning av vilka authorization_scope som returneras görs genom att skicka med en value-parameter (om det är ett ensamt godkänt värde) eller values-parameter (med en array av godkända värden) under authorizationScope i claims-parametern. Värdet jämförs med underattributet authorizationScopeCode och icke-matchande resultat filtreras bort. Detta kan användas tillsammans med essential-flaggan för att direkt kräva att en användare har en roll inom rätt behörighetsområde för att få utföra en inloggning.

"authorizationScope" : [{
            "authorizationScopePropertyName" : "Tjänstesupport",
            "authorizationScopeName" : "Säkerhetstjänster",
            "authorizationScopeCode" : "BIF",
            "authorizationScopePropertyCode" : "BIF;002",
            "authorizationScopeDescription" : "HSA Domain description",
            "authorizationScopePropertyDescription" : "Tjänstesupport Beskrivning",
            "adminCommissions" : [{
                    "adminCommissionHsaId" : "SE1804231406",
                    "sector" : [{
                            "sectorFlag" : true,
                            "name" : "SE111-JLL",
                            "unitHsaId" : "SE111-JLL"
                        },{
                            "sectorFlag" : false,
                            "name" : "SE111-IVA-NAME",
                            "unitHsaId" : "SE111-IVA"
                        }
                    ],
                    "adminCommissionResponsibleOrganisation" : "232100-0214"
                }
            ]

claims = {
	"id_token" : {
		"acr" : {
			"value" : "http://id.sambi.se/loa/loa3",
			"essential" : true
		}
	}
}

claims = {
	"userinfo" : {
		"authorizationScope" : {
			"value" : "BIF",
			"essential" : true
		}
	},
	"id_token" : {
		"authorizationScope" : {
			"value" : "BIF",
			"essential" : true
		}
	}
}

claims = {
	"userinfo" : {
		"authorizationScope" : {
			"values" : ["SYS1", "SYS2"]
		}
	},
	"id_token" : {
		"authorizationScope" : {
			"values" : ["SYS1", "SYS2"]
		}
	}
}

Autentiseringsmetod

I fallet att ett anslutande system har flera autentiseringsmetoder påslagen går det att förvälja autentiseringsmetoden för en enskild inloggning. Mer specifikt så styrs detta med hjälp av attributet authenticationMethod där det går att ange tre olika värden:

• SITHS_EID_SAME_DEVICE (SITHS eID på denna enhet)
• SITHS_EID_OTHER_DEVICE (SITHS eID på annan enhet)
• MTLS (Net iD Enterprise)

Dock så går det inte att välja en autentiseringsmetod med hjälp av authenticationMethod om inte den autentiseringsmetoden är påslagen för det anslutande systemet. Om ett sådant försök görs misslyckas inloggningen.

IdP kommer endast ta hänsyn till det inskickade värdet för attributet authenticationMethod om er anslutning tillåts begära attributet. Om ni har för avsikt att förvälja autentiseringsmetod med den här mekanismen behöver ni alltså ange att ni begär authenticationMethod som del av er förstudie.

claims = {
	"id_token" : {
		"authenticationMethod" : {
			"value":"SITHS_EID_SAME_DEVICE"
		}
	}
}

Samtliga uppdragsval som claim

Om man vill undvika uppdragsval i de fall som en användare har flera uppdrag och man vill ha all uppdragsinformation så ska man begära attributet allCommissions. Detta kan vara användbart i situationer då SP:n vill ha användarens fullständiga behörighet.

