Lagt till information om authorizationScope för SAML
1.0
Mar 30, 2023
@Former user (Deleted)
Godkänd av förvaltning
Introduktion
Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC. IdP tillhandahåller identifierande och behörighetsstyrande användarattribut till anslutna SP/RP.
Grundflöde för att begära attribut
Vilka attribut en SP/RP maximalt får begära registreras i IdP vid anslutning av SP/RP, och bestäms utifrån vilka attribut som begärts i förstudien för anslutning.
För SAML så anges attributen i SP-metadata, i ett eller flera <AttributeConsumingService>-element innehållandes önskad uppsättning attribut.
För OIDC så registreras tillåtna attribut manuellt av IdP-administratör i samband med registrering av RP.
Vid autentiseringsbegäran så anger SP/RP vilka attribut som efterfrågas.
För SAML anges vilken kollektion av attribut (vilken <AttributeConsumingService>) som skall användas.
För OIDC så anges direkt i anropet vilka attribut som önskas.
Se Attributstyrning SAML respektive Attributstyrning OIDC för mer detaljerad information om hur attributbegäran sker i respektive protokoll samt FAQ - IdP för hur kontroll kan göras av hur befintlig SP/RP begäran ser ut.
Datakällor
Autentiserings- och användarattribut som IdP levererar härstammar från en handfull olika datakällor.
Autentiseringsmetadata
Dessa attribut innefattar information om själva autentiseringen, t.ex. tidpunkt för autentisering, utfärdande entitet, osv.
Användarcertifikat
Dessa attributvärden hämtas direkt från användarens certifikat.
HSA
HSA innehåller information om vårdpersonal och deras behörigheter.
Strukturen grovt är att en fysisk person (identifierad med personnummer) har ett eller flera tjänste-id:n i HSA (identifierade med employeeHsaId) som i sin tur kan ha ett eller flera vårdmedarbetaruppdrag kopplade till sig (identifierade med commissionHsaId).
Fysisk person (personnummer)
Tjänste-id1 i HSA (employeeHsaId 1)
uppdrag1 (commissionHsaId 1)
uppdrag2 (commissionHsaId 2)
Tjänste-id2 i HSA (employeeHsaId 2)
uppdrag3 (commissionHsaId 3)
uppdrag4 (commissionHsaId 4)
HSA-attribut som IdP levererar kan härstamma från antingen tjänste-id-nivån eller från uppdragsnivån.
Användarnas id-bärare har antingen personnummer eller employeeHsaId ( = personHsaId i HSA-katalogen) som identifierare. Beroende på vilken id-bärare som används vid autentisering så kommer alltså tjänste-id:t redan vara förvalt eller inte.
Användarval i autentiseringsflödet
Användarval av tjänste-id
Användaren kommer att ställas inför ett val av tjänste-id om:
SP/RP har begärt HSA-attribut (på tjänste-id- eller uppdragsnivå) OCH
användaren autentiserar sig med en id-bärare som har hens personnummer som identifierare OCH
användaren har multipla tjänste-id:n i HSA.
Användarval av medarbetaruppdrag
Användaren kommer att ställas inför ett uppdragsval om:
SP/RP har begärt HSA-attribut på uppdragsnivå OCH
användaren har multipla uppdrag i HSA.
Sammanställning och mappning
Valbara attribut/claims
Tabellen nedan listar alla valbara attribut, definierade för SAML respektive OIDC, huruvida de är multivärda eller inte, vilken datakälla de kommer ifrån, samt huruvida de kan leda till ett användarval eller ej.
Nedanstående attribut/claims (element inom SAML) är en del av standarderna (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.
urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient (mTLS med Net iD Enterprise)
urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContract (Out-of-band-autentisering med SITHS eID-klienter)
Källa: IdP
urn:sambi:names:attribute:levelOfAssurance
Anger tillitsnivå (LoA) för den identitetsbärare som använts för användaridentifiering. Bestäms utifrån vilket e-id som används för autentisering. Se Tillitsnivå (LoA) för information om hur IdP tolkar LoA-nivåer.
Källa: SERIALNUMBER i Subject från användarcertifikatet.
urn:credential:displayName
urn:credential:givenName + urn:credential:surname
Källa: Hämtas från användarens e-id.
urn:credential:organizationName
Anger organisationsnamn för e-id:t.
Källa: Hämtas från användarens e-id.
urn:credential:certificate
Base64 string representation av användarcertifikatet.
Källa: Hämtas från användarens e-id.
urn:credential:certificatePolicies
Anger certifikats policies.
Källa: Hämtas från användarens e-id.
urn:allCommissions
Användarens samtliga medarbetaruppdrag med dess fullständiga behörigheter från HSA. Detta attribut är användbart i ett scenario där man vill göra ett uppdragsval på Service Providerns sida. Attributet går såklart att kombinera med andra attribut som ändå kan trigga ett uppdragsval i IdP:n. Svaret är formatterat som JSON bestående av en lista med commission-objekt. I fallet då OIDC används presenteras denna lista som en sträng bestående av JSON-objektet. Fältet employeeHsaId markerar vilket tjänste-id som varje enskilt medarbetaruppdrag är kopplat till.
Användarens samtliga HSA-identiteter från HSA. Detta attribut är användbart ifall man vill göra ett val av HSA-ID på Service Providerns sida. Både för SAML och OIDC får man svaret i form av en lista av strängar.
Yrkeskategorier för personal inom vård – och omsorg. Attributet kompletterar healthcareProfessionalLicense, där det senare endast omfattar legitimerade yrken inom Hälso – och sjukvård
Anger vilken inloggningsmetod som användes, samt möjliggör för RP (Relaying Party) att välja vilken autentiseringsmetod som skall användas vid autentisering. t ex SITHS_EID_SAME_DEVICE. Detta görs genom att skicka in valt värde i ett Claim.
Möjliga värden är SITHS_EID_SAME_DEVICE SITHS_EID_OTHER_DEVICE MTLS