2.5 Attributlista

Owned by Former user (Deleted)
Last updated: nov. 07, 2024 by Stefan Ehlert
10 min read





Version

Datum

Författare

Kommentar

Version

Datum

Författare

Kommentar

0.1

Feb 22, 2023

@Former user (Deleted) 

  • Kopierat från IdP 2.3

  • Lagt till information om authorizationScope för SAML

1.0

Mar 30, 2023 

@Former user (Deleted) 

Godkänd av förvaltning



Introduktion

Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC. IdP tillhandahåller identifierande och behörighetsstyrande användarattribut till anslutna SP/RP.

Grundflöde för att begära attribut

  • Vilka attribut en SP/RP maximalt får begära registreras i IdP vid anslutning av SP/RP, och bestäms utifrån vilka attribut som begärts i förstudien för anslutning.

    • För SAML så anges attributen i SP-metadata, i ett eller flera <AttributeConsumingService>-element innehållandes önskad uppsättning attribut.

    • För OIDC så registreras tillåtna attribut manuellt av IdP-administratör i samband med registrering av RP.

  • Vid autentiseringsbegäran så anger SP/RP vilka attribut som efterfrågas.

    • För SAML anges vilken kollektion av attribut (vilken <AttributeConsumingService>) som skall användas.

    • För OIDC så anges direkt i anropet vilka attribut som önskas.

Se Attributstyrning SAML respektive Attributstyrning OIDC för mer detaljerad information om hur attributbegäran sker i respektive protokoll samt FAQ - IdP för hur kontroll kan göras av hur befintlig SP/RP begäran ser ut.

Datakällor

Autentiserings- och användarattribut som IdP levererar härstammar från en handfull olika datakällor.

Autentiseringsmetadata

Dessa attribut innefattar information om själva autentiseringen, t.ex. tidpunkt för autentisering, utfärdande entitet, osv.

Användarcertifikat

Dessa attributvärden hämtas direkt från användarens certifikat.

HSA

HSA innehåller information om vårdpersonal och deras behörigheter.

Strukturen grovt är att en fysisk person (identifierad med personnummer) har ett eller flera tjänste-id:n i HSA (identifierade med employeeHsaId) som i sin tur kan ha ett eller flera vårdmedarbetaruppdrag kopplade till sig (identifierade med commissionHsaId).

  • Fysisk person (personnummer)

    • Tjänste-id1 i HSA (employeeHsaId 1)

      • uppdrag1 (commissionHsaId 1)

      • uppdrag2 (commissionHsaId 2)

    • Tjänste-id2 i HSA (employeeHsaId 2)

      • uppdrag3 (commissionHsaId 3)

      • uppdrag4 (commissionHsaId 4)

HSA-attribut som IdP levererar kan härstamma från antingen tjänste-id-nivån eller från uppdragsnivån.

Användarnas id-bärare har antingen personnummer eller employeeHsaId ( = personHsaId i HSA-katalogen) som identifierare. Beroende på vilken id-bärare som används vid autentisering så kommer alltså tjänste-id:t redan vara förvalt eller inte.

Användarval i autentiseringsflödet

Användarval av tjänste-id

Användaren kommer att ställas inför ett val av tjänste-id om:

  1. SP/RP har begärt HSA-attribut (på tjänste-id- eller uppdragsnivå) OCH

  2. användaren autentiserar sig med en id-bärare som har hens personnummer som identifierare OCH

  3. användaren har multipla tjänste-id:n i HSA.

Användarval av medarbetaruppdrag

Användaren kommer att ställas inför ett uppdragsval om:

  1. SP/RP har begärt HSA-attribut på uppdragsnivå OCH

  2. användaren har multipla uppdrag i HSA.

Sammanställning och mappning

Valbara attribut/claims

Tabellen nedan listar alla valbara attribut, definierade för SAML respektive OIDC, huruvida de är multivärda eller inte,  vilken datakälla de kommer ifrån, samt huruvida de kan leda till ett användarval eller ej.



