Denna sida beskriver attribut och värden samt dess mappning inom SAML och OIDC.
Revisionshistorik
Version | Datum | Författare | Kommentar |
---|---|---|---|
0.1 |
| Upprättad | |
0.2 |
| Uppdaterad med 2.1 attribut | |
0.3 |
| Ehlert, Stefan | Uppdaterad lista med scopes |
0.4 |
| Uppdaterad med 2.2 attribut | |
0.9 |
| Uppdaterat med beskrivning av authenticationMethod | |
2.2 |
| Ehlert, Stefan | Uppdaterat med förklaringar för allCommissions och allEmployeeHsaIds |
2.2.1 |
| Ändrat "val av personpost" till "val av tjänste-id" |
IdP tillhandahåller identifierande och behörighetsstyrande användarattribut till anslutna SP/RP.
<AttributeConsumingService>
-element innehållandes önskad uppsättning attribut.<AttributeConsumingService>
) som skall användas.Se Attributstyrning SAML respektive Attributstyrning OIDC för mer detaljerad information om hur attributbegäran sker i respektive protokoll samt FAQ - IdP för hur kontroll kan göras av hur befintlig SP/RP begäran ser ut.
Autentiserings- och användarattribut som IdP levererar härstammar från en handfull olika datakällor.
Dessa attribut innefattar information om själva autentiseringen, t.ex. tidpunkt för autentisering, utfärdande entitet, osv.
Dessa attributvärden hämtas direkt från användarens certifikat.
HSA innehåller information om vårdpersonal och deras behörigheter.
Strukturen grovt är att en fysisk person (identifierad med personnummer) har ett eller flera tjänste-id:n i HSA (identifierade med employeeHsaId) som i sin tur kan ha ett eller flera vårdmedarbetaruppdrag kopplade till sig (identifierade med commissionHsaId).
HSA-attribut som IdP levererar kan härstamma från antingen tjänste-id-nivån eller från uppdragsnivån.
Användarnas id-bärare har antingen personnummer eller employeeHsaId ( = personHsaId i HSA-katalogen) som identifierare. Beroende på vilken id-bärare som används vid autentisering så kommer alltså tjänste-id:t redan vara förvalt eller inte.
Användaren kommer att ställas inför ett val av tjänste-id om:
Användaren kommer att ställas inför ett uppdragsval om:
Tabellen nedan listar alla valbara attribut, definierade för SAML respektive OIDC, huruvida de är multivärda eller inte, vilken datakälla de kommer ifrån, samt huruvida de kan leda till ett användarval eller ej.
|
Nedanstående attribut/claims (element inom SAML) är en del av standarderna (SAML/OIDC) och är ej valbara. De levereras alltid när de kan erhållas, och det är applicerbart i förhållande till request.
|
Detta är de scope som definierats i OIDC standard eller av Inera.
Scope | Claims |
---|---|
openid (OIDC standard) |
|
authorization_scope |
|
personal_identity_number |
|
inera |
|
allCommissions |
|
allEmployeeHsaIds |
|
commission | Alla resterande attribut (d.v.s. claims som inte ingår i något annat scope) |
Se https://www.sambi.se/attributes/1/ för mer information om SAMBI attribut.
