Versions Compared

Old Version 197

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 198

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Info

Följande roller och ansvar BÖR etableras:

  1. Nationell koordinator (förslagsvis ledningsaktören för Samordnad identitet och behörighet, Digg)
    1. Äger och förvaltar den övergripande domänstrukturen och tillser att varje domän har en utsedd domänkoordinator.
    2. Tar in behov av nya och förtydligade attributsdefinitioner från domänkoordinatorer
    3. Förvaltar en nationell katalog för attributsdefinitioner
    4. Förvaltar domänoberoende attribut i den nationella katalogen med attributsdefinitioner
    5. Förvaltar ramverk för kvalificering, kvalitetsgranskning och publicering av attributsdefinitioner.

  2. Domänkoordinator (exempelvis sektorsmyndigheter)
    1. Tar in behov av nya och förtydligade attributsdefinitioner från aktörer inom en sektor
    2. Förvaltar domänspecifika attribut i den nationella katalogen med attributsdefinitioner
    3. Lyfter behov gällande gemensamma attribut till nationell koordinator

Notera att vissa attribut alltid föds från en nationellt gemensam källa (tex Skatteverkets Navet, Socialstyrelsens HOSP-register). Attributdefinitionerna för dessa attribut hanteras också via en domänkoordinator, även om parten ansvarig för källan har mycket att säga till om.

Exempel på domäner

DomänDomänkoordinator
Hälso- och sjukvård (Health)E-hälsomyndigheten
Skola och utbildning (edu)SIS
Forskning och högre utbildningarSUNET
TransportTransportstyrelsen


Expand
titleYtterligare underlag ...

Exempel på förvaltningsstruktur - Transportsektorn

  1. Ledningsaktören för Samordnad identitet och behörighet är Digg.
    1. Digg utser Transportstyrelsen till domänkoordinator för Transport-domänen.
  2. Transportstyrelsen är således domänkoordinator
    1. Transportstyrelsen ansvarar även för attributkällor för vissa domänunika attribut - tex fordonsägare i Fordionsregistret.
    2. Trafikverket ansvarar för andra centrala attributkällor inom Transport-domänen och koordinerar tillhörande attributsdefinitioner med Transportstyrelsen - tex registreringsinformation om enskild väg.

...

Expand
titleYtterligare underlag ...

Hypotes

Alla attribut är inte av samma slag. Attribut kan exempelvis:

  • Avse individen som sådan,
  • Uttrycka en teknisk representation av individen,
  • Definiera en relation kopplad till individen
  • Ange ett mandat som individen har tilldeltas
  • Definiera en rättighet inom vilken individen får agera, eller
  • Beskriva en händelse om autentisering och intygsutgvining.

Dessa är ontologiskt olika. Attribut ska därför kategoriseras efter vad de representerar och efter deras semantiska natur.

Attribut som påverkar åtkomstbeslut får inte blandas med beskrivande eller "dekorativa" attribut.

Attributmodell

I federativa miljöer används attribut för att:

  1. identifiera och tekniskt representera individer och systemaktörer,
  2. beskriva organisatorisk tillhörighet,
  3. förmedla mandat och rättigheter, samt
  4. dokumentera förutsättningarna för autentisering och intygsutgivning.

Trots detta behandlas attribut ofta som en enhetlig mängd egenskaper. I praktiken representerar de dock fundamentalt skilda semantiska kategorier. När dessa kategorier inte hålls isär uppstår otydliga behörighetsbeslut, bristande tillitsbedömningar, juridisk osäkerhet och försämrad interoperabilitet, vilket i sin tur försvårar standardisering.

Begreppet organisation är ett tydligt exempel på denna problematik. Det används i flera olika betydelser, exempelvis som:

  1. utfärdare av identitetsintyg vid e-legitimering,
  2. individens organisatoriska hemvist, eller
  3. uppdragsgivare i en specifik handling/situation.

När dessa betydelser sammanblandas uppstår otydlighet i ansvar, mandat och tillit, vilket leder till felaktiga behörighetsbeslut, oklara rättsliga relationer och interoperabilitetsproblem.

Teknisk aktör

Placeholder för subject som kan vara api, api-klienter, etc.

Frågeställningar

Här finns ett antal frågor att besvara innan vi kan detaljera attributramverket.

  • Vem har givit ut e-legitimationen?
  • Vem är personens huvudsakliga arbetsgivare?
  • Vem är personens uppdragsgivare för den rolll personen agerar i just nu?

Ska namnet på attributet spegla källan, till exempel /eid för e-legitimation och /idp för IdP?

I den överenskommelse som finns mellan regionerna och E-hälsomyndigheten när det gäller den SAML-propageringslösning för åtkomst till NLL har man etablerat en namnstandard för attribut som härrör sig från IdP:n. Ett exempel på detta är https://idp.inera.se/attributes/identityProviderForSign Som man kan se så innehåller attributnamnet referens till en organisation. En mera neutral namngivning på detta attribut kunde vara https://federationer.se/attribute/idp/1.0/identityProviderForSign

I vissa användningsfall är det viktigt för e-tjänsten som begär attributen att skilja på om attributen kommer från själva e-legitimationen eller från attributkällan. För Ineras IdP så går det att peka ut certifikatets givenName med attributet urn:credential:givenName. Motsvarande attribut som hämtas från katalogen är http://sambi.se/attributes/1/givenName eller urn:oid:2.5.4.42 (enligt Sweden Connects namnsättning), beroende på vilken IdP man ansluter till.  I det senare fallet finns det ingen metod att peka ut attributet som är e-legitimationsspecifikt. 

Det spännande attributet orgAffiliation som heter urn:oid:1.2.752.201.3.1 enligt Sweden Connect och som i Ineras fall betyder att källan är katalogen, knutet till uppdraget, att jämföra med https://idp.inera.se/attributes/userOrgAffiliation som är knutet till en personpost i katalogen, oberoende av uppdrag men beroende på vilken organisation som användaren tillhör.

Vi skulle kunna tänka oss följande motsvarande attribut i ramverket

https://id.ena-infrastructure.se/attributes/health/1.0/orgAffiliation

https://id.ena-infrastructure.se/attributes/health/1.0/userOrgAffiliation

OID som attributnamn

Ska vi använda Sweden Connects namn på vissa av  attributen vilket i praktiken innebär OID:ar? Ska vi då förutsätta att attributen härrör från e-legitimationen? Det stämmer inte med nuvarande realiseringar som t ex Inera har.

