...
...
Expandera | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||
|
Introduktion
Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC. IdP tillhandahåller identifierande och behörighetsstyrande användarattribut till anslutna SP/RP.
...
Tabellen nedan listar alla valbara attribut, definierade för SAML respektive OIDC, huruvida de är multivärda eller inte, vilken datakälla de kommer ifrån, samt huruvida de kan leda till ett användarval eller ej.
Default attribut/claims
Nedanstående attribut/claims (element inom SAML) är en del av standarderna (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.
OIDC Scopes
Detta är de scope som definierats i OIDC standard eller av Inera.
...
- sub
- iss
- aud
- exp
- iat
- amr
- acr
- auth_time
- jti
- at_hash
...
- authorizationScope
...
- personalIdentityNumber
...
- credentialGivenName
- credentialSurname
- credentialPersonalIdentityNumber
- credentialDisplayName
- credentialOrganizationName
- credentialCertificate
- credentialCertificatePolicies
...
- allCommissions
...
- allEmployeeHsaIds
...
- authenticationMethod
...
Attributbeskrivningar
Se https://www.sambi.se/attributes/1/ för mer information om SAMBI attribut.
Exempel
SAML AttributeStatement
...
Expandera | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Default attribut/claims
Nedanstående attribut/claims (element inom SAML) är en del av standarderna (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.
Expandera | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
OIDC Scopes
Detta är de scope som definierats i OIDC standard eller av Inera.
Scope | Claims |
---|---|
openid (OIDC standard) |
|
authorization_scope |
|
personal_identity_number |
|
inera |
|
allCommissions |
|
allEmployeeHsaIds |
|
authentication_method |
|
commission | Alla resterande attribut (d.v.s. claims som inte ingår i något annat scope) |
Attributbeskrivningar
Se https://www.sambi.se/attributes/1/ för mer information om SAMBI attribut.
Expandera | ||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
urn:sambi:names:attribute:authnMethodAnger identifikationsmetod. Möjliga värden:
Källa: IdP urn:sambi:names:attribute:levelOfAssuranceAnger tillitsnivå (LoA) för den identitetsbärare som använts för användaridentifiering. Bestäms utifrån vilket e-id som används för autentisering. Se Tillitsnivå (LoA) för information om hur IdP tolkar LoA-nivåer. Möjliga värden:
Källa: IdP, utifrån certifikatsinformation. http://www.w3.org/2000/09/xmldsig#X509SubjectNameAnger certifikatets subject (DN) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen. Källa: Subject ifrån certifikatet som användes vid autentiseringen. http://www.w3.org/2000/09/xmldsig#X509IssuerNameAnger utfärdare av certifikatet (t.ex SITHS / Efos) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen. Källa: Issuer ifrån certifikatet som användes vid autentiseringen. Utfasat namn: urn:sambi:names:attribute:x509IssuerName urn:credential:givenNameAnger förnamn Källa: Hämtas från användarens e-id. urn:credential:surnameAnger efternamn Källa: Hämtas från användarens e-id. urn:credential:personalIdentityNumberPersonnummer eller HSA-id för användaren. Källa: SERIALNUMBER i Subject från användarcertifikatet. urn:credential:displayNameurn:credential:givenName + urn:credential:surname Källa: Hämtas från användarens e-id. urn:credential:organizationNameAnger organisationsnamn för e-id:t. Källa: Hämtas från användarens e-id. urn:credential:certificateBase64 string representation av användarcertifikatet. Källa: Hämtas från användarens e-id. urn:credential:certificatePoliciesAnger certifikats policies. Källa: Hämtas från användarens e-id. urn:allCommissionsAnvändarens samtliga medarbetaruppdrag med dess fullständiga behörigheter från HSA. Detta attribut är användbart i ett scenario där man vill göra ett uppdragsval på Service Providerns sida. Attributet går såklart att kombinera med andra attribut som ändå kan trigga ett uppdragsval i IdP:n. Svaret är formatterat som JSON bestående av en lista med commission-objekt. I fallet då OIDC används presenteras denna lista som en sträng bestående av JSON-objektet. Fältet employeeHsaId markerar vilket tjänste-id som varje enskilt medarbetaruppdrag är kopplat till. Källa: Katalogtjänst HSA
