Dokumenthistorik

Visa dokumenthistorik

Version	Datum	Utförare	Kommentar
0.9	20 maj 2021	Former user (Deleted)	Upprättad
1.0	14 juni 2021	Former user (Deleted)	Fastställd
2.0	4 okt. 2023	Stefan Eriksson	Uppdaterat med informtion om Privata E-legitimationer

Innehållsförteckning

Visa innehållsförteckning

Underskriftsprofiler

Underskriftsprofiler styr vilka användarattribut som ska ingå i det slutgiltiga underskriftscertifikatet .

Tillgängliggjorda underskriftsprofiler utgår ifrån Digitaliseringsmyndighetens attribute sets.

Underskriftsprofil	dn i underskriftscertifikat, exempel	DIGGs attributset som ligger till grund för underskriftsprofilen	Utgivande CA för underskriftscertifikat	Signaturalgoritm	Signaturtyp
eln_ap_pnr_01	cn=Elin Svensson serialNumber=199101192384 sn=Svensson givenName=Elin	ELN-AP-Pnr-01 - Natural Personal Identity with Civic Registration Number (Personnummer)	För LOA2: CGI Sverige AB Low DSS End User CA För LOA3: CGI Sverige AB Substantial DSS End User CA	ECDSA P256	XAdES-BASELINE-B, Enveloped PAdES-BASELINE-B, Enveloped
digg_ap_hsaid_01	cn=Elin Svensson serialNumber= TST5565594230-12R7 sn=Svensson givenName=Elin	DIGG-AP-HSAid-01 - Natural Person Identity with HSA-ID
eln_ap_orgperson_01	cn=Elin Svensson serialNumber= TST5565594230-12R7@5565594230 sn=Svensson givenName=Elin 0=Inera AB	ELN-AP-OrgPerson-01 - Organizational Identity for Natural Persons
eln_ap_pnr_01_orgid	cn=Elin Svensson serialNumber= 199101192384 sn=Svensson givenName=Elin 2.5.4.97=5590858584	Kombination av ELN-AP-Pnr-01 och ELN-AP-OrgPerson-01

Namngivningen av dessa profiler är i praktiken ändringsbara per logisk instans (varje ansluten e-tjänst).

Styrning av underskriftsprofil

E-tjänsten anger i fältet <csig:AuthnProfile> i SignRequest vilken underskriftsprofil som önskas.

Styrande användarattribut inkommer i SignRequest från e-tjänsten till Underskriftstjänsten, i elementet <csig:Signer>. Underskriftstjänsten skickar dessa attribut vidare i AuthnRequest till IdP, i fältet <psc:PrincipalSelection>. IdP returnerar sedan användarattribut från autentiseringen i SAMLResponse, i fältet <saml2:AttributeStatement>. Dessa attributvärden valideras mot de som angavs i SignRequest, och används sedan för att skapa underskriftscertifikatet enligt önskad underskriftsprofil. Exempel-requests återfinns i /wiki/spaces/UTJ/pages/3501785100.

Användarattribut

Följande SAML-attribut från Ineras IdP används för att populera användarattributen i underskriftscertifikatet:

Fält i dn i underskriftcertifikatet	Attribut från IdP	Attribut från IdP för e-legitimationer som stödjer DIGG's SAML Profil
cn=Elin Svensson	`urn:name`	urn:oid:2.16.840.1.113730.3.1.241
givenName=Elin	`http://sambi.se/attributes/1/givenName`	`urn:oid:2.5.4.42`
sn=Svensson	`http://sambi.se/attributes/1/surname`	`urn:oid:2.5.4.4`
0=Inera AB	`http://sambi.se/attributes/1/organizationName`	`urn:oid:2.5.4.10`
2.5.4.97=5590858584	`http://sambi.se/attributes/1/organizationIdentifier`	`urn:oid:2.5.4.97`

serialNumber baseras på olika attribut från IdP beroende på underskriftsprofil:

Underskriftsprofil	serialNumber, exempel	Attribut från IdP (Inera's IdP)	Attribut från IdP för e-legitimationer som stödjer DIGG's SAML profil
eln_ap_pnr_01	serialNumber=199101192384	`http://sambi.se/attributes/1/personalIdentityNumber`	`urn:oid:1.2.752.29.4.13`
digg_ap_hsaid_01	serialNumber= TST5565594230-12R7	`http://sambi.se/attributes/1/employeeHsaId`
eln_ap_orgperson_01	serialNumber= TST5565594230-12R7@5565594230	`urn:orgAffiliation`
eln_ap_pnr_01_orgid	serialNumber= 199101192384	`http://sambi.se/attributes/1/personalIdentityNumber`

Vid användning av IDP:er för t ex BankID eller Freja eID+ så mappas attributen till X509 certifikatet baserat på DIGG's SAML profil: ELN-AP-Pnr-01 - Natural Personal Identity with Civic Registration Number (Personnummer) samt att det är den enda profilen som fungerar med dessa typer av e-legitimationer.

Stödtjänstprofil

Stödtjänsten kombinerar Underskriftstjänstens underskriftsprofiler och önskad tillitsnivå (LoA) i s.k. stödtjänstprofiler.

Underskriftsprofil	Godkänd tillitsnivå	Stödtjänstprofil
eln_ap_pnr_01	LoA 2 eller LoA 3	eln_ap_pnr_01_loa2_loa3
eln_ap_pnr_01	LoA 3	eln_ap_pnr_01_loa3
digg_ap_hsaid_01	LoA 2 eller LoA 3	digg_ap_hsaid_01_loa2_loa3
digg_ap_hsaid_01	LoA 3	digg_ap_hsaid_01_loa3
eln_ap_orgperson_01	LoA 2 eller LoA 3	eln_ap_orgperson_01_loa2_loa3
eln_ap_orgperson_01	LoA 3	eln_ap_orgperson_01_loa3
eln_ap_pnr_01_orgid	LoA 2 eller LoA 3	eln_ap_pnr_01_orgid_loa2_loa3
eln_ap_pnr_01_orgid	LoA 3	eln_ap_pnr_01_orgid_loa3