Så här är Sweden Connects namn på ett attribut givenName: urn:oid:2.5.4.42

Övrig semantik i attributnamnet

Vissa attribut kan relatera till en anställds organisationstillhörighet eller uppdrag/roll, hur ska e-tjänsten kunna skilja på detta? I Ineras fall när det gäller den anställdes HSAid beror det på vilka andra attribut som e-tjänsten begär. Observera skillnaden mellan ett HSAid som är knutet till e-legitimationen och HSA-id som finns i katalogen. I den senare kategorin finns ingen namnsättning som skiljer på organisationstillhörighet och uppdragssituation.

När det gäller domänspecifika attribut inom vård och omsorg finns "health" med i attributnamnet https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicenseIdentityNumber bland de attribut som används för åtkomst till NLL och är överenskommet med E-hälsomyndigheten och regionerna.

Versionshantering av attribut

Ska attributnamnen ha en namnstandard som medger versionshantering enligt mönster från Sambi?

Exempel från Sambi: http://sambi.se/attributes/1/givenName 

Om vi använder det i ramverket:  https://federationer.se/attribute/1.0/givenName

Fördelar: om ett attribut får en annan betydelse, till exempel en annan värdemängd, behöver vi inte hitta på ett helt nytt namn utan bara byta som i detta fall 1.0 till 2.0. Den praktiska konsekvensen är att det är ett helt nytt attribut som kan leva parallellt med det gamla. Fråga: har detta någonsin använts i Sambi?

Info

En semantisk eller redaktionell uppdatering i profil → tekniskt breaking change
Och det är ofta oproportionerligt dyrt.

Konsekvens:

Versionsnumret i attributnamnet fryser på “1” för alltid. Det beror på att man undviker kostnaden för att byta – vilket gör versionen semantiskt meningslös.

Designprinciper som brukar fungera bättre:

Attributidentifieraren ska vara stabil
Versionering ska ske i profilen, inte i attributet
Om något förändras – använd kompatibilitetsprincipen
Om du kan uppdatera profilen utan att bryta existerande implementationer → behåll attributets URI.
Om det bryter → skapa nytt attribut och deprecera det gamla.

Slutsats: inget versionsnummer i attributnamnet, regel för detta arbete.

Attributlista

  1. Modellera för hur en attributprofil kan ha multipla attributinstanser, tex beroende på källa (attribut på e-leg, från en katalog), relaterad till ett eller flera uppdrag.
  2. Beskriv en modell för attributprofiler med personrelaterade attribut, e-leg-relaterade attribut, N x anställningsrelaterade attribut, M x uppdragsrelaterade uppdrag 
  3. Beskriv skillnaden mellan en IdP per organisation och en Idp som representerar flera organisationer

Frågor

  1. Personalidentity - både pnr och snr eller separata attribut?
  2. Ska vi lägga in synonymer från andra federationer, t ex Sambi? JA, se lista
  3. Kan vi lösa de olika synsätten på att peka ut e-legitimationen som källa i namnet genom att göra denna typ av attribut domänspecifika? (https://id.ena-infrastructure.se/attributes/surName jfr med https://id.ena-infrastructure.se/attributes/eid/health/surName). Ska källan i det första fallet vara okänd? Beroende på vilken IdP man använder?
  4. Attribut som saknas i nuvarande Sambi, t ex Middlename, vad gör vi med dom?
  5. Enhet som generellt attribut, andra är domänspecifika t ex vårdenhet, skolenhet?

Attributnamn

Namnen är hämtade från OIDC Core, OIDC Sweden och inspirerade av Sambis attributprofil. Domänen health kommer mycket från Ineras IdP då de också är överenskomna med Ehälsomyndigheten. Sweden Connect har gett eIDAS-namnen. Se referenser.

För att avgöra vad ett attribut eller claim ska heta och vilket scope ett claim eventuellt ska tillhöra, behövs en beslutsordning med hänvisning till befintliga standarder. Här har vi valt att illustrera denna beslutsordning i form av beslutsträd.

  •  Att göra: beslutsträd för SAML-namn

...

För att bestämma vilket namn ett claim ska ha, se nedan för beslutsträd.

...


Exemplifiering och validering


  1. Modellera för hur en attributprofil kan ha multipla attributinstanser, tex beroende på källa (attribut på e-leg, från en katalog), relaterad till ett eller flera uppdrag.
  2. Beskriv en modell för attributprofiler med personrelaterade attribut, e-leg-relaterade attribut, N x anställningsrelaterade attribut, M x uppdragsrelaterade uppdrag 
  3. Beskriv skillnaden mellan en IdP per organisation och en Idp som representerar flera organisationer


Frågor

  1. Personalidentity - både pnr och snr eller separata attribut?
  2. Ska vi lägga in synonymer från andra federationer, t ex Sambi? JA, se lista
  3. Kan vi lösa de olika synsätten på att peka ut e-legitimationen som källa i namnet genom att göra denna typ av attribut domänspecifika? (https://id.ena-infrastructure.se/attributes/surName jfr med https://id.ena-infrastructure.se/attributes/eid/health/surName). Ska källan i det första fallet vara okänd? Beroende på vilken IdP man använder?
  4. Attribut som saknas i nuvarande Sambi, t ex Middlename, vad gör vi med dom?
  5. Enhet som generellt attribut, andra är domänspecifika t ex vårdenhet, skolenhet?


Val av attribut

Namnen är hämtade från OIDC Core, OIDC Sweden och inspirerade av Sambis attributprofil. Domänen health kommer mycket från Ineras IdP då de också är överenskomna med Ehälsomyndigheten. Sweden Connect har gett eIDAS-namnen. Se referenser.

För att avgöra vad ett attribut eller claim ska heta och vilket scope ett claim eventuellt ska tillhöra, behövs en beslutsordning med hänvisning till befintliga standarder. Här har vi valt att illustrera denna beslutsordning i form av beslutsträd.