urn:allEmployeeHsaIdsAnvändarens samtliga HSA-identiteter från HSA. Detta attribut är användbart ifall man vill göra ett val av HSA-ID på Service Providerns sida. Både för SAML och OIDC får man svaret i form av en lista av strängar. Källa: Katalogtjänst HSA
urn:orgAffiliationAnvändarens hsaId och Organisationsnummer i formatet employeeHsaId@organizationIdentifier Källa: Katalogtjänst HSA urn:identityProviderForSignEntityId för den logiska IdP för underskrift som korresponderar mot samma inloggningsmetod som användes för inloggning. Källa: Bestäms utifrån vilken autentiseringsmetod som används vid inloggning urn:nameIndividens namn sammansatt av given_name (http://sambi.se/attributes/1/givenName) och family_name (http://sambi.se/attributes/1/surname). Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionHsaIdHSA-identitet för valt medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionNameNamn på valt medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionPurposeSyfte med aktuell medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionRightRättigheter för aktuell medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/employeeHsaIdAnvändarens HSA-ID. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/givenNameAnvändarens förnamn. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/surnameAnvändarens mellan- och efternamn. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/groupPrescriptionCodeGruppförskrivarkoder för specificerad person. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProfessionalLicenseTvåställig kod enligt Socialstyrelsens HOSP register. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumberUnik identitet (löpnummer) för en person i HOSP. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProfessionalLicenceSpecialitySpecialistkompetens för läkare eller tandläkare baserat på utfärdat specialistbevis. Notera att specialistkompetens hanteras i flera kodverk (per 2018-06-01 sex stycken) och att koderna kan vara både två-, fyr- och femställiga. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProviderHsaIdHSA-identitet på den vårdgivare aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProviderIdVårdgivarens organisationsnummer, utan bindestreck. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProviderNameNamn på den vårdgivare aktuellt uppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareUnitHsaIdHSA-identitet på den vårdenhet aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareUnitNameNamn på den vårdenhet aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/mailIndividens e-postadress. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/mobileTelephoneNumberIndividens mobilnummer. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/occupationalCodeYrkeskategorier för personal inom vård – och omsorg. Attributet kompletterar healthcareProfessionalLicense, där det senare endast omfattar legitimerade yrken inom Hälso – och sjukvård Källa: Katalogtjänst HSA http://sambi.se/attributes/1/organizationIdentifierOrganisationsnummer för den organisation aktuellt medarbetaruppdrag tillhör. Utan bindestreck. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/organizationNameNamn på den organisation aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/paTitleCodePersonens befattningskoder. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/personalIdentityNumberIndividens personnummer eller samordningsnummer enligt SKV 704 resp. SKV 707. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/personalPrescriptionCodeFörskrivarkod för specificerad person. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/pharmacyIdentifierUnik identifiering av öppenvårdsapotek. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/systemRoleSystemroller kopplade till specificerad användare. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/telephoneNumberIndividens telefonnummer. Källa: Katalogtjänst HSA urn:authorizationScopeIndividens administrativa uppdrag. Källa: Katalogtjänst HSA
urn:authenticationMethodAnger vilken inloggningsmetod som användes, samt möjliggör för RP (Relaying Party) att välja vilken autentiseringsmetod som skall användas vid autentisering. t ex SITHS_EID_SAME_DEVICE. Källa: Användarval |
Exempel
SAML AttributeStatement
Expandera | |||||||
---|---|---|---|---|---|---|---|
|
OIDC ID Token
Expandera | |||||||
---|---|---|---|---|---|---|---|
|