Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC.
Revisionshistorik
Version | Datum | Författare | Kommentar |
|---|---|---|---|
| 0.8 |
| Upprättad | |
| 1.0 |
| Former user (Deleted) | Fastställd |
| 1.1 | Kompletterat standard claims listan med at_hash | ||
| 1.2 |
| Uppdaterat med nya attribut i IdP 2.0 |
Introduktion
IdP tillhandahåller identifierande och behörighetsstyrande användarattribut till anslutna SP/RP.
Grundflöde för att begära attribut
- Vilka attribut en SP/RP får begära registreras i IdP vid anslutning av SP/RP, och bestäms utifrån vilka attribut som begärts i förstudien för anslutning.
- För SAML så anges attributen i SP-metadata, i ett eller flera
<AttributeConsumingService>-element innehållandes önskad uppsättning attribut. - För OIDC så registreras tillåtna attribut manuellt av IdP-administratör i samband med registrering av RP.
- För SAML så anges attributen i SP-metadata, i ett eller flera
- Vid autentiseringsbegäran så anger SP/RP vilka attribut som efterfrågas.
- För SAML anges vilken kollektion av attribut (vilken
<AttributeConsumingService>) som skall användas. - För OIDC så anges direkt i anropet vilka attribut som önskas.
- För SAML anges vilken kollektion av attribut (vilken
Se Attributstyrning SAML respektive Attributstyrning OIDC för mer detaljerad information om hur attributbegäran sker i respektive protokoll
Datakällor
Autentiserings- och användarattribut som IdP levererar härstammar från en handfull olika datakällor.
Autentiseringsmetadata
Dessa attribut innefattar information om själva autentiseringen, t.ex. tidpunkt för autentisering, utfärdande entitet, osv.
Användarcertifikat
Dessa attributvärden hämtas direkt från användarens certifikat.
HSA
HSA innehåller information om vårdpersonal och deras behörigheter.
Strukturen grovt är att en fysisk person (identifierad med personnummer) har en eller flera personposter i HSA (identifierade med employeeHsaId) som i sin tur kan ha ett eller flera medarbetaruppdrag kopplade till sig (identifierade med commissionHsaId).
- Fysisk person (personnummer)
- Personpost1 i HSA (employeeHsaId)
- uppdrag1 (commissionHsaId)
- uppdrag2
- Personpost2
- uppdrag3
- uppdrag4
- Personpost1 i HSA (employeeHsaId)
HSA-attribut som IdP levererar kan härstamma från antingen personpost-nivån eller från uppdragsnivån.
Användarnas id-bärare har antingen personnummer eller employeeHsaId ( = personHsaId i HSA-katalogen) som identifierare. Beroende på vilken id-bärare som används vid autentisering så kommer alltså personpost redan vara förvalt eller inte.
Användarval i autentiseringsflödet
Användarval av Personpost
Användaren kommer att ställas inför ett val av personpost om:
- SP/RP har begärt HSA-attribut (på personpost- eller uppdragsnivå),
- användaren autentiserar sig med en id-bärare som har användarens personnummer som identifierare, och
- användaren har multipla personposter i HSA.
Användarval av medarbetaruppdrag
Användaren kommer att ställas inför ett uppdragsval om:
- SP/RP har begärt HSA-attribut på uppdragsnivå, och
- användaren har multipla uppdrag i HSA.
Sammanställning och mappning
Valbara attribut/claims
Tabellen nedan listar alla valbara attribut, vad de heter i SAML respektive OIDC, huruvida de är multivärda eller inte, vilken datakälla de kommer ifrån, samt huruvida de kan leda till användarval eller inte.