  •  Att göra: beslutsträd för SAML-namn


För att bestämma vilket namn ett claim ska ha, se nedan för beslutsträd.



draw.io Board Diagram
borderfalse
diagramNameEna claims std
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth1073
height1331
revision5

För att bestämma vilket scope ett claim eventuellt ska tillhöra, se beslutsträd nedan. Observera att domänansvarig kan bestämma en ökad granularitet, se attributlistan för exempel. Det kan också vara så att ett claim kan sakna scope.


draw.io Board Diagram
borderfalse
diagramNameBestämm Scopenamn Drawio
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth989
height1225
revision7


Attributlista


Info

Nedan första utkastet på attributlistan, den ska i detta läge ses främst som ett försök till att bestämma formatet då det är önskvärt att hålla ihop beskrivningen men ändå kunna filtrera på olika sätt.


Table Filter
fixedCols
totalrow,,,,,,,,,,,,,,,
hidelabelsfalse
ddSeparator‚‚‚‚‚‚
sparkNameSparkline
hidePaneFiltration panel
customNoTableMsgText
limitHeight
sparklinefalse
default,,,,,,
isFirstTimeEntertrue
cell-width250,250,250,250,250,250,250
hideColumnsfalse
totalRowName
totalColName
customNoTableMsgfalse
disabledfalse
enabledInEditorfalse
globalFilterfalse
id1776699475527_-1836505391
iconfilter
order0,1,2,3,4,5,6
hideControlsfalse
inversefalse,false,false,false,false,false,false
numbering
datefilter
columnDomän,Kategori,Källa,Sambi synonym,Sweden Connect synonym,Standard,OIDC scope
sort
totalcol
disableSavefalse
rowsPerPage
separatorPoint (.)
labelsDomän‚Kategori‚Källa‚Sambi synonym‚Sweden Connect synonym‚Standard‚OIDC scope
thousandSeparator
ignoreFirstNrows
ddOperatorOR,OR,OR,OR,OR,OR,OR
userfilter
datepatterndd M yy
numberfilter
heightValue
hideFilters
updateSelectOptionsfalse
worklog365|5|8|y w d h m|y w d h m
isORAND
showNRowsifNotFiltered
BeskrivningNamn (SAML)Namn (OIDC claim)OIDC scopeReferens (format)FriendlyNameSambi synonymSweden Connect synonymExempelvärdenStandardKällaKategoriDomän

Multivärde J/N

Scoped J/N

Kommentar
Vald IdPhttps://id.ena-infrastructure.se/attributes/identityProviderhttps://id.oidc.se/claim/authnProvider  urn:oid:1.2.752.201.3.15 identityProvider  
OIDC SverigeIntygsutfärdareTransaktionella attributgeneralN

Autentiseringsmetodsidhttps://id.ena-infrastructure.se/attributes/authenticationMethodhttps://id.ena-infrastructure.se/attributes/authenticationMethod
 authenticationMethod  

IntygsutfärdareTransaktionella attributgeneralN

Autentiseringsmetodhttps://id.ena-infrastructure.se/attributes/authnMethodamropenid authnMethod urn:sambi:names:attribute:authnMethod 
OIDC CoreIntygsutfärdareTransaktionella attributgeneralN

Transaktionsidhttps://id.ena-infrastructure.se/attributes/transactionIdentifierhttps://id.ena-infrastructure.se/attributes/transactionIdentifier urn:oid:1.2.752.201.3.2 transactionIdentifier  urn:oid:1.2.752.201.3.2

IntygsutfärdareTransaktionella attributgeneralN

Certifikathttps://id.ena-infrastructure.se/attributes/eid/certificatehttps://id.oidc.se/claim/userCertificate urn:oid:1.2.752.201.3.10 certificate  urn:oid:1.2.752.201.3.10
OIDC SverigeElegitimationIdentitetsattributgeneralN

Certifikatpolicieshttps://id.ena-infrastructure.se/attributes/eid/certificatePolicieshttps://id.ena-infrastructure.se/attributes/eid/certificatePolicies urn:oid:1.2.752.29.4.xxx certificatePolicies  

ElegitimationIdentitetsattributgeneralN

Tillitsnivåsaml2:AuthnContextClassRefacr openidurn:oid:1.2.752.201.3.3 AuthnContextClassRef urn:sambi:names:attribute:levelOfAssurance urn:oid:1.2.752.201.3.3
OIDC CoreIntygsutfärdareMandatattributgeneralN

Visningsnamnhttps://id.ena-infrastructure.se/attributes/displayNamename  https://id.oidc.se/scope/naturalPersonInfo
https://id.oidc.se/scope/naturalPersonOrgId
urn:oid:2.16.840.1.113730.3.1.241 displayName  urn:oid:2.16.840.1.
113730.3.1.241
OIDC CoreElegitimationInformationsattributgeneralN

Förnamnhttps://id.ena-infrastructure.se/attributes/givenNamegiven_name https://id.oidc.se/scope/naturalPersonInfourn:oid:2.5.4.42 givenName http://sambi.se/attributes/1/givenName urn:oid:2.5.4.42
OIDC CoreKatalogInformationsattributgeneralN

Förnamn

...

För att bestämma vilket scope ett claim eventuellt ska tillhöra, se beslutsträd nedan. Observera att domänansvarig kan bestämma en ökad granularitet, se attributlistan för exempel. Det kan också vara så att ett claim kan sakna scope.

...

Attribut

Info

Nedan första utkastet på attributlistan, den ska i detta läge ses främst som ett försök till att bestämma formatet då det är önskvärt att hålla ihop beskrivningen men ändå kunna filtrera på olika sätt.

Table Filter
fixedCols
totalrow,,,,,,,,,,,,,,,
hidelabelsfalse
ddSeparator‚‚‚‚‚‚
sparkNameSparkline
hidePaneFiltration panel
customNoTableMsgTextlimitHeight
sparklinefalse
default,,,,,,
isFirstTimeEntertrue
cell-width250,250,250,250,250,250,250
hideColumnsfalse
totalRowNametotalColName
customNoTableMsgfalse
disabledfalse
enabledInEditorfalse
globalFilterfalse
id1776699475527_-1836505391
iconfilter
order0,1,2,3,4,5,6
hideControlsfalse
inversefalse,false,false,false,false,false,false
numberingdatefilter
columnDomän,Kategori,Källa,Sambi synonym,Sweden Connect synonym,Standard,OIDC scope
sorttotalcol
disableSavefalse
rowsPerPage
separatorPoint (.)
labelsDomän‚Kategori‚Källa‚Sambi synonym‚Sweden Connect synonym‚Standard‚OIDC scope
thousandSeparatorignoreFirstNrows
ddOperatorOR,OR,OR,OR,OR,OR,OR
userfilter
datepatterndd M yy
numberfilterheightValuehideFilters
updateSelectOptionsfalse
worklog365|5|8|y w d h m|y w d h m
isORAND
showNRowsifNotFiltered
BeskrivningNamn (SAML)Namn (OIDC claim)OIDC scopeReferens (format)FriendlyNameSambi synonymSweden Connect synonymExempelvärdenStandardKällaKategoriDomän