Observera dock att SP:n fortfarande kan begära andra attribut som triggar ett uppdragsval som måste göras i IdP:n. Ett sådant exempel är ifall SP:n begär allCommissions samt commissionPurpose. I det fallet måste uppdragsvalet göras men SP:n kommer ändå få listan på samtliga uppdragsval tillbaka efter lyckad autentisering.

claims = {
	"id_token" : {
		"allCommissions" : {
			"essential" : true
		}
	}
}

 Samtliga HSA ID:n som claim

Om man vill undvika uppdragsval i de fall som en användare har flera HSA ID:n och/eller flera uppdrag och man bara vill ha ett HSA ID:n kan man begära attributet allEmployeeHsaIds. Då returneras en lista av HSA ID:n och SP:n kan då välja ett av dessa, t ex via en användardialog.

claims = {
	"id_token" : {
		"allEmployeeHsaIds" : {
			"essential" : true
		}
	}
}

Förval av principalen

Ankare
principal-selection principal-selection

Som RP finns möjligheten att på förhand ange information om användaren som inloggningen ska slutföras med. IdP stödjer idag förval av personnummer, tjänste-id, organisations-id, organisationsnummer, organisationstillhörighet eller medarbetaruppdrags-id och skickas in som value värde i de respektive claimsclaim. Dess värden kan användas enskilt men också kombineras med varandra. IdP ser de tillhandahållna uppgifter som tvingande uppgifter som måste uppfyllas för att slutföra inloggningen. Vidare så gäller att ifall flera av dessa principal-fält specifierats måste samtliga uppfyllas, det räcker alltså inte ifall bara något eller några av principal-värden matchar. Skulle det visa sig att användarens uppgifter inte stämmer överens med det som skickats via de claims kommer inloggningen markeras som misslyckad.

Under filtreringen försöker IdP:n göra ett val automatiskt baserad på den informationen som tagits emot i claimsbegäran. Om det är möjligt kan alltså exempelvis ett specifikt tjänste-id pekas ut och användaren slipper göra ett aktivt val i IdP:n. Om den angivna informationen inte är tillräckligt precis för att göra ett automatiskt val kommer användaren presenteras med tjänste-id-, organisations- eller medarbetaruppdragsväljaren i IdP:ns publika gränssnitt. I väljaren presenteras endast alternativen som på förhand har filtrerats med hjälp av de inskickade claimsvärden.

Claims som används i syfte att kunna förvälja principalen ändrar inte beteendet även om claimet har markerats med essential-flaggan. Detta för att förenkla logiken och få ett konsistent beteende för hur förvalet fungerar. Oavsett om "true" eller "false" skickats in under "essential" kommer inloggningen misslyckas om inte IdP hittar matchande uppgifter om identiteten, organisationstillhörigheten eller medarbetaruppdragen.

Värt att notera är att claims som används för förvalet av principalen samtidigt också blir del av del claims som RP:n får som svar i sina OIDC tokens. För OIDC finns det alltså en hård koppling mellan förvalet och de claims som den slutförda inloggningen kommer resultera i. Ett vidare krav för att ett claim ska kunna användas för förvalet av principalen är att RP:n har tillstånd att få ut det aktuella attributet från IdP. Skulle RP:n skicka in ett claim med ett värde men där RP:n inte har tillstånd att få ut det claimet kommer IdP sålla bort och ingen filtrering eller förval kommer ske som tar hänsyn till det specifika claimet.

• Exempel där filtrering/förval kommer genomföras: RP har tillstånd hos IdP att begära employeeHsaId och commissionHsaId. RP skickar in ett claimvärde för både employeeHsaId och commissionHsaId. IdP använder värdet av både employeeHsaId och commissionHsaId som underlag till förvalet av principalen.
  
• Exempel där filtrering/förval delvis kommer genomföras: RP har tillstånd hos IdP att begära employeeHsaId. RP skickar in ett claimvärde för både employeeHsaId och commissionHsaId. IdP använder värdet av employeeHsaId som underlag till förvalet av principalen.
• Exempel där ingen filtrering/förval kommer genomföras: RP har tillstånd hos IdP att begära employeeHsaId. RP skickar in ett claimvärde för commissionHsaId. IdP använder inget värde som underlag till förvalet av principalen.

