...
- Respektera gjorda investeringar i dagens attributanvändning
- De attribut som används inom olika sektorer idag kommer inte sluta användas bara för att en statlig myndighet hittar på en bättre variant. Förbättringar kommer ske över tid.
- Attributsdefinitioner behöver kunna markeras som "deprecated" (en avrådan från användning) och kopplas till rekommenderat alternativ
- De komponenter som tar behörighetsbeslut utifrån tillförda attribut bör ha vetskap om alternativa attributsdefinitioner
- Favorisera brett förankrade attributsdefinitioner framför att skapa nya
- Attribut ska i första hand utgå från etablerade och registrerade standarder (exempelvis IANA, OID eller motsvarande internationella register).
Nya attribut ska endast definieras när befintliga standarder inte täcker behovet.
När man som tjänsteleverantör har behov av att begränsa behörighet på nya sätt och då behöver nya behörighetsattribut i den attributprofil man använder så ska man innan man "hittar på" ett eget attribut, använda redan befintliga attribut från den nationella attributsdefinitionskatalogen, alternativt från IANA.DUPLIKAT? Rekommendera selektiv användning
Attributsdefinitionskatalogen beskriver möjliga attribut. Vid varje enskilt användningstillfälle ska endast de attribut som är relevanta för ändamålet användas - val av attributprofil och styrning av vilka attribut som fylls i.
...
- Nationell koordinator (förslagsvis ledningsaktören för Samordnad identitet och behörighet, Digg)
- Äger och förvaltar den övergripande domänstrukturen och tillser att varje domän har en utsedd domänkoordinator.
- Tar in behov av nya och förtydligade attributsdefinitioner från domänkoordinatorer
- Förvaltar en nationell katalog för attributsdefinitioner
- Förvaltar domänoberoende attribut i den nationella katalogen med attributsdefinitioner
- Förvaltar ramverk för kvalificering, kvalitetsgranskning och publicering av attributsdefinitioner.
- Domänkoordinator (exempelvis sektorsmyndigheter)
- Tar in behov av nya och förtydligade attributsdefinitioner från aktörer inom en sektor
- Förvaltar domänspecifika attribut i den nationella katalogen med attributsdefinitioner
- Lyfter behov gällande gemensamma attribut till nationell koordinator
Notera att att vissa attribut alltid föds från en nationellt gemensam källa (tex Skatteverkets Navet, Socialstyrelsens HOSP-register). Attributdefinitionerna för dessa attribut hanteras också via en domänkoordinator, även om parten ansvarig för källan har mycket att säga till om.
...
Detta avsnitt syftar till att redogöra för attributtyper i federativa B2B- och G2G-infrastrukturerinfrastrukturer för användning mellan organisationer eller över landsgränser. Målet är att etablera en modell som skapar semantisk tydlighet och utgör en tillförlitlig grund för beslut.
Grundprinciper
Alla attribut är inte av samma slag. Attribut kan exempelvis:
...
Dessa är ontologiskt olika.Attribut Attribut ska därför kategoriseras efter vad de representerar och efter deras semantiska natur.
Attribut som påverkar åtkomstbeslut får inte blandas med beskrivande eller "dekorativa" attribut.
Attributkategorier
| Kategori | Beskrivning | Källa / Förvaltning | Exempel |
|---|---|---|---|
Identitetsattribut | Attribut som beskriver individens juridiska eller officiella identitet. Det rör sig om egenskaper som tillhör individen oberoende av organisationstillhörighet, roll eller uppdrag. Dessa uppgifter har typiskt sin grund i officiella register och är, relativt sett, långlivade och stabila över tid. | Folkbokföring | personnummer, officiellt namn, födelsedatum. |
Representation - lokal | Attribut som beskriver hur hemorganisationen representerar individen. Det rör sig om identifierande egenskaper som är kopplade till individen och genom vilka denne är känd, identifierbar eller tekniskt representerad inom den egna organisationen. Dessa attribut är organisatoriskt kontextbundna och kan förändras över tid, exempelvis vid byte av roll, system eller organisatorisk tillhörighet. | Hemorganisationens hr-system | uuid, användarnamn, tjänstebeteckning |
Representation - federativ | Hemorganisationens tekniska identifierare som används i federationen. Dessa attribut är säkerhetskritiska och deras stabilitet regleras av federationen. De är inte personliga egenskaper utan tekniska identifieringsartefakter. | Hemorganisationens hr-system | subject-id, pairwise-id, eduPersonPrincipalName, healthCareProviderHsaId. |
Relationsattribut | Attribut som beskriver strukturell koppling mellan individ och en organisation. Detta är en relation – inte en egenskap hos personen. | Uppdragsgivarens hr- eller verksamhetssystem | organisationsnamn, organisatorisk enhet/avdelning, skolenhetskod, affiliation (t ex personal, elev) |
Mandatattribut | Attribut som beskriver att individen representerar en organisation i en viss funktion eller ett uppdrag. Dessa attribut kan vara tidsbegränsade, transaktionsbundna och representera en funktionell roll. Mandat är inte samma sak som affiliation. | Uppdragsgivarens hr- eller verksamhetssystem | commissionHsaId, sisSchoolCourseTeacher |
Rättighetsattribut | Policybärande attribut som anger vad individen får göra – rätt att använda en resurs eller utföra en handling. | eduPersonEntitlement | |
Kommunikationsattribut | Attribut som beskriver kanaler genom vilka individen kan kontaktas eller nås. | Uppdragsgivarens hr- eller verksamhetssystem | e-postadress, telefonnummer, mobilnummer |
Transaktionella attribut | Attribut utanför subjektet som beskriver händelser om autentisering och/eller intygutgivning vid en specifik tidpunkt. Beskriver händelsen och är inte en egenskap hos individen, snarare tillhör intygsmetadata. | Identitets- och åtkomstintygstjänster | identifieringens tillitsnivå, transaktionsid, delegeringskedja |
Attributmodell
I federativa B2B- och G2G-miljöer federativa miljöer används attribut för att:
- identifiera och tekniskt representera individer och systemaktörer,
- beskriva organisatorisk tillhörighet,
- förmedla mandat och rättigheter, samt
- dokumentera förutsättningarna för autentisering och intygsutgivning.
Trots detta behandlas attribut ofta som en enhetlig mängd egenskaper. I praktiken representerar de dock fundamentalt skilda semantiska kategorier. När dessa kategorier inte hålls isär uppstår otydliga behörighetsbeslut, bristande tillitsbedömningar, juridisk osäkerhet och försämrad interoperabilitet, vilket i sin tur försvårar standardisering.
Begreppet organisation är ett tydligt exempel på denna problematik. Det används i flera olika betydelser, exempelvis som:
- utfärdare av identitetsintyg vid e-legitimering,
- individens organisatoriska hemvist, eller
- uppdragsgivare i en specifik handling/situation.
När dessa betydelser sammanblandas uppstår otydlighet i ansvar, mandat och tillit, vilket leder till felaktiga behörighetsbeslut, oklara rättsliga relationer och interoperabilitetsproblem.
Teknisk aktör
Placeholder för subject som kan vara api, api-klienter, etc.
...