urn:sambi:names:attribute:authnMethodAnger identifikationsmetod. Möjliga värden:
Källa: IdP urn:sambi:names:attribute:levelOfAssuranceAnger tillitsnivå (LoA) för den identitetsbärare som använts för användaridentifiering. Bestäms utifrån vilket e-id som används för autentisering. Se Tillitsnivå (LoA) för information om hur IdP tolkar LoA-nivåer. Möjliga värden:
Källa: IdP, utifrån certifikatsinformation. http://www.w3.org/2000/09/xmldsig#X509SubjectNameAnger certifikatets subject (DN) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen. Källa: Subject ifrån certifikatet som användes vid autentiseringen. http://www.w3.org/2000/09/xmldsig#X509IssuerNameAnger utfärdare av certifikatet (t.ex SITHS / Efos) som användes vid autentiseringen. Anges enbart om certifikat användes vid autentiseringen. Källa: Issuer ifrån certifikatet som användes vid autentiseringen. Utfasat namn: urn:sambi:names:attribute:x509IssuerName urn:credential:givenNameAnger förnamn Källa: Hämtas från användarens e-id. urn:credential:surnameAnger efternamn Källa: Hämtas från användarens e-id. urn:credential:personalIdentityNumberPersonnummer eller HSA-id för användaren. Källa: SERIALNUMBER i Subject från användarcertifikatet. urn:credential:displayNameurn:credential:givenName + urn:credential:surname Källa: Hämtas från användarens e-id. urn:credential:organizationNameAnger organisationsnamn för e-id:t. Källa: Hämtas från användarens e-id. urn:credential:certificatePoliciesAnger certifikats policies. Källa: Hämtas från användarens e-id. urn:allCommissionsAnvändarens samtliga medarbetaruppdrag med dess fullständiga behörigheter från HSA. Detta attribut är användbart i ett scenario där man vill göra ett uppdragsval på Service Providerns sida. Attributet går såklart att kombinera med andra attribut som ändå kan trigga ett uppdragsval i IdP:n. Svaret är formatterat som JSON bestående av en lista med commission-objekt. I fallet då OIDC används presenteras denna lista som en sträng bestående av JSON-objektet. Källa: Katalogtjänst HSA
urn:allEmployeeHsaIdsAnvändarens samtliga HSA-identiteter från HSA. Detta attribut är användbart ifall man vill göra ett val av HSA-ID på Service Providerns sida. Både för SAML och OIDC får man svaret i form av en lista av strängar. Källa: Katalogtjänst HSA
urn:orgAffiliationAnvändarens hsaId och Organisationsnummer i formatet employeeHsaId@organizationIdentifier Källa: Katalogtjänst HSA urn:identityProviderForSignEntityId för den logiska IdP för underskrift som korresponderar mot samma inloggningsmetod som användes för inloggning. Källa: Bestäms utifrån vilken autentiseringsmetod som används vid inloggning urn:nameIndividens namn sammansatt av given_name (http://sambi.se/attributes/1/givenName) och family_name (http://sambi.se/attributes/1/surname). Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionHsaIdHSA-identitet för valt medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionNameNamn på valt medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionPurposeSyfte med aktuell medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/commissionRightRättigheter för aktuell medarbetaruppdrag. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/employeeHsaIdAnvändarens HSA-ID. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/givenNameAnvändarens förnamn. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/surnameAnvändarens mellan- och efternamn. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/groupPrescriptionCodeGruppförskrivarkoder för specificerad person. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProfessionalLicenseTvåställig kod enligt Socialstyrelsens HOSP register. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumberUnik identitet (löpnummer) för en person i HOSP. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProfessionalLicenceSpecialitySpecialistkompetens för läkare eller tandläkare baserat på utfärdat specialistbevis. Notera att specialistkompetens hanteras i flera kodverk (per 2018-06-01 sex stycken) och att koderna kan vara både två-, fyr- och femställiga. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProviderHsaIdHSA-identitet på den vårdgivare aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthcareProviderIdVårdgivarens organisationsnummer, utan bindestreck. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareProviderNameNamn på den vårdgivare aktuellt uppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareUnitHsaIdHSA-identitet på den vårdenhet aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/healthCareUnitNameNamn på den vårdenhet aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/mailIndividens e-postadress. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/mobileTelephoneNumberIndividens mobilnummer. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/occupationalCodeYrkeskategorier för personal inom vård – och omsorg. Attributet kompletterar healthcareProfessionalLicense, där det senare endast omfattar legitimerade yrken inom Hälso – och sjukvård Källa: Katalogtjänst HSA http://sambi.se/attributes/1/organizationIdentifierOrganisationsnummer för den organisation aktuellt medarbetaruppdrag tillhör. Utan bindestreck. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/organizationNameNamn på den organisation aktuellt medarbetaruppdrag tillhör. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/paTitleCodePersonens befattningskoder. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/personalIdentityNumberIndividens personnummer eller samordningsnummer enligt SKV 704 resp. SKV 707. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/personalPrescriptionCodeFörskrivarkod för specificerad person. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/pharmacyIdentifierUnik identifiering av öppenvårdsapotek. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/systemRoleSystemroller kopplade till specificerad användare. Källa: Katalogtjänst HSA http://sambi.se/attributes/1/telephoneNumberIndividens telefonnummer. Källa: Katalogtjänst HSA authorizationScopeIndividens administrativa uppdrag. Erhålls enbart genom OIDC. Källa: Katalogtjänst HSA authenticationMethodAnger vilken inloggningsmetod som användes, samt möjliggör för RP (Relaying Party) att välja vilken autentiseringsmetod som skall användas vid autentisering. t ex SITHS_EID_SAME_DEVICE. Källa: Användarval |
|
|