Claims

De värden som avläses i IdP:n för förval av principalen är:

Exempel på användningsfall

Låt oss anta att användaren har en uppsättning i HSA som grovt förenklat ser ut som strukturen nedan. Vi antar också att användaren använder sitt eget SITHS eID med personnummret som finns speficierat nedan.

För att hålla exemplen enkla används enbart employeeHsaId, commissionHsaId, organizationIdentifier och personalIdentityNumber som de claims som begärs av RP:n. Exemplen i tabellen är bara ett litet urval av möjliga scenarion och täcker inte alla användningsfall eller kombinationer.

• Person: 19121212-1212
  • Tjänste-id: employeeHsaId 111
    • Organizationstillhörighet 1: organizationHsaId: abc123, organisationsnummer: 12345
    • Organisationstillhörighet 2: organizationHsaId: def456, organisationsnummer: 45678
    • Medarbetaruppdrag 1: commissionHsaId aaa, organisationsnummer 12345
    • Medarbetaruppdrag 2: commissionHsaId bbb, organisationsnummer 12345
  • Tjänste-id: employeeHsaId 222
    • Organizationstillhörighet 1: organizationHsaId: abc123, organisationsnummer: 12345
    • Medarbetaruppdrag 1: commissionHsaId ccc, organisationsnummer 12345
  • Tjänste-id: employeeHsaId 333
    • Organizationstillhörighet 1: organizationHsaId: ghi789, organisationsnummer: 67890
    • Medarbetaruppdrag: commissionHsaId ddd, organisationsnummer 67890
  • Tjänste-id: employeeHsaId 444 (saknar medarbetaruppdrag)
  expand
  • • • Organizationstillhörighet 1: organizationHsaId: jkl012, organisationsnummer: 78901

  
  

  Expandera
  title Exempel då RP har tillstånd att endast begära employeeHsaId
  Partiell med hjälp av endast employeeHsaId. organizationIdentifier Ingen användarinteraktion krävs. samt employeeHsaId 111personalIdentityNumber 19000101-0001 personalIdentityNumber Inmatning i claimsbegäran Resultat employeeHsaId: 111 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 111. employeeHsaId: 444 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 444. employeeHsaId: 999 Inloggningen misslyckas, inget giltigt tjänste-id hittas. commissionHsaId: bbb Ingen filtrering utförs. RP har inte tillstånd att begära commissionHsaId. OIDC tokens erhålles med claims från scopet openid. commissionHsaId: zzz Ingen filtrering utförs, RP har inte tillstånd att begära commissionHsaId. OIDC tokens erhålles med claims från scopet openid. employeeHsaId: 111 organisationIdentifier: 12345 Ingen filtrering utförs , RP har inte tillstånd att begära organisationIdentifier. OIDC tokens erhålles med claims från scopet openid . organizationHsaId: abc123 Ingen filtrering utförs, RP har inte tillstånd att begära organizationHsaId. OIDC tokens erhålles med claims från scopet openid.
  Expandera
  title Exempel då RP har tillstånd att endast begära commissionHsaId
  Ingen filtrering utförs zzz employeeHsaIdIngen filtrering utförs. Inmatning i claimsbegäran Resultat commissionHsaId: ccc Ingen användarinteraktion employeeHsaId: 111 organisationIdentifier: 12345 Partiell filtrering utförs med hjälp av endast employeeHsaId. RP har inte tillstånd att begära organizationIdentifier. Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt commissionHsaId cccemployeeHsaId 111.commissionHsaId employeeHsaId: 111 employeeHsaId: Inloggningen misslyckas, inget medarbetaruppdrag hittas. 111 organizationHsaId: abc123 Partiell filtrering utförs med hjälp av endast employeeHsaId. RP har inte tillstånd att begära organizationHsaId. Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 111. employeeHsaIdpersonalIdentityNumber: 444 19000101-0001 Ingen filtrering utförs. , RP har inte tillstånd att begära employeeHsaIdpersonalIdentityNumber. OIDC tokens erhålles med claims från scopet openid. employeeHsaId: 999