Multivärde J/N

Scoped J/N

Kommentar
Vald IdPhttps://id.ena-infrastructure.se/attributes/eid/health/identityProvidergivenNamehttps://id.oidcena-infrastructure.se/claim/authnProvider attributes/eid/health/givenName https://id.ena.se/scopes/health/eidurn urn:oid:1.2.7525.2014.3.1542 identityProvidergivenName  

OIDC SverigeElegitimationIntygsutfärdareInformationsattributTransaktionella attributhealthgeneralN

AutentiseringsmetodsidEfternamnhttps://id.ena-infrastructure.se/attributes/authenticationMethodsurNamefamily_name https://id.ena-infrastructureoidc.se/attributesscope/authenticationMethod authenticationMethod  IntygsutfärdareTransaktionella attributgeneralNAutentiseringsmetodhttps://id.ena-infrastructure.se/attributes/authnMethodamropenid authnMethod urn:sambi:names:attribute:authnMethod OIDC CoreIntygsutfärdarenaturalPersonInfourn:oid:2.5.4.4 surName http://sambi.se/attributes/1/surname urn:oid:2.5.4.4
OIDC CoreKatalogInformationsattributTransaktionella attributgeneralN

TransaktionsidEfternamnhttps://id.ena-infrastructure.se/attributes/transactionIdentifiereid/health/surNamehttps://id.ena-infrastructure.se/attributes/transactionIdentifiereid/health/surName https://id.ena.se/scopes/health/eid urn:oid:1.2.7525.201.3.24.4 surName transactionIdentifier  urn:oid:1.2.752.201.3.2IntygsutfärdareTransaktionella attribut
OIDC SverigeElegitimationInformationsattributhealthgeneralN

CertifikatPersonnummerhttps://id.ena-infrastructure.se/attributes/eid/certificatepersonalIdentityNumberhttps://id.oidc.se/claim/userCertificate
personalIdentityNumber		 https://id.oidc.se/scope/naturalPersonNumberurn:oid:1.2.752.20129.34.1013 certificatepersonalIdentityNumber http://sambi.se/attributes/1/personalIdentityNumber urn:oid:1.2.752.20129.34.1013
OIDC SverigeElegitimationKatalogIdentitetsattributgeneralN

CertifikatpoliciesPersonnummerhttps://id.ena-infrastructure.se/attributes/eid/health/certificatePoliciespersonalIdentityNumberhttps://id.ena-infrastructure.se/attributes/eid/certificatePolicieshealth/personalIdentityNumber https://id.ena.se/scopes/health/eidurn:oid:1.2.752.29.4.xxx13 certificatePoliciespersonalIdentityNumber  

ElegitimationIdentitetsattributgeneralhealthN
I många implementationer innehåller detta attribut även samordningsnummer
SamordningsnummerTillitsnivåsaml2:AuthnContextClassRefacr openidurn:oid:1.2.752.201.3.3 AuthnContextClassRef urn:sambi:names:attribute:levelOfAssurance urn:oid:1.2.752.201.3.3OIDC CoreIntygsutfärdareMandatattributgeneralNVisningsnamnhttps://id.ena-infrastructure.se/attributes/displayNamecoordinationNumbername  https://id.oidc.se/scopeclaim/naturalPersonInfo
coordinationNumber		 https://id.oidc.se/scope/naturalPersonOrgIdnaturalPersonNumberurn:oid:1.2.16752.84029.1.113730.3.1.2414.13coordinationNumber displayName  urn:oid:2.16.840.1.113730.3.1.241OIDC CoreElegitimation
OIDC SverigeKatalogIdentitetsattributInformationsattributgeneralN
Återfinns ofta i personaldentityNumber
SamordningsnummerFörnamnhttps://id.ena-infrastructure.se/attributes/givenNamegiven_nameeid/health/coordinationNumber https://id.oidcena-infrastructure.se/attributes/scope/naturalPersonInfourn:oid:2.5.4.42 givenName http://sambi.se/attributes/1/givenName urn:oid:2.5.4.42OIDC CoreKatalogInformationsattributgeneralNeid/health/coordinationNumber https://id.ena.se/scopes/health/eidurn:oid:1.2.752.29.4.13coordinationNumber  

ElegitimationIdentitetsattributhealthN

HSA-id för anställdFörnamnhttps://id.ena-infrastructure.se/attributes/eid/health/givenNameemployeeHsaId https://id.ena-infrastructure.se/attributes/eid/health/givenNameemployeeHsaId https://id.ena.se/scopes/health/eidcommissionurn:oid:1.2.752.29.56.42.421 givenNameemployeeHsaId  Elegitimationhttp://sambi.se/attributes/1/employeeHsaIdurn:oid:1.2.752.29.6.2.1

KatalogIdentitetsattributInformationsattributhealthNEfternamn

HSA-id för anställdhttps://id.ena-infrastructure.se/attributes/surNamefamily_nameeid/health/employeeHsaId https://id.oidcena-infrastructure.se/scope/naturalPersonInfoattributes/eid/health/employeeHsaId urn:oid:1.2.752.29.56.42.41 surNameemployeeHsaId http://sambi.se/attributes/1/surnameurn urn:oid:1.2.752.529.6.42.41

OIDC CoreElegitimationKatalogIdentitetsattributInformationsattributgeneralhealthNEfternamn

Anställds organisationstillhörighet, idhttps://id.ena-infrastructure.se/attributes/eid/health/surName/organizationIdentifierhttps://id.ena-infrastructureoidc.se/attributes/eid/health/surNameclaim/orgNumber  https://id.enaoidc.se/scopesscope/health/eidnaturalPersonOrgIdurn:oid:2.5.4.4 surName 97orgNumberhttp://sambi.se/attributes/1/organizationIdentifierurn:oid:2.5.4.97

8024050190

 

OIDC Sverige

ElegitimationKatalogInformationsattributRelationsattributhealthgeneralNPersonnummer

