Jämförda versioner

Gammal version 15

changes.mady.by.user Former user (Deleted)

Sparat den

jämfört med

Ny version 16

changes.mady.by.user Former user

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.
Kommentera: smärre formattering och ordval

Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC.

...

Grundflöde för att begära attribut

  • Vilka attribut en SP/RP maximalt får begära registreras i IdP vid anslutning av SP/RP, och bestäms utifrån vilka attribut som begärts i förstudien för anslutning.
    • För SAML så anges attributen i SP-metadata, i ett eller flera <AttributeConsumingService>-element innehållandes önskad uppsättning attribut.
    • För OIDC så registreras tillåtna attribut manuellt av IdP-administratör i samband med registrering av RP.
  • Vid autentiseringsbegäran så anger SP/RP vilka attribut som efterfrågas.
    • För SAML anges vilken kollektion av attribut (vilken <AttributeConsumingService>) som skall användas.
    • För OIDC så anges direkt i anropet vilka attribut som önskas.

Se Attributstyrning SAML respektive Attributstyrning OIDC för mer detaljerad information om hur attributbegäran sker i respektive protokoll samt FAQ - IdP för hur kontroll kan göras av hur befintlig SP/RP begäran ser ut.

Datakällor

Autentiserings- och användarattribut som IdP levererar härstammar från en handfull olika datakällor.

...

  1. SP/RP har begärt HSA-attribut (på personpost- eller uppdragsnivå) ,OCH
  2. användaren autentiserar sig med en id-bärare som har användarens hens personnummer som identifierare , och OCH
  3. användaren har multipla personposter i HSA.

...

  1. SP/RP har begärt HSA-attribut på uppdragsnivå , ochOCH
  2. användaren har multipla uppdrag i HSA.

...

Tabellen nedan listar alla valbara attribut, vad de heter i definierade för SAML respektive OIDC, huruvida de är multivärda eller inte,  vilken datakälla de kommer ifrån, samt huruvida de kan leda till användarval eller inte.

...

SAML Attributnamn

...

amr (s)

...

urn:sambi:names:attribute:x509IssuerName

http://www.w3.org/2000/09/xmldsig#X509IssuerName

...

http://www.w3.org/2000/09/xmldsig#X509SubjectName

...

http://sambi.se/attributes/1/healthcareProviderId

...

Default attribut/claims

Dessa attribut ett användarval eller ej.


Default attribut/claims

Nedanstående attribut/claims (element inom SAML) är den en del av standarden standarderna (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.

...

SAML Assertion element

...

<saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">9c01e3aa-3046-45d2-a0c7-288842cfb50b</saml2:NameID>

...

<saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://auth.dev.inera.test:8443/saml</saml2:Issuer>

...

.

...

...

<saml2:Conditions NotOnOrAfter="2018-06-12T18:25:57.701Z">

...

<saml2:AuthnContextClassRef>http://id.sambi.se/loa/loa3</saml2:AuthnContextClassRef>

...

OIDC Scopes

Detta är de scope som definierats i OIDC standard eller av Inera.

ScopeClaims
openid (OIDC standard)

sub, iss, aud, exp, iat, amr, acr, auth_time, jti, at_hash

authorization_scopeauthorizationScope
personal_identity_numberpersonalIdentityNumber
commissionAlla resterande attribut (d.v.s. claims som inte ingår i något annat scope)

...

Attributbeskrivningar

Se https://www.sambi.se/attributes/1/ för mer information om SAMBI attribut.

...