  
  

  inte begära employeeHsaIdExempel då endast begära organizationIdentifier

  Expandera
  title Exempel då RP har	tillstånd att	endast begära commissionHsaId
  title	Inmatning i claimsbegäran Resultat commissionHsaId: ccc Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt commissionHsaId ccc. commissionHsaId: aaa organizationIdentifier: 12345 Partiell filtrering utförs med hjälp av endast commissionHsaIdzzz Inloggningen misslyckas, inget medarbetaruppdrag hittas. employeeHsaId: 111 Ingen filtrering utförs. RP har inte tillstånd att begära organizationIdentifier. Ingen användarinteraktion krävsemployeeHsaId. OIDC tokens erhålles med claims från scopet openid samt commissionHsaId aaa. employeeHsaId: 222 444 organizationIdentifier: 12345 Ingen filtrering utförs, . RP har inte tillstånd att begära varken employeeHsaId eller organizationIdentifier. OIDC tokens erhålles med claims från scopet openid. personalIdentityNumber employeeHsaId: 19121212-1212 999 Ingen filtrering utförs, . RP har inte tillstånd att begära personalIdentityNumberemployeeHsaId. OIDC tokens erhålles med claims från scopet openid.
  Expandera
  organisationIdentifier: 12345 Ingen filtrering utförs, RP har inte tillstånd att	Ingen användarinteraktion krävs samt organizationIdentifier 67890organizationIdentifierAnvändarinteraktion krävs. Användaren får välja bland medarbetaruppdragen aaa, bbb och ccc som har organizationIdentifier 12345 12345 samt organizationIdentifier 12345Ingen filtrering utförs employeeHsaId Inmatning i claimsbegäran Resultat organizationIdentifier: 67890 begära organisationIdentifier. OIDC tokens erhålles med claims från scopet openid . organizationHsaId: abc123 Ingen filtrering utförs, RP har inte tillstånd att begära organizationHsaId. OIDC tokens erhålles med claims från scopet openid . employeeHsaIdcommissionHsaId: 111Ingen aaa organizationIdentifier: 12345 Partiell filtrering utförs med hjälp av endast commissionHsaId. RP har inte tillstånd att begära employeeHsaIdorganizationIdentifier. Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt commissionHsaId aaa. employeeHsaId: 444 commissionHsaId: aaa organizationHsaId: abc123 Partiell filtrering utförs med hjälp av endast commissionHsaId. RP har inte tillstånd att begära organizationHsaId. Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt commissionHsaId aaa. employeeHsaId: 222 organizationIdentifier: 999 12345 Ingen filtrering utförs. , RP har inte tillstånd att begära varken employeeHsaId eller organizationIdentifier. OIDC tokens erhålles med claims från scopet openid.commissionHsaId personalIdentityNumber: aaa organizationIdentifier: 12345 Partiell filtrering utförs med hjälp av endast organizationIdentifier. RP har inte tillstånd att begära commissionHsaId. 19121212-1212 Ingen filtrering utförs, RP har inte tillstånd att begära personalIdentityNumber. OIDC tokens erhålles med claims från scopet openid.

  
  

