...
Vi designar primärt för det vanligaste användningsfallet. Undantag och specialfall ska identifieras och hanteras separat, utan att göra huvudmodellen onödigt komplex.
Arbetet ska sträva efter en 80/20-balans mellan generalitet och praktisk användbarhet.
Inledning
Attributens namnsättning
Detta avsnitt definierar relationen mellan Object Identifier (OID) och Attribute Reference vid identifiering av attribut eller andra semantiska objekt i en interoperabel infrastruktur.
Object Identifier (OID)
En OID är en globalt unik och hierarkiskt strukturerad identifierare bestående av en numerisk sträng enligt ITU-T X.660 / ISO/IEC 9834.
En OID:
- SKA vara numerisk, globalt unik, t ex: 1.2.752.29.4.13
- SKA entydigt identifiera ett och samma semantiska objekt.
- FÅR INTE återanvändas för att identifiera ett annat semantiskt objekt.
- BÖR betraktas som den normativa och långsiktigt stabila identifieraren.
OID definierar den semantiska identiteten oberoende av teknisk representation eller kontext.
OID ägs och förvaltas i ett OID-träd. Är stabil över tid och används för:
- Semantisk entydighet
- Standarder
- Långsiktig interoperabilitet
OID svarar på frågan om vad något är:
”Exakt vilket begrepp pratar vi om, oavsett kontext?”
Attribute Reference
En Attribute Reference (även kallad Reference) är en kontextuell identifierare som används inom en specifik modell, profil eller implementation för att referera till ett objekt som definieras av en OID.
En Reference:
- KAN vara en sträng, URI, kortkod eller annan lokal identifierare.
- SKA entydigt mappa till exakt en OID inom den kontext där den används.
- FÅR INTE användas för att referera till olika OID:er inom samma kontext.
- KAN ändras över tid utan att objektets semantik förändras, förutsatt att mappningen till OID kvarstår.
En Reference är inte i sig en global semantisk identifierare.
En Reference förvaltas inom ramen för en specifik specifikation, federation eller implementation.
Attribute Reference svarar på frågan om hur begreppet fungerar här och nu:
”Hur refererar vi till det här begreppet i just den här modellen eller profilen?”
Relationen mellan OID och Attribute Reference
Följande princip gäller: En Reference refererar till ett objekt vars semantiska identitet definieras av en OID.
En Reference utgör en kontextuell identifierare som används inom en viss modell eller implementation. Den pekar på en OID, vilken utgör den globala och långsiktigt stabila identifieraren för objektet. OID:en är i sin tur knuten till den formella semantiska definition som entydigt beskriver objektets betydelse.
Relationen kan beskrivas som en semantisk identifieringskedja:
Attribute reference → OID → Semantisk definition
Den semantiska definitionen är således knuten till OID, inte till Reference.
OID definierar objektets identitet.
Reference är ett kontextuellt alias.
Interoperabilitetskrav
Inom en federation och/eller vid federationsspecifik attributidentifiering BÖR attribut exponeras och refereras med den attributreferens som definieras i en attributprofil som erkänns av federationens medlemmar. Med andra ord, OID BÖR INTE användas som attributnamn i federativ kommunikation.
OID utgör den globala semantiska identifieraren, men saknar i sig den kontextuella precisering som krävs för interoperabilitet inom en federation.
Samma OID kan användas i flera federationer men ges olika kontextuell innebörd beroende på:
- tillitsramverk
- källa till uppgiften
- identitetsprocess
- ansvarig part
Ett exempel
OID 2.5.4.10 identifierar begreppet organizationName på en generell semantisk nivå.
Dock gäller:
- I Sweden Connect den organisation som har anskaffat e-legitimationen för sin medarbetare (är kopplad till utgivningsprocessen).
- I Sambi användarens hemorganisation utifrån kataloguppgifter om medarbetarens tjänstgöring (är kopplad till anställning eller uppdrag).
- I Skolfederation eller SWAMID kan motsvarande attribut ha annan källa och annan tillitsgrund.
Det är således inte OID:en i sig som definierar attributets interoperabla betydelse inom federationen, utan den federationsspecifika Reference och dess profildefinition.
Frågeställningar
Här finns ett antal frågor att besvara innan vi kan detaljera attributramverket.
- Vem har givit ut e-legitimationen?
- Vem är personens huvudsakliga arbetsgivare?
- Vem är personens uppdragsgivare för den rolll personen agerar i just nu?
Ska namnet på attributet spegla källan, till exempel /eid för e-legitimation och /idp för IdP?
I den överenskommelse som finns mellan regionerna och E-hälsomyndigheten när det gäller den SAML-propageringslösning för åtkomst till NLL har man etablerat en namnstandard för attribut som härrör sig från IdP:n. Ett exempel på detta är https://idp.inera.se/attributes/identityProviderForSign Som man kan se så innehåller attributnamnet referens till en organisation. En mera neutral namngivning på detta attribut kunde vara https://federationer.se/attribute/idp/1.0/identityProviderForSign
...
Så här är Sweden Connects namn på ett attribut givenName: urn:oid:2.5.4.42
Övrig semantik i attributnamnet
Vissa attribut kan relatera till en anställds organisationstillhörighet eller uppdrag/roll, hur ska e-tjänsten kunna skilja på detta? I Ineras fall när det gäller den anställdes HSAid beror det på vilka andra attribut som e-tjänsten begär. Observera skillnaden mellan ett HSAid som är knutet till e-legitimationen och HSA-id som finns i katalogen. I den senare kategorin finns ingen namnsättning som skiljer på organisationstillhörighet och uppdragssituation.
När det gäller domänspecifika attribut inom vård och omsorg finns "health" med i attributnamnet https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicenseIdentityNumber bland de attribut som används för åtkomst till NLL och är överenskommet med E-hälsomyndigheten och regionerna.
Versionshantering av attribut
Ska attributnamnen ha en namnstandard som medger versionshantering enligt mönster från Sambi?
...