SAML Attributnamn

OIDC Claim (s = OIDC standardiserat)

Multivärde

Datakälla:
Autentiserings-metadata

Datakälla:
Användar-certifikat

Datakälla:
HSA

Kan leda till val av Personpost

Kan leda till val av Uppdrag

SAML Attributnamn

OIDC Claim (s = OIDC standardiserat)

Multivärde

Datakälla:
Autentiserings-metadata

Datakälla:
Användar-certifikat

Datakälla:
HSA

Kan leda till val av Personpost

Kan leda till val av Uppdrag

urn:sambi:names:attribute:authnMethod

amr (s)

X (för OIDC)

X









urn:sambi:names:attribute:x509IssuerName

http://www.w3.org/2000/09/xmldsig#X509IssuerName

x509IssuerName





X







http://www.w3.org/2000/09/xmldsig#X509SubjectName

x509SubjectName





X







urn:sambi:names:attribute:levelOfAssurance

acr (s)



X (utifrån cert)









urn:credential:givenName

credentialGivenName





X







urn:credential:surname

credentialSurname





X







urn:credential:personalIdentityNumber

credentialPersonalIdentityNumber





X







urn:credential:displayName

credentialDisplayName





X







urn:credential:organizationName

credentialOrganizationName





X







urn:credential:certificate

credentialCertificate





X







urn:credential:certificatePolicies

credentialCertificatePolicies

X



X







urn:allCommissions

allCommissions

X





X





urn:allEmployeeHsaIds

allEmployeeHsaIds

X





X





urn:orgAffiliation

orgAffiliation







X



X

urn:identityProviderForSign

identityProviderForSign













http://sambi.se/attributes/1/commissionHsaId

commissionHsaId







X



X

http://sambi.se/attributes/1/commissionName

commissionName







X



X

http://sambi.se/attributes/1/commissionPurpose

commissionPurpose







X



X

http://sambi.se/attributes/1/commissionRight

commissionRight

X





X



X

http://sambi.se/attributes/1/employeeHsaId

employeeHsaId







X

X



http://sambi.se/attributes/1/givenName

given_name (s)







X

X



http://sambi.se/attributes/1/surname

family_name (s)







X

X



urn:name

name (s)







X

X



http://sambi.se/attributes/1/groupPrescriptionCode

groupPrescriptionCode

X





X

X



http://sambi.se/attributes/1/healthcareProfessionalLicense

healthcareProfessionalLicense

X





X

X



http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumber

healthcareProfessionalLicenseIdentityNumber







X

X



http://sambi.se/attributes/1/healthCareProfessionalLicenceSpeciality

healthCareProfessionalLicenceSpeciality

X





X

X



http://sambi.se/attributes/1/healthCareProviderHsaId

healthCareProviderHsaId







X



X

http://sambi.se/attributes/1/healthcareProviderId

healthcareProviderId







X



X

http://sambi.se/attributes/1/healthCareProviderName

healthCareProviderName







X



X

http://sambi.se/attributes/1/healthCareUnitHsaId

healthCareUnitHsaId







X



X

http://sambi.se/attributes/1/healthCareUnitName

healthCareUnitName







X



X

http://sambi.se/attributes/1/mail

mail

X





X

X



http://sambi.se/attributes/1/mobileTelephoneNumber

mobileTelephoneNumber

X





X

X



http://sambi.se/attributes/1/occupationalCode

occupationalCode

X





X

X



http://sambi.se/attributes/1/organizationIdentifier

organizationIdentifier







X



X

http://sambi.se/attributes/1/organizationName

organizationName







X



X

http://sambi.se/attributes/1/paTitleCode

paTitleCode

X





X

X



http://sambi.se/attributes/1/personalIdentityNumber

personalIdentityNumber







X

X



http://sambi.se/attributes/1/personalPrescriptionCode

personalPrescriptionCode







X

X



http://sambi.se/attributes/1/pharmacyIdentifier

pharmacyIdentifier







X



X

http://sambi.se/attributes/1/systemRole

systemRole

X





X

X



http://sambi.se/attributes/1/telephoneNumber

telephoneNumber

X





X

X



urn:authorizationScope

authorizationScope







X

X



N/A

authenticationMethod



X











Default attribut/claims

Nedanstående attribut/claims (element inom SAML) är en del av standarderna (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.