  Exempel då och organizationIdentifier

  Expandera
  title Exempel då RP har tillstånd att endast begära organizationIdentifier
  title	Inmatning i claimsbegäran Resultat organizationIdentifier: 67890 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt organizationIdentifier 67890. organizationIdentifier: 12345 Användarinteraktion krävs. Användaren får välja bland medarbetaruppdragen aaa, bbb och ccc som har organizationIdentifier 12345. OIDC tokens erhålles med claims från scopet openid samt organizationIdentifier 12345. employeeHsaId: 222 111 commissionHsaId: ccc Ingen filtrering utförs, . RP har inte tillstånd att begära varken employeeHsaId eller commissionHsaId. OIDC tokens erhålles med claims från scopet openid. personalIdentityNumber employeeHsaId: 19121212-1212 444 Ingen filtrering utförs, . RP har inte tillstånd att begära personalIdentityNumberemployeeHsaId. OIDC tokens erhålles med claims från scopet openid.
  Expandera
  employeeHsaId: 999 Ingen filtrering utförs. RP har inte tillstånd att begära employeeHsaId	444 användarinteraktion krävs samt employeeHsaId 444employeeHsaId 999Partiell filtrering utförs med hjälp av endast employeeHsaId. 111 organizationIdentifier: 67890 . Ingen användarinteraktion krävs. Inmatning i claimsbegäran Resultat employeeHsaId: 111 Ingen användarinteraktion krävs . OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 111 . employeeHsaId commissionHsaId: bbb Ingen filtrering utförs. RP har inte tillstånd att begära commissionHsaId. OIDC tokens erhålles med claims från scopet openid . organizationIdentifier: 12345 organizationHsaId: Inloggningen misslyckas, inget giltigt tjänste-id hittas. abc123 Ingen filtrering utförs, RP har inte tillstånd att begära organizationHsaId. OIDC tokens erhålles med claims från scopet openid. commissionHsaId: aaa organizationIdentifier: 12345 Partiell filtrering utförs med hjälp av endast organizationIdentifier. RP har inte tillstånd att begära commissionHsaId. Användarinteraktion krävs. Användaren får välja bland medarbetaruppdragen aaa, bbb och ccc som har organizationIdentifier 12345. OIDC tokens erhålles med claims från scopet openid samt organizationIdentifier 12345. employeeHsaIdorganizationHsaId: 111 abc123 organizationIdentifier: 12345 Partiell filtrering utförs med hjälp av endast organizationIdentifier. RP har inte tillstånd att begära organizationHsaId. Användarinteraktion krävs. Användaren får välja bland medarbetaruppdragen aaa, bbb och bbb ccc som har organizationIdentifier 12345. OIDC tokens erhålles med claims från scopet openid samt emloyeeHsaId 111 och organizationIdentifier organizationIdentifier 12345. employeeHsaId: 111 commissionHsaId: aaa employeeHsaId: Inloggningen misslyckas. inget medarbetaruppdrag med organizationIdentifier 67890 hittas under employeeHsaId 111. employeeHsaId: 444 organizationIdentifier: 12345 Inloggningen misslyckas. inget medarbetaruppdrag med organizationIdentifier 12345 hittas under employeeHsaId 444. 222 commissionHsaId: ccc Ingen filtrering utförs, RP har inte tillstånd att begära varken employeeHsaId eller commissionHsaId . OIDC tokens erhålles med claims från scopet openid. personalIdentityNumber: 19121212-1212 Ingen filtrering utförs, RP har inte tillstånd att begära personalIdentityNumber. OIDC tokens erhålles med claims från scopet openid.

  
  