Anställds organisationstillhörighet, namnhttps://id.ena-infrastructure.se/attributes/personalIdentityNumberorganizationNamehttps://id.oidc.se/claim/
personalIdentityNumberorgName 		 https://id.oidc.se/scope/naturalPersonNumbernaturalPersonOrgIdurn urn:oid:1.2.7525.29.4.1310personalIdentityNumberOrganizationName http://sambi.se/attributes/1/personalIdentityNumberorganizationName urnurn:oid:1.2.752.295.4.1310


OIDC Sverige

KatalogIdentitetsattributRelationsattributgeneralNPersonnummer

Anställds relation till avdelning eller förvaltning inom organisationenhttps://id.ena-infrastructure.se/attributes/eid/health/personalIdentityNumberorgUnithttps://id.ena-infrastructure.se/attributes/eid/health/personalIdentityNumber https://id.enaoidc.se/scopes/health/eidclaim/orgUnit urn:oid:1.2.752.292.5.4.11ou
urn:oid:2.5.4.13personalIdentityNumber  ElegitimationIdentitetsattributhealthNI många implementationer innehåller detta attribut även samordningsnummerSamordningsnummer11

Barn- och ungdomsförvaltningen

OIDC Sverige

KatalogRelationsattributgeneralJN
Anställds organisationstillhörighet   knutet till uppdraget eller aktuell organisation, idhttps://id.ena-infrastructure.se/attributes/health/coordinationNumberOrganizationIdentifier https://id.oidcena-infrastructure.se/claim/
coordinationNumber httpsattributes/health/OrganizationIdentifier		 urn:oid:2.5.4.97organizationIdentifierhttp://idsambi.oidc.se/scopeattributes/1/naturalPersonNumberorganizationIdentifierurn:oid:1.2.7525.29.4.13coordinationNumber  OIDC Sverige97

KatalogIdentitetsattributRelationsattributgeneralhealthNÅterfinns ofta i personaldentityNumber

SamordningsnummerAnställds organisationstillhörighet   knutet till uppdraget eller aktuell organisation, namnhttps://id.ena-infrastructure.se/attributes/eid/health/coordinationNumberOrganizationNamehttps://id.ena-infrastructure.se/attributes/eid/health/coordinationNumber httpsOrganizationName  urn:oid:2.5.4.10

OrganizationName

o

http://id.enasambi.se/scopesattributes/health1/eidorganizationNameurn:oid:1.2.7525.29.4.1310

coordinationNumberKatalog  ElegitimationIdentitetsattributRelationsattributhealthNHSA-id för anställd

OrgAffiliation, knutet till uppdraget eller aktuell organisationhttps://id.ena-infrastructure.se/attributes/health/employeeHsaIdOrgAffiliation https://id.ena-infrastructureoidc.se/attributes/health/employeeHsaIdclaim/
orgAffiliation		 https://id.enaoidc.se/scopesscope/health/commissionnaturalPersonOrgIdurn:oid:1.2.752.29201.63.2.1employeeHsaId http://sambi.se/attributes/1/employeeHsaIdOrgAffiliation
urn:oid:1.2.752.29201.63.2.1
OIDC SverigeKatalogIdentitetsattributhealthgeneralNHSA-id för anställd

OrgAffiliation, knutet till E-legitimationenhttps://id.ena-infrastructure.se/attributes/eid/health/employeeHsaIdOrgAffiliation https://id.ena-infrastructure.se/attributes/eid/health/employeeHsaIdOrgAffiliation urn:oid:1.2.752.29.6.2.1employeeHsaId https://id.ena.se/scopes/health/eid urnurn:oid:1.2.752.29201.6.23.1OrgAffiliation



ElegitimationIdentitetsattributhealthNAnställds organisationstillhörighet, id

E-posthttps://id.ena-infrastructure.se/attributes/organizationIdentifierhttps://id.oidc.se/claim/orgNumber mailemailemail https://id.oidc.se/scope/naturalPersonOrgIdurn:oid:2.5.4.970.9.2342.19200300.100.1.3emailorgNumberhttp://sambi.se/attributes/1/organizationIdentifiermailurn urn:oid:2.5.4.97

8024050190

OIDC Sverige

KatalogRelationsattributgeneralN0.9.2342.19200300.100.1.3OIDC CoreKatalogKommunikationsattributgeneralJ

TelefonAnställds organisationstillhörighet, namnhttps://id.ena-infrastructure.se/attributes/organizationNamehttps://id.oidc.se/claim/
orgName 		 https://id.oidc.se/scope/naturalPersonOrgIdphonenumberphone_number urn urn:oid:2.5.4.10OrganizationName20phone_Number http://sambi.se/attributes/1/organizationNametelephoneNumberurn urn:oid:2.5.4.1020
OIDC SverigeCoreKatalogRelationsattributKommunikationsattributgeneralN

J



MobilAnställds relation till avdelning eller förvaltning inom organisationenhttps://id.ena-infrastructure.se/attributes/orgUnitmobilehttps://id.oidcena-infrastructure.se/claimattributes/orgUnitmobile urn:oid:2.5.4.11ouurn:oid:2.5.4.11

Barn- och ungdomsförvaltningen

OIDC Sverige

KatalogRelationsattributgeneralJN0.9.2342.19200300.100.1.41mobile http://sambi.se/attributes/1/mobileTelephoneNumber urn:oid:0.9.2342.19200300.100.1.41

KatalogKommunikationsattributgeneralJ

FörskrivarkodAnställds organisationstillhörighet   knutet till uppdraget eller aktuell organisation, idhttps://id.ena-infrastructure.se/attributes/health/OrganizationIdentifierpersonalPrescriptionCode https://id.ena-infrastructure.se/attributes/health/OrganizationIdentifierpersonalPrescriptionCode https://id.ena.se/scopes/health/commissionurn:oid:1.2.752.116.53.41.972organizationIdentifierpersonalPrescriptionCode http://sambi.se/attributes/1/organizationIdentifierpersonalPrescriptionCode urn:oid:2.5.4.97

KatalogRelationsattributMandatattributhealthN

Anställds organisationstillhörighet   knutet till uppdraget eller aktuell organisation, namnGruppförskrivarkodhttps://id.ena-infrastructure.se/attributes/health/OrganizationNamegroupPrescriptionCodehttps://id.ena-infrastructure.se/attributes/health/OrganizationNamegroupPrescriptionCode https://id.ena.se/scopes/health/commissionurn urn:oid:1.2.5752.29.4.10132groupPrescriptionCode