SAML Attributnamn | OIDC Claim (s = OIDC standardiserat) | Multivärde | Datakälla: Autentiseringsmetadata | Datakälla: Användarcertifikat | Datakälla: HSA | Kan leda till val av Personpost | Kan leda till val av Uppdrag |
|---|---|---|---|---|---|---|---|
| urn:sambi:names:attribute:authnMethod | amr (s) | X (för OIDC) | X | ||||
urn:sambi:names:attribute:x509IssuerName | x509IssuerName | X | |||||
| x509SubjectName | X | ||||||
| urn:sambi:names:attribute:levelOfAssurance | acr (s) | X (utifrån cert) | |||||
| urn:credential:givenName | credentialGivenName | X | |||||
| urn:credential:surname | credentialSurname | X | |||||
| urn:credential:personalIdentityNumber | credentialPersonalIdentityNumber | X | |||||
| urn:credential:displayName | credentialDisplayName | X | |||||
| urn:credential:organizationName | credentialOrganizationName | X | |||||
| urn:credential:certificatePolicies | credentialCertificatePolicies | X | X | ||||
| urn:allCommissions | allCommissions | X | X | ||||
| urn:allEmployeeHsaIds | allEmployeeHsaIds | X | X | ||||
| http://sambi.se/attributes/1/commissionHsaId | commissionHsaId | X | X | ||||
| http://sambi.se/attributes/1/commissionName | commissionName | X | X | ||||
| http://sambi.se/attributes/1/commissionPurpose | commissionPurpose | X | X | ||||
| http://sambi.se/attributes/1/commissionRight | commissionRight | X | X | X | |||
| http://sambi.se/attributes/1/employeeHsaId | employeeHsaId | X | X | ||||
| http://sambi.se/attributes/1/givenName | given_name (s) | X | X | ||||
| http://sambi.se/attributes/1/surname | family_name (s) | X | X | ||||
| N/A | name (s) | X | X | ||||
| http://sambi.se/attributes/1/groupPrescriptionCode | groupPrescriptionCode | X | X | X | |||
| http://sambi.se/attributes/1/healthcareProfessionalLicense | healthcareProfessionalLicense | X | X | X | |||
| http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumber | healthcareProfessionalLicenseIdentityNumber | X | X | ||||
| http://sambi.se/attributes/1/healthCareProfessionalLicenceSpeciality | healthCareProfessionalLicenceSpeciality | X | X | X | |||
| http://sambi.se/attributes/1/healthCareProviderHsaId | healthCareProviderHsaId | X | X | ||||
| healthcareProviderId | X | X | |||||
| http://sambi.se/attributes/1/healthCareProviderName | healthCareProviderName | X | X | ||||
| http://sambi.se/attributes/1/healthCareUnitHsaId | healthCareUnitHsaId | X | X | ||||
| http://sambi.se/attributes/1/healthCareUnitName | healthCareUnitName | X | X | ||||
| http://sambi.se/attributes/1/mail | X | X | X | ||||
| http://sambi.se/attributes/1/mobileTelephoneNumber | mobileTelephoneNumber | X | X | X | |||
| http://sambi.se/attributes/1/occupationalCode | occupationalCode | X | X | X | |||
| http://sambi.se/attributes/1/organizationIdentifier | organizationIdentifier | X | X | ||||
| http://sambi.se/attributes/1/organizationName | organizationName | X | X | ||||
| http://sambi.se/attributes/1/paTitleCode | paTitleCode | X | X | X | |||
| http://sambi.se/attributes/1/personalIdentityNumber | personalIdentityNumber | X | X | ||||
| http://sambi.se/attributes/1/personalPrescriptionCode | personalPrescriptionCode | X | X | ||||
| http://sambi.se/attributes/1/pharmacyIdentifier | pharmacyIdentifier | X | X | ||||
| http://sambi.se/attributes/1/systemRole | systemRole | X | X | X | |||
| http://sambi.se/attributes/1/telephoneNumber | telephoneNumber | X | X | X | |||
| N/A | authorizationScope | X | X |
Default attribut/claims
Dessa attribut (element inom SAML) är den del av standarden (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.
| Beskrivning | SAML Assertion element | OIDC Claim (s = OIDC standardiserat) | Multivärde | Datakälla: Autentiseringsmetadata |
|---|---|---|---|---|
| Subjektets id |
| sub (s) | X | |
| Utfärdare av identitetsintyget (IdP) |
| iss (s) | X | |
| Tilltänkt mottagare |
| aud (s) | X | X |
| Giltighetstid |
| exp (s) | X | |
| Tidpunkt för utfärdande | <saml2:Assertion ID="_466ef75b0524a76c1602e239c79bebcd33a683f1be0dff661bbcbcd80fef" IssueInstant="2018-06-12T17:25:57.695Z" Version="2.0"> | iat (s) | X | |
| Tillitsnivå (LoA) |
| acr | X | |
| Tidpunkt för autentisering | <saml2:AuthnStatement AuthnInstant="2018-06-12T17:25:53.875Z" SessionIndex="ecdba7f0-dafd-42ae-8de1-d38b7f2e2946"> | auth_time (s) | X | |
| Id som klienten skapar och som kommer tillbaka oförvanskat i svaret | <saml2:SubjectConfirmationData InResponseTo="219c3745-4399-4366-82ef-ebc92f3af88f" NotOnOrAfter="2018-06-13T05:53:36.828Z" Recipient="https://sp.dev.inera.test:8881/api/saml/sso/HTTP-POST"/> | nonce (s) | X | |
| Unikt id för assertion/jwt | <saml2:Assertion ID="_466ef75b0524a76c1602e239c79bebcd33a683f1be0dff661bbcbcd80fef" IssueInstant="2018-06-12T17:25:57.695Z" Version="2.0"> | jti (s) | X | |
| Hash av access token | at_hash(s) | X |
OIDC Scopes
Detta är de scope som definierats i OIDC standard eller av Inera.
| Scope | Claims |
|---|---|
| openid (OIDC standard) | sub, iss, aud, exp, iat, amr, acr, auth_time, jti, at_hash |
| authorization_scope | authorizationScope |
| personal_identity_number | personalIdentityNumber |
| commission | Alla resterande attribut (d.v.s. claims som inte ingår i något annat scope) |
Attributbeskrivning
Se https://www.sambi.se/attributes/1/ för mer information om SAMBI attribut.