...
- Utfärdande organisation
- Hemorganisation/anställning
- Företrädd organisation i aktuellt uppdrag
- Roll och mandat i den specifika situationen
Avgränsningar
Behörighetsmodell
Exakt hur attributen från e-legitimationen eller katalogen uppstår beskrivs inte här.
Regler för användning av attribut
Principer för uppgiftsminimering och andra rekommendationer finns inte beskrivna i detta dokument.
Förvaltningsstruktur för behörighetsattribut
För att säkerställa långsiktig hållbarhet, interoperabilitet och tydligt ansvar behöver behörighetsattribut förvaltas i en definierad struktur med tydliga roller och mandat.
...
- Ledningsaktör
- Domänkoordinator
- Attribututfärdare
Ledningsaktör (exempelvis Digg)
Ledningsaktören har det övergripande ansvaret för attributstrukturen.
...
Ledningsaktören ansvarar för helheten och för att strukturen är sammanhållen över sektorer.
Domänkoordinator (exempelvis sektorsmyndighet)
Domänkoordinatorn ansvarar för en specifik domän på uppdrag av ledningsaktören.
...
Domänkoordinatorn säkerställer sektorsspecifik relevans utan att bryta helheten.
Attribututfärdare
Attribututfärdaren ansvarar för ett eller flera specifika attribut inom en domän.
...
En domän kan ha flera attribututfärdare.
Exempel
Ledningsaktören (Digg) utser Transportstyrelsen till domänkoordinator för Transport-domänen.
...
- Transportstyrelsen samordnar domänen
- Flera aktörer kan vara ansvariga för enskilda attribut
- Helheten hålls samman genom den gemensamma strukturen
Exempel på domäner
| Domän | Koordineringsansvarig |
|---|---|
| Health | E-hälsomyndigheten |
| Skola | SIS |
| Transport | Transportstyrelsen |
Styrande attribut
Styrande principer för behörighetsattribut
1. Standardiserad namngivning och identifiering
...
Attribut ska definieras oberoende av var informationen hämtas ifrån.
Ett attributvärde kan komma från exempelvis katalogtjänst (IdP), e-legitimation, uppdragsregister eller annan betrodd källa.
Semantiken ska vara densamma oavsett källa.
Principer för arbetets inriktning
1. Standardnära och konfigurerbart
De lösningar och modeller vi tar fram ska vara möjliga att implementera genom konfiguration i etablerade standardprodukter.
Arbetet ska följa internationella standarder och etablerad federationspraxis så att leverantörer inte behöver utveckla särskilda speciallösningar för den svenska marknaden.
...
Vi designar primärt för det vanligaste användningsfallet. Undantag och specialfall ska identifieras och hanteras separat, utan att göra huvudmodellen onödigt komplex.
Arbetet ska sträva efter en 80/20-balans mellan generalitet och praktisk användbarhet.
Inledning
Frågeställningar
Här finns ett antal frågor att besvara innan vi kan detaljera attributramverket.
- Vem har givit ut e-legitimationen?
- Vem är personens huvudsakliga arbetsgivare?
- Vem är personens uppdragsgivare för den rolll personen agerar i just nu?
Ska namnet på attributet spegla källan, till exempel /eid för e-legitimation och /idp för IdP?
I den överenskommelse som finns mellan regionerna och E-hälsomyndigheten när det gäller den SAML-propageringslösning för åtkomst till NLL har man etablerat en namnstandard för attribut som härrör sig från IdP:n. Ett exempel på detta är https://idp.inera.se/attributes/identityProviderForSign Som man kan se så innehåller attributnamnet referens till en organisation. En mera neutral namngivning på detta attribut kunde vara https://federationer.se/attribute/idp/1.0/identityProviderForSign
...
Så här är Sweden Connects namn på ett attribut givenName: urn:oid:2.5.4.42
Övrig semantik i attributnamnet
Vissa attribut kan relatera till en anställds organisationstillhörighet eller uppdrag/roll, hur ska e-tjänsten kunna skilja på detta? I Ineras fall när det gäller den anställdes HSAid beror det på vilka andra attribut som e-tjänsten begär. Observera skillnaden mellan ett HSAid som är knutet till e-legitimationen och HSA-id som finns i katalogen. I den senare kategorin finns ingen namnsättning som skiljer på organisationstillhörighet och uppdragssituation.
När det gäller domänspecifika attribut inom vård och omsorg finns "health" med i attributnamnet https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicenseIdentityNumber bland de attribut som används för åtkomst till NLL och är överenskommet med E-hälsomyndigheten och regionerna.
Versionshantering av attribut
Ska attributnamnen ha en namnstandard som medger versionshantering enligt mönster från Sambi?
...