OrganizationName

o		http://sambi.se/attributes/1/organizationNamegroupPrescriptionCode urn:oid:2.5.4.10

KatalogRelationsattributMandatattributhealthN


YrkesgruppOrgAffiliation, knutet till uppdraget eller aktuell organisationhttps://id.ena-infrastructure.se/attributes/OrgAffiliationhealth/healthcareProfessionalLicensehttps://id.oidcena-infrastructure.se/claimattributes/health/healthcareProfessionalLicenseorgAffiliation https://id.oidcena.se/scopescopes/health/naturalPersonOrgIdcommissionurn:oid:1.2.752.201116.3.1.3OrgAffiliationhealthcareProfessionalLicenseurn:oid:1.2.752.201.3.1 http://sambi.se/attributes/1/healthcareProfessionalLicense OIDC Sverige

KatalogIdentitetsattributMandatattributgeneralhealthNJ

Yrkeskategorier för personal inom vård och omsorg, komplement till healthcareProfessionalLicenseOrgAffiliation, knutet till E-legitimationenhttps://id.ena-infrastructure.se/attributes/eid/health/OrgAffiliationoccupationalCodehttps://id.ena-infrastructure.se/attributes/eid/health/OrgAffiliationoccupationalCode https://id.ena.se/scopes/health/eidcommission urnurn:oid:1.2.752.201.3.1OrgAffiliationElegitimationIdentitetsattributhealthN221.100.1.1occupationalCode http://sambi.se/attributes/1/occupationalCode 

KatalogMandatattributhealthJ

Identitet öppenvårdsapotekhttps://id.ena-infrastructure.se/attributes/health/pharmacyIdentifierE-posthttps://id.ena-infrastructure.se/attributes/health/mailemailemailpharmacyIdentifier https://id.ena.se/scopes/health/commissionurn:oid:01.92.2342752.19200300221.100.1.32emailpharmacyIdentifier http://sambi.se/attributes/1/mail urn:oid:0.9.2342.19200300.100.1.3OIDC CoreKatalogKommunikationsattributgeneralJpharmacyIdentifier 

KatalogMandatattributhealthN

Organisationsnummer för vårdgivareTelefonhttps://id.ena-infrastructure.se/attributes/phonenumberphone_numberhealth/healthcareProviderIdhttps://id.ena-infrastructure.se/attributes/health/healthcareProviderId https://id.ena.se/scopes/health/commission urn:oid:2.5.4.2097phone_NumberhealthcareProviderId http://sambi.se/attributes/1/telephoneNumber urn:oid:2.5.4.20healthcareProviderId  OIDC Core

KatalogKommunikationsattributRelationsattributgeneralhealth

J

N

HSA-id för vårdgivareMobilhttps://id.ena-infrastructure.se/attributes/mobilehealth/healthcareProviderHsaIdhttps://id.ena-infrastructure.se/attributes/health/mobilehealthcareProviderHsaId https://id.ena.se/scopes/health/commissionurn:oid:01.2.9752.234229.192003006.10010.1.41mobilehealthcareProviderHsaId http://sambi.se/attributes/1/mobileTelephoneNumberhealthCareProviderHsaId  urn:oid:0.9.2342.19200300.100.1.41

KatalogKommunikationsattributRelationsattributgeneralhealthJN

HSA-id för vårdgivare, namnFörskrivarkodhttps://id.ena-infrastructure.se/attributes/health/personalPrescriptionCodehealthcareProviderNamehttps://id.ena-infrastructure.se/attributes/health/personalPrescriptionCodehealthcareProviderName https://id.ena.se/scopes/health/commissionurn:oid:1.2.752.11629.36.110.2personalPrescriptionCodehealthCareProviderName http://sambi.se/attributes/1/personalPrescriptionCodehealthCareProviderName 

KatalogMandatattributInformationsattributhealthNGruppförskrivarkod

 HSA-id för vårdenhet https://id.ena-infrastructure.se/attributes/health/groupPrescriptionCodehealthcareUnitHsaId  https://id.ena-infrastructure.se/attributes/health/groupPrescriptionCodehealthcareUnitHsaId https://id.ena.se/scopes/health/commissionurn urn:oid:1.2.752.29.46.13.1321groupPrescriptionCode healthcareUnitHsaId http://sambi.se/attributes/1/groupPrescriptionCodehealthCareUnitHsaId 

KatalogMandatattributRelationsattributhealthN

YrkesgruppVårdenhetsnamn https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicensehealthcareUnitNamehttps://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicensehealthcareUnitName https://id.ena.se/scopes/health/commissionurn:oid:1.2.752.11629.36.113.32healthcareProfessionalLicensehealthCareUnitName http://sambi.se/attributes/1/healthcareProfessionalLicensehealthCareUnitName 

KatalogMandatattributInformationsattributhealthJN

BefattningskoderYrkeskategorier för personal inom vård och omsorg, komplement till healthcareProfessionalLicensehttps://id.ena-infrastructure.se/attributes/health/occupationalCodepaTitleCodehttps://id.ena-infrastructure.se/attributes/health/occupationalCodepaTitleCode https://id.ena.se/scopes/health/commissionurn:oid:1.2.752.221129.2.1002.1.14occupationalCodepaTitleCode http://sambi.se/attributes/1/occupationalCodepaTitleCode 

KatalogMandatattributhealthJIdentitet öppenvårdsapotek

HSA-id för uppdraghttps://id.ena-infrastructure.se/attributes/health/pharmacyIdentifiercommissionHsaIdhttps://id.ena-infrastructure.se/attributes/health/pharmacyIdentifiercommissionHsaId https://id.ena.se/scopes/health/commissionurn:oid:1.2.752.22129.6.10012.1.2pharmacyIdentifiercommissionHsaId http://sambi.se/attributes/1/pharmacyIdentifiercommissionHsaId 

KatalogMandatattributInformationsattributhealthN

Organisationsnummer för vårdgivareUppdragsnamnhttps://id.ena-infrastructure.se/attributes/health/healthcareProviderIdcommissionNamehttps://id.ena-infrastructure.se/attributes/health/healthcareProviderIdcommissionName

 https://id.ena.se/scopes/health/commissionurn:oid:1.2.5.4.97healthcareProviderId752.29.6.12.2commissionName http://sambi.se/attributes/1/healthcareProviderId commissionName 