Beskrivning

SAML Assertion element

OIDC Claim (s = OIDC standardiserat)

Multivärde

Datakälla:
Autentiserings-metadata

Beskrivning

SAML Assertion element

OIDC Claim (s = OIDC standardiserat)

Multivärde

Datakälla:
Autentiserings-metadata

Subjektets id

<saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">9c01e3aa-3046-45d2-a0c7-288842cfb50b</saml2:NameID>

sub (s)



X

Utfärdare av identitetsintyget
(IdP)

<saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://auth.dev.inera.test:8443/saml</saml2:Issuer>

iss (s)



X

Tilltänkt mottagare

<saml2:AudienceRestriction>
<saml2:Audience>https://sp.dev.inera.test:8881</saml2:Audience>
</saml2:AudienceRestriction>

aud (s)

X

X

Giltighetstid

<saml2:Conditions NotOnOrAfter="2018-06-12T18:25:57.701Z">

exp (s)



X

Tidpunkt för utfärdande

<saml2:Assertion ID="_466ef75b0524a76c1602e239c79bebcd33a683f1be0dff661bbcbcd80fef" IssueInstant="2018-06-12T17:25:57.695Z" Version="2.0">

iat (s)



X

Tillitsnivå (LoA)

<saml2:AuthnContextClassRef>http://id.sambi.se/loa/loa3</saml2:AuthnContextClassRef>

acr



X

Tidpunkt för autentisering

<saml2:AuthnStatement AuthnInstant="2018-06-12T17:25:53.875Z" SessionIndex="ecdba7f0-dafd-42ae-8de1-d38b7f2e2946">

auth_time (s)



X

Id som klienten skapar och som kommer tillbaka oförvanskat i svaret

<saml2:SubjectConfirmationData InResponseTo="219c3745-4399-4366-82ef-ebc92f3af88f" NotOnOrAfter="2018-06-13T05:53:36.828Z" Recipient="https://sp.dev.inera.test:8881/api/saml/sso/HTTP-POST"/>

nonce (s)



X

Unikt id för assertion/jwt

<saml2:Assertion ID="_466ef75b0524a76c1602e239c79bebcd33a683f1be0dff661bbcbcd80fef" IssueInstant="2018-06-12T17:25:57.695Z" Version="2.0">

jti (s)



X

Hash av access token



at_hash(s)



X



OIDC Scopes

Detta är de scope som definierats i OIDC standard eller av Inera.

Scope

Claims

Scope

Claims

openid (OIDC standard)

  • sub

  • iss

  • aud

  • exp

  • iat

  • amr

  • acr

  • auth_time

  • jti (erhålls endast vid grant_type = refresh_token)

  • at_hash

authorization_scope

  • authorizationScope

personal_identity_number

  • personalIdentityNumber

inera

  • credentialGivenName

  • credentialSurname

  • credentialPersonalIdentityNumber

  • credentialDisplayName

  • credentialOrganizationName

  • credentialCertificate

  • credentialCertificatePolicies

allCommissions

  • allCommissions

allEmployeeHsaIds

  • allEmployeeHsaIds

authentication_method

  • authenticationMethod

commission

Alla resterande attribut (d.v.s. claims som inte ingår i något annat scope)

Attributbeskrivningar

Se https://www.sambi.se/1/ för mer information om SAMBI attribut.

urn:sambi:names:attribute:authnMethod

Anger identifikationsmetod.

Möjliga värden:

  • urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient (mTLS med Net iD Enterprise)

  • urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorContract (Out-of-band-autentisering med SITHS eID-klienter)

Källa: IdP

urn:sambi:names:attribute:levelOfAssurance

Anger tillitsnivå (LoA) för den identitetsbärare som använts för användaridentifiering. Bestäms utifrån vilket e-id som används för autentisering. Se Tillitsnivå (LoA) för information om hur IdP tolkar LoA-nivåer.