  Expandera
  title Exempel då RP har tillstånd att endast begära organizationHsaId
  Inmatning i claimsbegäran Resultat organizationHsaId: abc123 Användarinteraktion krävs. Användaren får välja bland organisationstillhörigheterna för employeeHsaId:n 111 och 222 där organizationHsaId är abc123. OIDC tokens erhålles med claims från scopet openid samt organizationHsaId abc123. organizationHsaId: def456 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt 67890. employeeHsaId: 111 Ingen filtrering utförs. RP har inte tillstånd att begära employeeHsaId. OIDC tokens erhålles med claims från scopet openid. employeeHsaId: 444 Ingen filtrering utförs. RP har inte tillstånd att begära employeeHsaId. OIDC tokens erhålles med claims från scopet openid. employeeHsaId: 999 Ingen filtrering utförs. RP har inte tillstånd att begära employeeHsaId. OIDC tokens erhålles med claims från scopet openid. commissionHsaId: bbb Ingen filtrering utförs. RP har inte tillstånd att begära commissionHsaId. OIDC tokens erhålles med claims från scopet openid. organisationIdentifier: 12345 Ingen filtrering utförs, RP har inte tillstånd att begära organisationIdentifier. OIDC tokens erhålles med claims från scopet openid. commissionHsaId: aaa organizationHsaId: abc123 Partiell filtrering utförs med hjälp av endast organizationHsaId. RP har inte tillstånd att begära commissionHsaId. Användarinteraktion krävs. Användaren får välja bland organisationstillhörigheterna för employeeHsaId:n 111 och 222 där organizationHsaId är abc123. OIDC tokens erhålles med claims från scopet openid samt organizationHsaId abc123. employeeHsaId: 222 commissionHsaId: ccc Ingen filtrering utförs, RP har inte tillstånd att begära varken employeeHsaId eller commissionHsaId. OIDC tokens erhålles med claims från scopet openid. personalIdentityNumber: 19121212-1212 Ingen filtrering utförs, RP har inte tillstånd att begära personalIdentityNumber. OIDC tokens erhålles med claims från scopet openid.

  
  

  Expandera
  title Exempel då RP har tillstånd att begära employeeHsaId och organizationIdentifier
  Inmatning i claimsbegäran Resultat employeeHsaId: 111 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 111. employeeHsaId: 444 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 444. employeeHsaId: 999 Inloggningen misslyckas, inget giltigt tjänste-id hittas. organizationIdentifier: 12345 Användarinteraktion krävs. Användaren får välja bland medarbetaruppdragen aaa, bbb och ccc som har organizationIdentifier 12345. OIDC tokens erhålles med claims från scopet openid samt organizationIdentifier 12345. organizationHsaId: abc123 Ingen filtrering utförs, RP har inte tillstånd att begära organizationHsaId. OIDC tokens erhålles med claims från scopet openid. employeeHsaId: 111 organizationIdentifier: 12345 Användarinteraktion krävs. Användaren får välja bland medarbetaruppdragen aaa och bbb som har organizationIdentifier 12345. OIDC tokens erhålles med claims från scopet openid samt emloyeeHsaId 111 och organizationIdentifier 12345. employeeHsaId: 111 organizationIdentifier: 67890 Inloggningen misslyckas. inget medarbetaruppdrag med organizationIdentifier 67890 hittas under employeeHsaId 111. employeeHsaId: 444 organizationIdentifier: 12345 Inloggningen misslyckas. inget medarbetaruppdrag med organizationIdentifier 12345 hittas under employeeHsaId 444. employeeHsaId: 111 commissionHsaId: aaa Partiell filtrering utförs med hjälp av endast employeeHsaId. RP har inte tillstånd att begära commissionHsaId. Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 111. employeeHsaId: 444 commissionHsaId: aaa Partiell filtrering utförs med hjälp av endast employeeHsaId. RP har inte tillstånd att begära commissionHsaId. Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 444. commissionHsaId: ccc Ingen filtrering utförs. RP har inte tillstånd att begära commissionHsaId. OIDC tokens erhålles med claims från scopet openid. commissionHsaId: aaa organizationIdentifier: 12345 Partiell filtrering utförs med hjälp av endast organizationIdentifier. RP har inte tillstånd att begära commissionHsaId. Användarinteraktion krävs. Användaren får välja bland medarbetaruppdragen aaa, bbb och ccc som har organizationIdentifier 12345. OIDC tokens erhålles med claims från scopet openid samt organizationIdentifier 12345. personalIdentityNumber: 19121212-1212 Ingen filtrering utförs, RP har inte tillstånd att begära personalIdentityNumber. OIDC tokens erhålles med claims från scopet openid.