KatalogRelationsattributInformationsattributhealthNHSA-id för vårdgivare

Uppdragets ändamålhttps://id.ena-infrastructure.se/attributes/health/healthcareProviderHsaIdcommissionPurposehttps://id.ena-infrastructure.se/attributes/health/healthcareProviderHsaIdcommissionPurpose https://id.ena.se/scopes/health/commissionurn urn:oid:1.2.752.29.6.104.1125healthcareProviderHsaId commissionPurpose http://sambi.se/attributes/1/healthCareProviderHsaIdcommissionPurpose  

KatalogRelationsattributMandatattributhealthNHSA-id för vårdgivare, namn

 Uppdragets rättigheter https://id.ena-infrastructure.se/attributes/health/healthcareProviderNamecommissionRight https://id.ena-infrastructure.se/attributes/health/healthcareProviderNamecommissionRight https://id.ena.se/scopes/health/commissionurn urn:oid:1.2.752.29.64.10.2124healthCareProviderName commissionRight http://sambi.se/attributes/1/healthCareProviderNamecommissionRight 

KatalogInformationsattributMandatattributhealthNJ

 Systemrättigheter HSA-id för vårdenhet https://id.ena-infrastructure.se/attributes/health/healthcareUnitHsaIdsystemRole  https://id.ena-infrastructure.se/attributes/health/healthcareUnitHsaIdsystemRole https://id.ena.se/scopes/health/commission urn:oid:1.2.752.29.64.13.195 healthcareUnitHsaId systemRole 

http://sambi.se/attributes/1/

healthCareUnitHsaId

systemRole

 

KatalogRelationsattributMandatattributhealthNVårdenhetsnamnJ

Specialistkoder för legitimerad yrkesgrupp https://id.ena-infrastructure.se/attributes/health/healthcareUnitNamehealthcareProfessionalLicenceSpecialityhttps://id.ena-infrastructure.se/attributes/health/healthcareUnitNamehealthcareProfessionalLicenceSpeciality https://id.ena.se/scopes/health/commissioncommission

Legitimerad yrkesgrupp
urn:oid:1.2.752.116.3.1.3

Specialistkoder
urn:oid:1.2.752.116.3.1.6
urn:oid:1.2.752.116.3.1.7
urn:oid:1.2.752.

29

116.

6

3.

13

1.

2		healthCareUnitName http://sambi.se/attributes/1/healthCareUnitName KatalogInformationsattributhealthNBefattningskoderhttps://id.ena-infrastructure.se/attributes/health/paTitleCodehttps://id.ena-infrastructure.se/attributes/health/paTitleCode https://id.ena.se/scopes/health/commission

8
urn:oid:1.2.752.116.3.1.9
urn:oid:1.2.752.116.3.1.10


urn:oid:1.2.752.

129

116.

2

3.

2.

1.

4

15

paTitleCodehealthcareProfessionalLicenceSpeciality http://sambi.se/attributes/1/paTitleCode /attributes/1/healthCareProfessionalLicenceSpeciality 

healthCareProfessionalLicenseCode":"

LK","specialityCode":"30014","specialityName":"Barn-ochungdomshematologi och onkologi"


KatalogMandatattributhealthJHSA-id för uppdrag

Unik identitet(löpnummer) för enperson i HOSPhttps://id.ena-infrastructure.se/attributes/health/commissionHsaIdhealthcareProfessionalLicenseIdentityNumberhttps://id.ena-infrastructure.se/attributes/health/commissionHsaIdhealthcareProfessionalLicenseIdentityNumber https://id.ena.se/scopes/health/commission

urn:oid:1.2.752.

29

116.

6

3.

12

1.1

commissionHsaIdhealthcareProfessionalLicenseIdentityNumber http://sambi.se/attributes/1/commissionHsaIdhealthcareProfessionalLicenseIdentityNumber 



KatalogInformationsattributIdentitetsattributhealthNUppdragsnamn

Yrkeskategorier för personal inom vård- ochomsorg som inte finnsreglerat i annat ellermer formellt register.Exempelvisyrkeskategorier som intehar yrkeslegitimation irelation tillsocialstyrelsenhttps://id.ena-infrastructure.se/attributes/health/commissionNameveterinaryIdentificationNumberhttps://id.ena-infrastructure.se/attributes/health/commissionNameveterinaryIdentificationNumber https://id.ena.se/scopes/health/commission

urn:oid:1.2.752.

29

221.

6

100.

12

1.

2

3

commissionNameveterinaryIdentificationNumber http://sambi.se/attributes/1/commissionNameveterinaryIdentificationNumber 



KatalogInformationsattributIdentitetsattributhealthNUppdragets ändamål

 Samtliga uppdrag för en användare https://id.ena-infrastructure.se/attributes/health/commissionPurposeallCommissions https://id.ena-infrastructure.se/attributes/health/commissionPurposeallCommissions https://id.ena.se/scopes/health/commission urn:oid:1.2.752.29.4.125 commissionPurposeallCommissions  allCommissionshttp://sambi.se/attributes/1/commissionPurpose  

KatalogMandatattributhealthN Uppdragets rättigheter

 Samtliga administrativa uppdrag för en användare https://id.ena-infrastructure.se/attributes/health/commissionRightauthorizationScope https://id.ena-infrastructure.se/attributes/health/commissionRightauthorizationScope https://id.ena.se/scopes/health/commissionauthorizationScope urn:oid:1.2.752.29221.100.1.4.124 commissionRight authorizationScope http://sambi.se/attributes/1/commissionRightadministrationTask 

