Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC.
...
Version | Datum | Författare | Kommentar |
---|---|---|---|
0.8 |
| Upprättad | |
1.0 |
| Former user (Deleted) | Fastställd |
1.1 | Kompletterat standard claims listan med at_hash | ||
1.2 |
| Uppdaterat med nya attribut i IdP 2.0 | |
1.3 |
| Information om datakällor och användarval |
Innehållsförteckning | ||
---|---|---|
|
...
Grundflöde för att begära attribut
- Vilka attribut en SP/RP maximalt får begära registreras i IdP vid anslutning av SP/RP, och bestäms utifrån vilka attribut som begärts i förstudien för anslutning.
- För SAML så anges attributen i SP-metadata, i ett eller flera
<AttributeConsumingService>
-element innehållandes önskad uppsättning attribut. - För OIDC så registreras tillåtna attribut manuellt av IdP-administratör i samband med registrering av RP.
- För SAML så anges attributen i SP-metadata, i ett eller flera
- Vid autentiseringsbegäran så anger SP/RP vilka attribut som efterfrågas.
- För SAML anges vilken kollektion av attribut (vilken
<AttributeConsumingService>
) som skall användas. - För OIDC så anges direkt i anropet vilka attribut som önskas.
- För SAML anges vilken kollektion av attribut (vilken
Se Attributstyrning SAML respektive Attributstyrning OIDC för mer detaljerad information om hur attributbegäran sker i respektive protokoll samt FAQ - IdP för hur kontroll kan göras av hur befintlig SP/RP begäran ser ut.
Datakällor
Autentiserings- och användarattribut som IdP levererar härstammar från en handfull olika datakällor.
...
- SP/RP har begärt HSA-attribut (på personpost- eller uppdragsnivå) ,OCH
- användaren autentiserar sig med en id-bärare som har användarens hens personnummer som identifierare , och OCH
- användaren har multipla personposter i HSA.
...
- SP/RP har begärt HSA-attribut på uppdragsnivå , ochOCH
- användaren har multipla uppdrag i HSA.
...
Tabellen nedan listar alla valbara attribut, vad de heter i definierade för SAML respektive OIDC, huruvida de är multivärda eller inte, vilken datakälla de kommer ifrån, samt huruvida de kan leda till ett användarval eller inteej.
Expandera | ||||
---|---|---|---|---|
|
...
|
...
|
Default attribut/claims
Dessa Nedanstående attribut/claims (element inom SAML) är den en del av standarden standarderna (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.
Expandera | |||||
---|---|---|---|---|---|
|
...
|
...
|
OIDC Scopes
Detta är de scope som definierats i OIDC standard eller av Inera.
Scope | Claims |
---|---|
openid (OIDC standard) | sub, iss, aud, exp, iat, amr, acr, auth_time, jti, at_hash |
authorization_scope | authorizationScope |
personal_identity_number | personalIdentityNumber |
commission | Alla resterande attribut (d.v.s. claims som inte ingår i något annat scope) |
...
Attributbeskrivningar
Se https://www.sambi.se/attributes/1/ för mer information om SAMBI attribut.
Exempel
SAML AttributeStatement
...
Expandera |
---|
urn:sambi:names:attribute:authnMethodAnger identifikationsmetod. Möjliga värden:
Källa: IdP urn:sambi:names:attribute:levelOfAssuranceAnger tillitsnivå (LoA) för den identitetsbärare som använts för användaridentifiering. Bestäms utifrån vilket e-id som används för autentisering. Se Tillitsnivå (LoA) för information om hur IdP tolkar LoA-nivåer. Möjliga värden:
Källa: IdP, utifrån certifikatsinformation. http://www.w3.org/2000/09/xmldsig#X509SubjectNameAnger certifikatets subject (DN) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen. Källa: Subject ifrån certifikatet som användes vid autentiseringen. http://www.w3.org/2000/09/xmldsig#X509IssuerNameAnger utfärdare av certifikatet (t.ex SITHS / Efos) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen. Källa: Issuer ifrån certifikatet som användes vid autentiseringen. Utfasat namn: urn:sambi:names:attribute:x509IssuerName urn:credential:givenNameAnger förnamn Källa: Hämtas från användarens e-id. urn:credential:surnameAnger efternamn Källa: Hämtas från användarens e-id. urn:credential:personalIdentityNumberPersonnummer eller HSA-id för användaren. Källa: SERIALNUMBER i Subject från användarcertifikatet. urn:credential:displayNameurn:credential:givenName + urn:credential:surname Källa: Hämtas från användarens e-id. urn:credential:organizationNameAnger organisationsnamn för e-id:t. Källa: Hämtas från användarens e-id. urn:credential:certificatePoliciesAnger certifikats policies. Källa: Hämtas från användarens e-id. urn:allCommissionsAnvändarens samtliga medarbetaruppdrag Källa: Katalogtjänst HSA urn:allEmployeeHsaIdsAnvändarens samtliga HSA-identiteter Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionHsaIdHSA-identitet för valt medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionNameNamn på valt medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionPurposeSyfte med aktuell medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionRightRättigheter för aktuell medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/employeeHsaIdAnvändarens HSA-ID. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/givenNameAnvändarens förnamn. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/surnameAnvändarens mellan- och efternamn. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/groupPrescriptionCodeGruppförskrivarkoder för specificerad person. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProfessionalLicenseTvåställig kod enligt Socialstyrelsens HOSP register. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumberUnik identitet (löpnummer) för en person i HOSP. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProfessionalLicenceSpecialitySpecialistkompetens för läkare eller tandläkare baserat på utfärdat specialistbevis. Notera att specialistkompetens hanteras i flera kodverk (per 2018-06-01 sex stycken) och att koderna kan vara både två-, fyr- och femställiga. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProviderHsaIdHSA-identitet på den vårdgivare aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProviderIdVårdgivarens organisationsnummer. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProviderNameNamn på den vårdgivare aktuellt uppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareUnitHsaIdHSA-identitet på den vårdenhet aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareUnitNameNamn på den vårdenhet aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/mailIndividens e-postadress. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/mobileTelephoneNumberIndividens mobilnummer. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/occupationalCodeYrkeskategorier för personal inom vård – och omsorg. Attributet kompletterar healthcareProfessionalLicense, där det senare endast omfattar legitimerade yrken inom Hälso – och sjukvård Källa: Katalogtjänst HSA http://sambi.se/attributes/1/organizationIdentifierOrganisationsnummer för den organisation aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/organizationNameNamn på den organisation aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/paTitleCodePersonens befattningskoder. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/personalIdentityNumberIndividens personnummer eller samordningsnummer enligt SKV 704 resp. SKV 707. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/personalPrescriptionCodeFörskrivarkod för specificerad person. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/pharmacyIdentifierUnik identifiering av öppenvårdsapotek. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/systemRoleSystemroller kopplade till specificerad användare. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/telephoneNumberIndividens telefonnummer. Källa: Katalogtjänst HSA authorizationScopeIndividens administrativa uppdrag. Erhålls enbart genom OIDC. Källa: Katalogtjänst HSA nameIndividens namn sammansatt av given_name (http://sambi.se/attributes/1/givenName) och family_name (http://sambi.se/attributes/1/surname). Erhålls enbart genom OIDC. Källa: Katalogtjänst HSA |
Exempel
SAML AttributeStatement
Expandera | |||||||
---|---|---|---|---|---|---|---|
|
OIDC ID Token
Expandera | |||||||
---|---|---|---|---|---|---|---|
|