Möjliga värden:

  • http://id.sambi.se/loa/loa2

  • http://id.sambi.se/loa/loa3

  • http://id.sambi.se/loa/loa4

Källa: IdP, utifrån certifikatsinformation.

http://www.w3.org/2000/09/xmldsig#X509SubjectName

Anger certifikatets subject (DN) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen.

Källa: Subject ifrån certifikatet som användes vid autentiseringen.

http://www.w3.org/2000/09/xmldsig#X509IssuerName

Anger utfärdare av certifikatet (t.ex SITHS / Efos) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen.

Källa: Issuer ifrån certifikatet som användes vid autentiseringen.

Utfasat namn: urn:sambi:names:attribute:x509IssuerName

urn:credential:givenName

Anger förnamn. (“G” i certifikatets i subjektet)

Källa: Hämtas från användarens e-id.

urn:credential:surname

Anger efternamn. (“SN” i certifikatets i subjektet)

Källa:  Hämtas från användarens e-id.

urn:credential:personalIdentityNumber

Personnummer eller HSA-id för användaren. (“SERIALNUMBER” i certifikatets i subjektet)

Källa: SERIALNUMBER i Subject från användarcertifikatet.

urn:credential:displayName

Anger visningsnamnet. (“CN” i certifikatets i subjektet)

Källa: Hämtas från användarens e-id.

urn:credential:organizationName

Anger organisationsnamn för e-id:t. (“O” i certifikatets i subjektet)

Källa: Hämtas från användarens e-id.

urn:credential:certificate

Base64 string representation av användarcertifikatet.

Källa: Hämtas från användarens e-id.

urn:credential:certificatePolicies

Anger certifikats policies.

Källa: Hämtas från användarens e-id.

urn:allCommissions

Användarens samtliga medarbetaruppdrag med dess fullständiga behörigheter från HSA. Detta attribut är användbart i ett scenario där man vill göra ett uppdragsval på Service Providerns sida. Attributet går såklart att kombinera med andra attribut som ändå kan trigga ett uppdragsval i IdP:n. Svaret är formatterat som JSON bestående av en lista med commission-objekt. I fallet då OIDC används presenteras denna lista som en sträng bestående av JSON-objektet. Fältet employeeHsaId markerar vilket tjänste-id som varje enskilt medarbetaruppdrag är kopplat till.

Källa: Katalogtjänst HSA

Exempel för SAML
<saml2:Attribute FriendlyName="allCommissions" Name="urn:allCommissions" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">[{"employeeHsaId":"TSTNMT2321000156-10NG","commissionName":"Teknisk Systemadministratör JLL","commissionHsaId":"SE111-UPPDRAG-JLL-TEKSYSADMIN","commissionPurpose":"Administration","healthCareUnitHsaId":"SE111-ADMIN","healthCareUnitName":"Admin","healthCareProviderHsaId":"SE111-JLL","healthCareProviderName":"SE111-JLL","healthCareProviderOrgNo":"2321000214","commissionRights":[{"activity":"Läsa","informationClass":"dia","scope":"VG"},{"activity":"Läsa","informationClass":"fun","scope":"VG"}]},{"employeeHsaId":"TSTNMT2321000156-10NX","commissionName":"Teknisk Systemadministratör SLL","commissionHsaId":"SE222-UPPDRAG-SLL-TEKSYSADMIN","commissionPurpose":"Administration","healthCareUnitHsaId":"SE222-ADMIN","healthCareUnitName":"Admin","healthCareProviderHsaId":"SE222-SLL","healthCareProviderName":"SE222-SLL","healthCareProviderOrgNo":"2321000214","commissionRights":[{"activity":"Läsa","informationClass":"upp","scope":"VG"},{"activity":"Läsa","informationClass":"vot","scope":"VG"}]}]</saml2:AttributeValue> </saml2:Attribute>