  
  

  Expandera
  title Exempel då RP har tillstånd att begära employeeHsaId och organizationHsaId
  employeeHsaId 111 Inmatning i claimsbegäran Resultat employeeHsaId: 111 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 111. employeeHsaId: 444 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 444. employeeHsaId: 999 Inloggningen misslyckas, inget giltigt tjänste-id hittas. commissionHsaId: ccc Ingen filtrering utförs. RP har inte tillstånd att begära commissionHsaId. OIDC tokens erhålles med claims från scopet openid. organizationIdentifier: 12345 Ingen filtrering utförs, RP har inte tillstånd att begära organizationIdentifier. OIDC tokens erhålles med claims från scopet openid. organizationHsaId: abc123 Användarinteraktion krävs. Användaren får välja bland organisationstillhörigheterna för employeeHsaId:n 111 och 222 där organizationHsaId är abc123. OIDC tokens erhålles med claims från scopet openid samt organizationHsaId abc123. employeeHsaId: 444 111 commissionHsaIdorganizationHsaId: aaaPartiell filtrering utförs med hjälp av endast employeeHsaId. RP har inte tillstånd att begära commissionHsaId. abc123 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 444., employeeHsaId 111 och organizationHsaId abc123. employeeHsaId: 111 organizationHsaId: ghi789 Inloggningen misslyckas. Inget organizationHsaId ghi789 hittas under employeeHsaId 111. employeeHsaId: 111 commissionHsaId: ccc aaa Ingen Partiell filtrering utförs med hjälp av endast employeeHsaId. RP har inte tillstånd att begära commissionHsaId. Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt employeeHsaId 111. commissionHsaId: aaa organizationIdentifierorganizationHsaId: 12345 abc123 Partiell filtrering utförs med hjälp av endast organizationIdentifierorganizationHsaId. RP har inte tillstånd att begära commissionHsaId. Användarinteraktion krävs. Användaren får välja bland medarbetaruppdragen aaa, bbb och ccc som har organizationIdentifier 12345organisationstillhörigheterna för employeeHsaId:n 111 och 222 där organizationHsaId är abc123. OIDC tokens erhålles med claims från scopet openid samt organizationIdentifier 12345organizationHsaId abc123. personalIdentityNumber: 19121212-1212 Ingen filtrering utförs, RP har inte tillstånd att begära personalIdentityNumber. OIDC tokens erhålles med claims från scopet openid.

  
  

  Expandera
  title Exempel då RP har tillstånd att endast begära endast credentialPersonalIdentityNumber
  Inmatning i claimsbegäran Resultat credentialPersonalIdentityNumber: 19121212-1212 Ingen användarinteraktion krävs. OIDC tokens erhålles med claims från scopet openid samt credentialPersonalIdentityNumber 19121212-1212. credentialPersonalIdentityNumber: 19000101-0001 Inloggningen misslyckas, personnummer matchar inte identiteten. employeeHsaId: 111 Ingen filtrering utförs. RP har inte tillstånd att begära employeeHsaId. OIDC tokens erhålles med claims från scopet openid. commissionHsaId: aaa Ingen filtrering utförs. RP har inte tillstånd att begära commissionHsaId. OIDC tokens erhålles med claims från scopet openid. organizationHsaId: abc123 Ingen filtrering utförs, RP har inte tillstånd att begära organizationHsaId. OIDC tokens erhålles med claims från scopet openid.

  Förval av principalen i praktiken

  I exemplet nedan förväntas användaren bli inloggad med personnummer 194211196979, tjänste-id:t TSTNMT2321000156-10NG för organisationen med organisationsnumret 232100-0214.

  
  

  Kodblock
  theme Midnight title Ex: claims-begäran som filtrerar ut ett HSA-id och en organisation
  claims = { "id_token" : { "personalIdentityNumber" : { "value": "194211196979" }, "orgAffiliation": { "value": "TSTNMT2321000156-10NG@232100-0214" } } }