Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC.
...
Version | Datum | Författare | Kommentar |
---|---|---|---|
0.8 |
| Upprättad | |
1.0 |
| Former user (Deleted) | Fastställd |
1.1 | Kompletterat standard claims listan med at_hash | ||
1.2 |
| Uppdaterat med nya attribut i IdP 2.0 |
Innehållsförteckning | ||
---|---|---|
|
Sammanställning och mappning
Valbara attribut/claims
SAML Attributnamn
i IdP 2.0 | |||
1.3 |
| Information om datakällor och användarval |
Innehållsförteckning | ||
---|---|---|
|
Introduktion
IdP tillhandahåller identifierande och behörighetsstyrande användarattribut till anslutna SP/RP.
Grundflöde för att begära attribut
- Vilka attribut en SP/RP maximalt får begära registreras i IdP vid anslutning av SP/RP, och bestäms utifrån vilka attribut som begärts i förstudien för anslutning.
- För SAML så anges attributen i SP-metadata, i ett eller flera
<AttributeConsumingService>
-element innehållandes önskad uppsättning attribut. - För OIDC så registreras tillåtna attribut manuellt av IdP-administratör i samband med registrering av RP.
- För SAML så anges attributen i SP-metadata, i ett eller flera
- Vid autentiseringsbegäran så anger SP/RP vilka attribut som efterfrågas.
- För SAML anges vilken kollektion av attribut (vilken
<AttributeConsumingService>
) som skall användas. - För OIDC så anges direkt i anropet vilka attribut som önskas.
- För SAML anges vilken kollektion av attribut (vilken
Se Attributstyrning SAML respektive Attributstyrning OIDC för mer detaljerad information om hur attributbegäran sker i respektive protokoll samt FAQ - IdP för hur kontroll kan göras av hur befintlig SP/RP begäran ser ut.
Datakällor
Autentiserings- och användarattribut som IdP levererar härstammar från en handfull olika datakällor.
Autentiseringsmetadata
Dessa attribut innefattar information om själva autentiseringen, t.ex. tidpunkt för autentisering, utfärdande entitet, osv.
Användarcertifikat
Dessa attributvärden hämtas direkt från användarens certifikat.
HSA
HSA innehåller information om vårdpersonal och deras behörigheter.
Strukturen grovt är att en fysisk person (identifierad med personnummer) har en eller flera personposter i HSA (identifierade med employeeHsaId) som i sin tur kan ha ett eller flera medarbetaruppdrag kopplade till sig (identifierade med commissionHsaId).
- Fysisk person (personnummer)
- Personpost1 i HSA (employeeHsaId)
- uppdrag1 (commissionHsaId)
- uppdrag2
- Personpost2
- uppdrag3
- uppdrag4
- Personpost1 i HSA (employeeHsaId)
HSA-attribut som IdP levererar kan härstamma från antingen personpost-nivån eller från uppdragsnivån.
Användarnas id-bärare har antingen personnummer eller employeeHsaId ( = personHsaId i HSA-katalogen) som identifierare. Beroende på vilken id-bärare som används vid autentisering så kommer alltså personpost redan vara förvalt eller inte.
Användarval i autentiseringsflödet
Användarval av Personpost
Användaren kommer att ställas inför ett val av personpost om:
- SP/RP har begärt HSA-attribut (på personpost- eller uppdragsnivå) OCH
- användaren autentiserar sig med en id-bärare som har hens personnummer som identifierare OCH
- användaren har multipla personposter i HSA.
Användarval av medarbetaruppdrag
Användaren kommer att ställas inför ett uppdragsval om:
- SP/RP har begärt HSA-attribut på uppdragsnivå OCH
- användaren har multipla uppdrag i HSA.
Sammanställning och mappning
Valbara attribut/claims
Tabellen nedan listar alla valbara attribut, definierade för SAML respektive OIDC, huruvida de är multivärda eller inte, vilken datakälla de kommer ifrån, samt huruvida de kan leda till ett användarval eller ej.
Expandera | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
|
...
|
...
|
...
|
...
|
...
|
...
|
...
|
...
|
...
|
...
|
...
|
...
|
Default attribut/claims
Dessa Nedanstående attribut/claims (element inom SAML) är den en del av standarden standarderna (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.
Expandera | ||
---|---|---|
|
...
|
...
|
...
|
...
|
OIDC Scopes
Detta är de scope som definierats i OIDC standard eller av Inera.
Scope | Claims |
---|---|
openid (OIDC standard) | sub, iss, aud, exp, iat, amr, acr, auth_time, jti, at_hash |
authorization_scope | authorizationScope |
personal_identity_number | personalIdentityNumber |
commission | Alla resterande attribut (d.v.s. claims som inte ingår i något annat scope) |
...