Exempel för OIDC
"allCommissions": "[{\"employeeHsaId\":\"TSTNMT2321000156-10NG\",\"commissionName\":\"Teknisk Systemadministratör JLL\",\"commissionHsaId\":\"SE111-UPPDRAG-JLL-TEKSYSADMIN\",\"commissionPurpose\":\"Administration\",\"healthCareUnitHsaId\":\"SE111-ADMIN\",\"healthCareUnitName\":\"Admin\",\"healthCareProviderHsaId\":\"SE111-JLL\",\"healthCareProviderName\":\"SE111-JLL\",\"healthCareProviderOrgNo\":\"2321000214\",\"commissionRights\":[{\"activity\":\"Läsa\",\"informationClass\":\"dia\",\"scope\":\"VG\"},{\"activity\":\"Läsa\",\"informationClass\":\"fun\",\"scope\":\"VG\"}]},{\"employeeHsaId\":\"TSTNMT2321000156-10NX\",\"commissionName\":\"Teknisk Systemadministratör SLL\",\"commissionHsaId\":\"SE222-UPPDRAG-SLL-TEKSYSADMIN\",\"commissionPurpose\":\"Administration\",\"healthCareUnitHsaId\":\"SE222-ADMIN\",\"healthCareUnitName\":\"Admin\",\"healthCareProviderHsaId\":\"SE222-SLL\",\"healthCareProviderName\":\"SE222-SLL\",\"healthCareProviderOrgNo\":\"2321000214\",\"commissionRights\":[{\"activity\":\"Läsa\",\"informationClass\":\"dia\",\"scope\":\"VG\"},{\"activity\":\"Läsa\",\"informationClass\":\"fun\",\"scope\":\"VG\"}]}]"

urn:allEmployeeHsaIds

Användarens samtliga HSA-identiteter från HSA. Detta attribut är användbart ifall man vill göra ett val av HSA-ID på Service Providerns sida. Både för SAML och OIDC får man svaret i form av en lista av strängar. 

Källa: Katalogtjänst HSA

Exempel SAML
<saml2:Attribute FriendlyName="allEmployeeHsaIds" Name="urn:allEmployeeHsaIds" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">TSTNMT2321000156-10NG</saml2:AttributeValue> <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xsd:string">TSTNMT2321000156-10NX</saml2:AttributeValue> </saml2:Attribute>



Exempel OIDC

urn:orgAffiliation

Användarens hsaId och Organisationsnummer i formatet employeeHsaId@organizationIdentifier

Källa: Katalogtjänst HSA

urn:identityProviderForSign

EntityId för den logiska IdP för underskrift som korresponderar mot samma inloggningsmetod som användes för inloggning.

Källa: Bestäms utifrån vilken autentiseringsmetod som används vid inloggning

urn:name

Individens namn sammansatt av given_name (http://sambi.se/attributes/1/givenName) och family_name (http://sambi.se/attributes/1/surname).

Källa: Katalogtjänst HSA

http://sambi.se/attributes/1/commissionHsaId

HSA-identitet för valt medarbetaruppdrag.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.commissionHsaId

http://sambi.se/attributes/1/commissionName

Namn på valt medarbetaruppdrag.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.commissionName

http://sambi.se/attributes/1/commissionPurpose

Syfte med aktuell medarbetaruppdrag.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.commissionPurpose

http://sambi.se/attributes/1/commissionRight

Rättigheter för aktuell medarbetaruppdrag.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.commissionRight

http://sambi.se/attributes/1/employeeHsaId

Användarens HSA-ID.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.personHsaId

http://sambi.se/attributes/1/givenName

Användarens förnamn.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.givenName

http://sambi.se/attributes/1/surname

Användarens mellan- och efternamn.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.middleAndSurName

http://sambi.se/attributes/1/groupPrescriptionCode

Gruppförskrivarkoder för specificerad person.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.groupPrescriptionCode

http://sambi.se/attributes/1/healthcareProfessionalLicense

Tvåställig kod enligt Socialstyrelsens HOSP register.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.healthCareProfessionalLicenceCode

http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumber

Unik identitet (löpnummer) för en person i HOSP.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.healthcareProfessionalLicenseIdentityNumber 

http://sambi.se/attributes/1/healthCareProfessionalLicenceSpeciality

Specialistkompetens för läkare eller tandläkare baserat på utfärdat specialistbevis.



