Version	Datum	Författare	Kommentar

Version	Datum	Författare	Kommentar
0.1	Feb 22, 2023	@Former user (Deleted)	Kopierat från IdP 2.3 Lagt till information om authorizationScope för SAML
1.0	Mar 30, 2023	@Former user (Deleted)	Godkänd av förvaltning

Introduktion

Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC. IdP tillhandahåller identifierande och behörighetsstyrande användarattribut till anslutna SP/RP.

Grundflöde för att begära attribut

Vilka attribut en SP/RP maximalt får begära registreras i IdP vid anslutning av SP/RP, och bestäms utifrån vilka attribut som begärts i förstudien för anslutning.
- För SAML så anges attributen i SP-metadata, i ett eller flera <AttributeConsumingService>-element innehållandes önskad uppsättning attribut.
- För OIDC så registreras tillåtna attribut manuellt av IdP-administratör i samband med registrering av RP.
Vid autentiseringsbegäran så anger SP/RP vilka attribut som efterfrågas.
- För SAML anges vilken kollektion av attribut (vilken <AttributeConsumingService>) som skall användas.
- För OIDC så anges direkt i anropet vilka attribut som önskas.

Se Attributstyrning SAML respektive Attributstyrning OIDC för mer detaljerad information om hur attributbegäran sker i respektive protokoll samt FAQ - IdP för hur kontroll kan göras av hur befintlig SP/RP begäran ser ut.

Datakällor

Autentiserings- och användarattribut som IdP levererar härstammar från en handfull olika datakällor.

Autentiseringsmetadata

Dessa attribut innefattar information om själva autentiseringen, t.ex. tidpunkt för autentisering, utfärdande entitet, osv.

Användarcertifikat

Dessa attributvärden hämtas direkt från användarens certifikat.

HSA

HSA innehåller information om vårdpersonal och deras behörigheter.

Strukturen grovt är att en fysisk person (identifierad med personnummer) har ett eller flera tjänste-id:n i HSA (identifierade med employeeHsaId) som i sin tur kan ha ett eller flera vårdmedarbetaruppdrag kopplade till sig (identifierade med commissionHsaId).

Fysisk person (personnummer)
- Tjänste-id1 i HSA (employeeHsaId 1)
  - uppdrag1 (commissionHsaId 1)
  - uppdrag2 (commissionHsaId 2)
- Tjänste-id2 i HSA (employeeHsaId 2)
  - uppdrag3 (commissionHsaId 3)
  - uppdrag4 (commissionHsaId 4)

HSA-attribut som IdP levererar kan härstamma från antingen tjänste-id-nivån eller från uppdragsnivån.

Användarnas id-bärare har antingen personnummer eller employeeHsaId ( = personHsaId i HSA-katalogen) som identifierare. Beroende på vilken id-bärare som används vid autentisering så kommer alltså tjänste-id:t redan vara förvalt eller inte.

Användarval i autentiseringsflödet

Användarval av tjänste-id

Användaren kommer att ställas inför ett val av tjänste-id om:

SP/RP har begärt HSA-attribut (på tjänste-id- eller uppdragsnivå) OCH
användaren autentiserar sig med en id-bärare som har hens personnummer som identifierare OCH
användaren har multipla tjänste-id:n i HSA.

Användarval av medarbetaruppdrag

Användaren kommer att ställas inför ett uppdragsval om:

SP/RP har begärt HSA-attribut på uppdragsnivå OCH
användaren har multipla uppdrag i HSA.

Sammanställning och mappning

Valbara attribut/claims

Tabellen nedan listar alla valbara attribut, definierade för SAML respektive OIDC, huruvida de är multivärda eller inte, vilken datakälla de kommer ifrån, samt huruvida de kan leda till ett användarval eller ej.

SAML Attributnamn	OIDC Claim ^{(s = OIDC standardiserat)}	Multivärde	Datakälla: Autentiserings-metadata	Datakälla: Användar-certifikat	Datakälla: HSA	Kan leda till val av Personpost	Kan leda till val av Uppdrag

SAML Attributnamn	OIDC Claim ^{(s = OIDC standardiserat)}	Multivärde	Datakälla: Autentiserings-metadata	Datakälla: Användar-certifikat	Datakälla: HSA	Kan leda till val av Personpost	Kan leda till val av Uppdrag
urn:sambi:names:attribute:authnMethod	amr ^(s)	X^{(för OIDC)}	X
urn:sambi:names:attribute:x509IssuerName http://www.w3.org/2000/09/xmldsig#X509IssuerName	x509IssuerName			X
http://www.w3.org/2000/09/xmldsig#X509SubjectName	x509SubjectName			X
urn:sambi:names:attribute:levelOfAssurance	acr ^(s)		X (utifrån cert)
urn:credential:givenName	credentialGivenName			X
urn:credential:surname	credentialSurname			X
urn:credential:personalIdentityNumber	credentialPersonalIdentityNumber			X
urn:credential:displayName	credentialDisplayName			X
urn:credential:organizationName	credentialOrganizationName			X
urn:credential:certificate	credentialCertificate			X
urn:credential:certificatePolicies	credentialCertificatePolicies	X		X
urn:allCommissions	allCommissions	X			X
urn:allEmployeeHsaIds	allEmployeeHsaIds	X			X
urn:orgAffiliation	orgAffiliation				X		X
urn:identityProviderForSign	identityProviderForSign
http://sambi.se/attributes/1/commissionHsaId	commissionHsaId				X		X
http://sambi.se/attributes/1/commissionName	commissionName				X		X
http://sambi.se/attributes/1/commissionPurpose	commissionPurpose				X		X
http://sambi.se/attributes/1/commissionRight	commissionRight	X			X		X
http://sambi.se/attributes/1/employeeHsaId	employeeHsaId				X	X
http://sambi.se/attributes/1/givenName	given_name ^(s)				X	X
http://sambi.se/attributes/1/surname	family_name ^(s)				X	X
urn:name	name ^(s)				X	X
http://sambi.se/attributes/1/groupPrescriptionCode	groupPrescriptionCode	X			X	X
http://sambi.se/attributes/1/healthcareProfessionalLicense	healthcareProfessionalLicense	X			X	X
http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumber	healthcareProfessionalLicenseIdentityNumber				X	X
http://sambi.se/attributes/1/healthCareProfessionalLicenceSpeciality	healthCareProfessionalLicenceSpeciality	X			X	X
http://sambi.se/attributes/1/healthCareProviderHsaId	healthCareProviderHsaId				X		X
http://sambi.se/attributes/1/healthcareProviderId	healthcareProviderId				X		X
http://sambi.se/attributes/1/healthCareProviderName	healthCareProviderName				X		X
http://sambi.se/attributes/1/healthCareUnitHsaId	healthCareUnitHsaId				X		X

2.5 Attributlista