Versions Compared

Old Version 57

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 58

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Notera att vissa attribut alltid föds från en nationellt gemensam källa (tex Skatteverkets Navet, Socialstyrelsens HOSP-register). Attributdefinitionerna för dessa attribut hanteras också via en domänkoordinator, även om parten ansvarig för källan har mycket att säga till om.

Exempel på domäner

DomänKoordineringsansvarig
HealthE-hälsomyndigheten
SkolaSIS
TransportTransportstyrelsen

Exempel på förvaltningsstruktur - Transportsektorn

...

Modell för attributprofiler

En uppsättning attribut för en utpekad domän, med utpekad förvaltare (tex sektorsmyndighet)

Generiska attribut


Frågeställningar

Här finns ett antal frågor att besvara innan vi kan detaljera attributramverket.

  • Vem har givit ut e-legitimationen?
  • Vem är personens huvudsakliga arbetsgivare?
  • Vem är personens uppdragsgivare för den rolll personen agerar i just nu?

Ska namnet på attributet spegla källan, till exempel /eid för e-legitimation och /idp för IdP?

I den överenskommelse som finns mellan regionerna och E-hälsomyndigheten när det gäller den SAML-propageringslösning för åtkomst till NLL har man etablerat en namnstandard för attribut som härrör sig från IdP:n. Ett exempel på detta är https://idp.inera.se/attributes/identityProviderForSign Som man kan se så innehåller attributnamnet referens till en organisation. En mera neutral namngivning på detta attribut kunde vara https://federationer.se/attribute/idp/1.0/identityProviderForSign

...

https://id.ena-infrastructure.se/attributes/health/1.0/userOrgAffiliation

OID som attributnamn

Ska vi använda Sweden Connects namn på vissa av  attributen vilket i praktiken innebär OID:ar? Ska vi då förutsätta att attributen härrör från e-legitimationen? Det stämmer inte med nuvarande realiseringar som t ex Inera har.

Så här är Sweden Connects namn på ett attribut givenName: urn:oid:2.5.4.42

Övrig semantik i attributnamnet

Vissa attribut kan relatera till en anställds organisationstillhörighet eller uppdrag/roll, hur ska e-tjänsten kunna skilja på detta? I Ineras fall när det gäller den anställdes HSAid beror det på vilka andra attribut som e-tjänsten begär. Observera skillnaden mellan ett HSAid som är knutet till e-legitimationen och HSA-id som finns i katalogen. I den senare kategorin finns ingen namnsättning som skiljer på organisationstillhörighet och uppdragssituation.

När det gäller domänspecifika attribut inom vård och omsorg finns "health" med i attributnamnet https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicenseIdentityNumber bland de attribut som används för åtkomst till NLL och är överenskommet med E-hälsomyndigheten och regionerna.

Versionshantering av attribut

Ska attributnamnen ha en namnstandard som medger versionshantering enligt mönster från Sambi?

...

Info

En semantisk eller redaktionell uppdatering i profil → tekniskt breaking change
Och det är ofta oproportionerligt dyrt.

Konsekvens:

Versionsnumret i attributnamnet fryser på “1” för alltid. Det beror på att man undviker kostnaden för att byta – vilket gör versionen semantiskt meningslös.

Designprinciper som brukar fungera bättre:

Attributidentifieraren ska vara stabil
Versionering ska ske i profilen, inte i attributet
Om något förändras – använd kompatibilitetsprincipen
Om du kan uppdatera profilen utan att bryta existerande implementationer → behåll attributets URI.
Om det bryter → skapa nytt attribut och deprecera det gamla.

Slutsats: inget versionsnummer i attributnamnet


Attributlista

  1. Definiera skillnaden mellan attributdefinitioner, och attributprofiler
  2. Modellera för hur en attributprofil kan ha multipla attributinstanser, tex beroende på källa (attribut på e-leg, från en katalog), relaterad till ett eller flera uppdrag.
  3. Beskriv en modell för attributprofiler med personrelaterade attribut, e-leg-relaterade attribut, N x anställningsrelaterade attribut, M x uppdragsrelaterade uppdrag 
  4. Beskriv skillnaden mellan en IdP per organisation och en Idp som representerar flera organisationer

...

Table Filter
fixedCols
totalrow,,,,,,,,,,,,,
hidelabelsfalse
ddSeparator‚‚
sparkNameSparkline
hidePaneFiltration panel
customNoTableMsgText
limitHeight
sparklinefalse
default,,
isFirstTimeEntertrue
cell-width250,250,250
hideColumnsfalse
totalRowName
totalColName
customNoTableMsgfalse
disabledfalse
enabledInEditorfalse
globalFilterfalse
id1772969846082_-1232987905
iconfilter
order0,1,2
hideControlsfalse
inversefalse,false,false
numbering
datefilter
columnDomän,Kategori,Källa
sort
totalcol
disableSavefalse
rowsPerPage
separatorPoint (.)
labelsDomän‚Kategori‚Källa
thousandSeparator
ignoreFirstNrows
ddOperatorOR,OR,OR
userfilter
datepatterndd M yy
numberfilter
heightValue
hideFilters
updateSelectOptionsfalse
worklog365|5|8|y w d h m|y w d h m
isORAND
showNRowsifNotFiltered
BeskrivningNamn (SAML)Namn (OIDC)ReferensFriendlyNameAlternativt namn (SAML)ExempelvärdenKällaKategoriDomän

Multivärde J/N

Scoped J/N

Kommentar
HSA-id för anställdhttps://id.ena-infrastructure.se/attributes/health/1.0/employeeHsaId urn:oid:1.2.752.29.6.2.1employeeHsaId urn:oid:1.2.752.29.6.2.1


health


Anställds organisationstillhörighet identitethttps://id.ena-infrastructure.se/attributes/health/1.0/userOrganizationIdentifier urn:oid:2.5.4.97

8024050190



health


Anställds organisationstillhörighet   knutet till uppdraget, identitethttps://id.ena-infrastructure.se/attributes/health/1.0/OrganizationIdentifier urn:oid:2.5.4.97




health


E-posthttps://id.ena-infrastructure.se/attributes/1.0/mail urn:oid:0.9.2342.19200300.100.1.3mail 







Referenser

Vägledning för hantering av behörighetsattribut (SKR)

...

Behörighetsmodell för vård och omsorg (Inera)


Exempel

Tomas Fransson  referenser till nuvarnde och exempel för ny struktur.

SAML

För SAML finns det exempel på metadata, inloggningsbegäran (request) och svar (assertion). Det kan vara värt att studera dessa exempel för att förstå hur SAML fungerar.

IdP Bas från Inera SAML-profil


OIDC

För OIDC finns motsvarande här

...