Notera att specialistkompetens hanteras i flera kodverk (per 2018-06-01 sex stycken) och att koderna kan vara både två-, fyr- och femställiga.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.healthCareProfessionalLicenceSpeciality 

http://sambi.se/attributes/1/healthCareProviderHsaId

HSA-identitet på den vårdgivare aktuellt medarbetaruppdrag tillhör.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.healthCareProviderHsaId

http://sambi.se/attributes/1/healthcareProviderId

Vårdgivarens organisationsnummer, utan bindestreck.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.healthCareProviderOrgNo

http://sambi.se/attributes/1/healthCareProviderName

Namn på den vårdgivare aktuellt uppdrag tillhör.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.healthCareProviderName

http://sambi.se/attributes/1/healthCareUnitHsaId

HSA-identitet på den vårdenhet aktuellt medarbetaruppdrag tillhör.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.healthCareUnitId

http://sambi.se/attributes/1/healthCareUnitName

Namn på den vårdenhet aktuellt medarbetaruppdrag tillhör.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.healthCareUnitName

http://sambi.se/attributes/1/mail

Individens e-postadress.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:employee 
Kontrakt: GetEmployeeIncludingProtectedPerson
Fält:  personInformation.mail

http://sambi.se/attributes/1/mobileTelephoneNumber

Individens mobilnummer.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:employee 
Kontrakt: GetEmployeeIncludingProtectedPerson
Fält:  personInformation.mobileNumber

http://sambi.se/attributes/1/occupationalCode

Yrkeskategorier för personal inom vård – och omsorg. Attributet kompletterar healthcareProfessionalLicense, där det senare endast omfattar legitimerade yrken inom  Hälso – och sjukvård

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.occupationalCode

http://sambi.se/attributes/1/organizationIdentifier

Organisationsnummer för den organisation aktuellt medarbetaruppdrag tillhör. Utan bindestreck.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.healthCareProviderOrgNo

http://sambi.se/attributes/1/organizationName

Namn på den organisation aktuellt medarbetaruppdrag tillhör.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  commission.healthCareProviderName

http://sambi.se/attributes/1/paTitleCode

Personens befattningskoder.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.paTitleCode 

http://sambi.se/attributes/1/personalIdentityNumber

Individens personnummer eller samordningsnummer enligt SKV 704 resp. SKV 707.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.personalIdentity

http://sambi.se/attributes/1/personalPrescriptionCode

Förskrivarkod för specificerad person.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.personalPrescriptionCode

http://sambi.se/attributes/1/pharmacyIdentifier

Unik identifiering av öppenvårdsapotek.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält: pharmacyIdentifier

http://sambi.se/attributes/1/systemRole

Systemroller kopplade till specificerad användare.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement 
Kontrakt: GetCredentialsForPersonIncludingProtectedPerson
Fält:  credentialInformation.hsaSystemRole

http://sambi.se/attributes/1/telephoneNumber

Individens telefonnummer.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:employee 
Kontrakt: GetEmployeeIncludingProtectedPerson
Fält:  personInformation.telephoneNumber

urn:authorizationScope

Individens administrativa uppdrag.

Källa: Katalogtjänst HSA
Domän: infrastructure:directory:authorizationmanagement
Kontrakt: GetAdminCredentialsForPersonIncludingProtectedPerson
Fält:  adminCredentialInformation.authorizationScopeProperties

Exempel för SAML



Exempel för OIDC

urn:authenticationMethod

Anger vilken inloggningsmetod som användes, samt möjliggör för RP (Relaying Party) att välja vilken autentiseringsmetod som skall användas vid autentisering. t ex SITHS_EID_SAME_DEVICE.
Detta görs genom att skicka in valt värde i ett Claim.

Möjliga värden är 
SITHS_EID_SAME_DEVICE
SITHS_EID_OTHER_DEVICE
MTLS

Källa: Användarval

Exempel

SAML AttributeStatement







OIDC ID Token



Publik Information