Versions Compared

Old Version 26

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 27

changes.mady.by.user Aras Kazemi

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Vi designar primärt för det vanligaste användningsfallet. Undantag och specialfall ska identifieras och hanteras separat, utan att göra huvudmodellen onödigt komplex.
Arbetet ska sträva efter en 80/20-balans mellan generalitet och praktisk användbarhet.

Inledning

...


Namnsättning (identifiering) av attribut

Detta avsnitt definierar relationen mellan Object Identifier (OID) och HTTP-URI vid identifiering av attribut eller andra semantiska objekt i en interoperabel infrastruktur.

...

Detta attribut har denna specifika semantik enligt federationens regelverk.

Kategorisering av attribut

Detta avsnitt syftar till att redogöra för attributkategorier i federativa B2B- och G2G-infrastrukturer. Målet är att etablera en modell som skapar semantisk tydlighet och utgör en tillförlitlig grund för beslut.

Person

I federativa B2B/G2G-kontexter används attribut för att identifiera individer, representera dem tekniskt, beskriva organisatorisk tillhörighet, förmedla mandat, uttrycka rättigheter samt dokumentera transaktionella förutsättningarna för autentisering och intygsutgivning.

Trots detta behandlas attribut ofta som en homogen mängd egenskaper, men de representerar i själva verket fundamentalt skilda semantiska kategorier. När olika typer av attribut sammanblandas uppstår otydliga behörighetsbeslut, felaktiga tillitsbedömningar, bristande interoperabilitet samt svårigheter vid standardisering.

Grundprinciper

Alla attribut är inte av samma slag. Attribut kan exempelvis:

  • Avse individen som sådan,
  • Uttrycka en teknisk representation av individen,
  • Definiera en relation kopplad till individen
  • Ange ett mandat som individen har tilldeltas
  • Definiera en rättighet inom vilken individen får agera, eller
  • Beskriva en händelse om autentisering och intygsutgvining.

Dessa är ontologiskt olika.

Attribut ska därför kategoriseras efter vad de representerar och efter deras semantiska natur.

Attribut som påverkar åtkomstbeslut får inte blandas med beskrivande eller "dekorativa" attribut.

Övergripande attributkategorier

Attribut delas in i sex huvudkategorier där varje kategori har distinkt semantik:

  • Identitetsattribut
  • Representationsattribut
  • Relationsattribut
  • Mandatattribut
  • Rättighetsattribut
  • Kommunikationsattribut
  • Transaktionella attribut (utanför subjektet)

Identitetsattribut

Attribut som beskriver individens juridiska eller officiella identitet. Det rör sig om egenskaper som tillhör individen oberoende av organisationstillhörighet, roll eller uppdrag. Dessa uppgifter har typiskt sin grund i officiella register och är, relativt sett, långlivade och stabila över tid.

Exempel: personnummer, officiellt namn, födelsedatum.

Representationsattribut

Representationsattribut delas in i lokal personrespresentation respektive federationsrepresentation.

Lokal personrepresentation

Attribut som beskriver hur hemorganisationen representerar individen. Det rör sig om identifierande egenskaper som är kopplade till individen och genom vilka denne är känd, identifierbar eller tekniskt representerad inom den egna organisationen. Dessa attribut är organisatoriskt kontextbundna och kan förändras över tid, exempelvis vid byte av roll, system eller organisatorisk tillhörighet.

Exempel: uuid, användarnamn, tjänstebeteckning.

Federationsrepresentation

Hemorganisationens tekniska identifierare som används i federationen. Dessa attribut är säkerhetskritiska och deras stabilitet regleras av federationen. De är inte personliga egenskaper utan identifieringsartefakter.

Exempel: subject-id, pairwise-id, eduPersonPrincipalName, healthCareProviderHsaId.

Relationsattribut

Attribut som beskriver strukturell koppling mellan individ och en organisation. Detta är en relation – inte en egenskap hos personen.

Exempel: organisationsnamn, organisatorisk enhet/avdelning, skolenhetskod, affiliation (t ex personal, elev).

Mandatattribut

Attribut som beskriver att individen representerar en organisation i en viss funktion eller ett uppdrag. Dessa attribut kan vara tidsbegränsade, transaktionsbundna och representerar funktionell roll.

Mandat är inte samma sak som affiliation.

Exempel: commissionHsaId, sisSchoolCourseTeacher.

Rättighetsattribut

Policybärande attribut som anger vad individen får göra – rätt att använda en resurs eller utföra en handling..

Exempel: eduPersonEntitlement

Kommunikationsattribut

Attribut som beskriver kanaler genom vilka individen kan kontaktas eller nås.

Exempel: e-postadress, telefonnummer, mobilnummer.

Transaktionella attribut

(utanför subjektet)



Frågeställningar

Här finns ett antal frågor att besvara innan vi kan detaljera attributramverket.

  • Vem har givit ut e-legitimationen?
  • Vem är personens huvudsakliga arbetsgivare?
  • Vem är personens uppdragsgivare för den rolll personen agerar i just nu?

Ska namnet på attributet spegla källan, till exempel /eid för e-legitimation och /idp för IdP?

I den överenskommelse som finns mellan regionerna och E-hälsomyndigheten när det gäller den SAML-propageringslösning för åtkomst till NLL har man etablerat en namnstandard för attribut som härrör sig från IdP:n. Ett exempel på detta är https://idp.inera.se/attributes/identityProviderForSign Som man kan se så innehåller attributnamnet referens till en organisation. En mera neutral namngivning på detta attribut kunde vara https://federationer.se/attribute/idp/1.0/identityProviderForSign

...

Så här är Sweden Connects namn på ett attribut givenName: urn:oid:2.5.4.42

Övrig semantik i attributnamnet

Vissa attribut kan relatera till en anställds organisationstillhörighet eller uppdrag/roll, hur ska e-tjänsten kunna skilja på detta? I Ineras fall när det gäller den anställdes HSAid beror det på vilka andra attribut som e-tjänsten begär. Observera skillnaden mellan ett HSAid som är knutet till e-legitimationen och HSA-id som finns i katalogen. I den senare kategorin finns ingen namnsättning som skiljer på organisationstillhörighet och uppdragssituation.

När det gäller domänspecifika attribut inom vård och omsorg finns "health" med i attributnamnet https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicenseIdentityNumber bland de attribut som används för åtkomst till NLL och är överenskommet med E-hälsomyndigheten och regionerna.

Versionshantering av attribut

Ska attributnamnen ha en namnstandard som medger versionshantering enligt mönster från Sambi?

...