Attributbeskrivningar
Se https://www.sambi.se/attributes/1/ för mer information om SAMBI attribut.
Expandera |
---|
urn:sambi:names:attribute:authnMethodAnger identifikationsmetod. Möjliga värden:
Källa: IdP urn:sambi:names:attribute:levelOfAssuranceAnger tillitsnivå (LoA) för den |
...
identitetsbärare som använts för användaridentifiering. Bestäms utifrån vilket e-id som används för autentisering. |
...
Se Tillitsnivå (LoA) för information om hur IdP tolkar LoA-nivåer. Möjliga värden:
Källa: IdP, utifrån certifikatsinformation. http://www.w3.org/2000/09/xmldsig#X509SubjectNameAnger certifikatets subject (DN) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen. Källa: Subject ifrån certifikatet som användes vid autentiseringen. http://www.w3.org/2000/09/xmldsig#X509IssuerNameAnger utfärdare av certifikatet (t.ex SITHS / Efos) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen. Källa: Issuer ifrån certifikatet som användes vid autentiseringen. Utfasat namn: urn:sambi:names:attribute:x509IssuerName urn:credential:givenNameAnger förnamn Källa: Hämtas från användarens e-id. urn:credential:surnameAnger efternamn Källa: Hämtas från användarens e-id. urn:credential:personalIdentityNumberPersonnummer eller HSA-id för användaren. Källa: SERIALNUMBER i Subject från användarcertifikatet. urn:credential:displayNameurn:credential:givenName + urn:credential:surname Källa: Hämtas från användarens e-id. urn:credential:organizationNameAnger organisationsnamn för e-id:t. Källa: Hämtas från användarens e-id. urn:credential:certificatePoliciesAnger certifikats policies. Källa: Hämtas från användarens e-id. urn:allCommissionsAnvändarens samtliga medarbetaruppdrag Källa: Katalogtjänst HSA urn:allEmployeeHsaIdsAnvändarens samtliga HSA-identiteter Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionHsaIdHSA-identitet för valt medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionNameNamn på valt medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionPurposeSyfte med aktuell medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionRightRättigheter för aktuell medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/employeeHsaIdAnvändarens HSA-ID. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/givenNameAnvändarens förnamn. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/surnameAnvändarens mellan- och efternamn. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/groupPrescriptionCodeGruppförskrivarkoder för specificerad person. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProfessionalLicenseTvåställig kod enligt Socialstyrelsens HOSP register. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumberUnik identitet (löpnummer) för en person i HOSP. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProfessionalLicenceSpecialitySpecialistkompetens för läkare eller tandläkare baserat på utfärdat specialistbevis. Notera att specialistkompetens hanteras i flera kodverk (per 2018-06-01 sex stycken) och att koderna kan vara både två-, fyr- och femställiga. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProviderHsaIdHSA-identitet på den vårdgivare aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProviderIdVårdgivarens organisationsnummer. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProviderNameNamn på den vårdgivare aktuellt uppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareUnitHsaIdHSA-identitet på den vårdenhet aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareUnitNameNamn på den vårdenhet aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/mailIndividens e-postadress. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/mobileTelephoneNumberIndividens mobilnummer. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/occupationalCodeYrkeskategorier för personal inom vård – och omsorg. Attributet kompletterar healthcareProfessionalLicense, där det senare endast omfattar legitimerade yrken inom Hälso – och sjukvård Källa: Katalogtjänst HSA http://sambi.se/attributes/1/organizationIdentifierOrganisationsnummer för den organisation aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA |
...
commission.healthCareProviderOrgNo http://sambi.se/attributes/1/organizationNameNamn på den organisation aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA |
...
commission.healthCareProviderName http://sambi.se/attributes/1/paTitleCodePersonens befattningskoder. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/personalIdentityNumberIndividens personnummer eller samordningsnummer enligt SKV 704 resp. SKV 707. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/personalPrescriptionCodeFörskrivarkod för specificerad person. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/pharmacyIdentifierUnik identifiering av öppenvårdsapotek. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/systemRoleSystemroller kopplade till specificerad användare. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/telephoneNumberIndividens telefonnummer. Källa: Katalogtjänst HSA authorizationScopeIndividens administrativa uppdrag. Erhålls enbart genom OIDC. Källa: Katalogtjänst HSA nameIndividens namn sammansatt av given_name (http://sambi.se/attributes/1/givenName) och family_name (http://sambi.se/attributes/1/surname). Erhålls enbart genom OIDC. Källa: Katalogtjänst HSA |
Exempel
SAML AttributeStatement
Expandera | |||||||
---|---|---|---|---|---|---|---|
|
OIDC ID Token
Expandera | |||||||
---|---|---|---|---|---|---|---|
|