KatalogMandatattributhealthJN

 SystemrättigheterGlobal federationsanvändarnamn https://id.ena-infrastructure.se/attributes/healthedu/systemRole  https://id.ena-infrastructure.se/attributes/health/systemRoleeduPersonPrincipalName  Använd istället subject-id  https://id.ena.se/scopes/health/commission urn:oid:1.23.7526.291.4.95 systemRole

http://sambi.se/attributes/1/systemRole

 KatalogMandatattributhealthJSpecialistkoder för legitimerad yrkesgrupp.1.5923.1.1.1.6 eduPersonPrincipalNamesubject-id  ee755715-f486-4808-a82b-99a7a66da7d3@edu.goteborg.se 
Katalog
eduNJ
Personnummer, samordningsnummer, TF-nummer, reserv-ID eller utländska identitetsbeteckning (t ex eIDAS)

 https://id.ena-infrastructure.se/attributes/

health

edu/

healthcareProfessionalLicenceSpeciality

norEduPersonNIN

https://id.ena-infrastructure.se/attributes/healthedu/healthcareProfessionalLicenceSpecialitynorEduPersonNIN https://id.ena.se/scopes/health/commissionedu urnLegitimerad yrkesgrupp
urn:oid:1.2.752.116.3.1.3Specialistkoder
urn:oid:1.2.752.116.3.1.6
urn:oid:1.2.752.116.3.1.7
urn:oid:1.2.752.116.34.1.8
urn:oid:1.2.752.116.3.1.9
urn:oid:1.2.752.116.3.1.10
urn:oid:1.2.752.116.32428.90.1.155		healthcareProfessionalLicenceSpeciality http://sambi.se/attributes/1/healthCareProfessionalLicenceSpeciality 

healthCareProfessionalLicenseCode":"

LK","specialityCode":"30014","specialityName":"Barn-ochungdomshematologi och onkologi"

KatalogMandatattributhealthJ norEduPersonNIN
 

200112240123 (personnumer)

200112845862 (samordningsnummer)

22950606FH20 (reserv-id)

20011284TF01 (TF-nummer)


Katalog
eduNN
SkolenhetskodUnik identitet(löpnummer) för enperson i HOSP

 

https://id.ena-infrastructure.se/attributes/

health

edu/

healthcareProfessionalLicenseIdentityNumber

sisSchoolUnitCode

 https://id.ena-infrastructure.se/attributes/healthedu/healthcareProfessionalLicenseIdentityNumbersisSchoolUnitCode https://id.ena.se/scopes/health/commissioneduurn:oid:1.2.752.116194.310.12.14healthcareProfessionalLicenseIdentityNumber sisSchoolUnitCode
 http://sambi.se/attributes/1/healthcareProfessionalLicenseIdentityNumber 

14801860


Katalog
IdentitetsattributeduhealthJNYrkeskategorier för personal inom vård- ochomsorg som inte finnsreglerat i annat ellermer formellt register.Exempelvisyrkeskategorier som intehar yrkeslegitimation irelation tillsocialstyrelsen
Alternativ kod för utbildningsenhet https://id.ena-infrastructure.se/attributes/healthedu/veterinaryIdentificationNumbersisUnitCodeOther https://id.ena-infrastructure.se/attributes/healthedu/veterinaryIdentificationNumbersisUnitCodeOther https://id.ena.se/scopes/health/commissioneduurn:oid:1.2.752.221194.10010.12.311 sisUnitCodeOtherveterinaryIdentificationNumber  http://sambi.se/attributes/1/veterinaryIdentificationNumber5117@edu.goteborg.se 
Katalog
IdentitetsattributeduhealthNNJ
 Elev i elevgrupp Samtliga uppdrag för en användare https://id.ena-infrastructure.se/attributes/healthedu/allCommissionssisSchoolCourseStudent https://id.ena-infrastructure.se/attributes/healthedu/allCommissionssisSchoolCourseStudent https://id.ena.se/scopes/health/allCommissions eduurn:oid:1.2.752.194.10.2.5 sisSchoolCourseStudent allCommissions  http://goteborg.se/61701709/IDHIDH01-2015%2F16/Undervisning 
Katalog
MandatattributeduhealthJN
 Samtliga administrativa uppdrag för en användare Lärare för elevgrupp https://id.ena-infrastructure.se/attributes/healthedu/authorizationScopesisSchoolCourseTeacher https://id.ena-infrastructure.se/attributes/healthedu/authorizationScopesisSchoolCourseTeacher https://id.ena.se/scopes/health/authorizationScopeedu urnurn:oid:1.2.752.221194.10010.12.46 sisSchoolCourseTeacher authorizationScope http://sambigoteborg.se/attributes61701709/1/administrationTaskIDHIDH01-2015%2F16/Undervisning 
Katalog
MandatattributeduhealthJNGlobal federationsanvändarnamn
 Tilldelning av resurser https://id.ena-infrastructure.se/attributes/edu/eduPersonPrincipalName  Använd istället subject-id eduPersonEntitlement https://id.ena-infrastructure.se/attributes/edu/eduPersonEntitlement https://id.ena.se/scopes/eduurn urn:oid:1.3.6.1.4.1.5923.1.1.1.6 eduPersonPrincipalName7 eduPersonEntitlementsubject-id  ee755715-f486-4808-a82b-99a7a66da7d3@edu.goteborg.se 

Katalog
eduJNJ
 FörvaltningPersonnummer, samordningsnummer, TF-nummer, reserv-ID eller utländska identitetsbeteckning (t ex eIDAS) https://id.ena-infrastructure.se/attributes/edu/norEduPersonNINsisOrgDepartment https://id.ena-infrastructure.se/attributes/edu/norEduPersonNINsisOrgDepartment https://id.ena.se/scopes/edu urnurn:oid:1.32.6752.1194.410.1.2428.90.1.5 norEduPersonNIN 2.3 sisOrgDepartment  Barn- och ungdomsförvaltningen

200112240123 (personnumer)

200112845862 (samordningsnummer)

22950606FH20 (reserv-id)

20011284TF01 (TF-nummer)
Katalog
eduNJN
Skolenhetskod Årskurs https://id.ena-infrastructure.se/attributes/edu/sisSchoolUnitCodesisSchoolGrade https://id.ena-infrastructure.se/attributes/edu/sisSchoolUnitCodesisSchoolGrade https://id.ena.se/scopes/eduurn:oid:1.2.752.194.10.2.42 sisSchoolGrade sisSchoolUnitCode  148018607
Katalog
eduJNNAlternativ kod för utbildningsenhetkodas med F för förskolan, 0-10 för grundskolan, 11-14 för gymnasiet och V för vuxenutbildning
 Vårdnadshavarens barn https://id.ena-infrastructure.se/attributes/edu/sisUnitCodeOthersisLegalGuardianFor   https://id.ena-infrastructure.se/attributes/edu/sisUnitCodeOthersisLegalGuardianFor https://id.ena.se/scopes/eduurn:oid:1.2.752.194.10.2.111 sisUnitCodeOther sisLegalGuardianFor  5117@edu.goteborg.se 201412240123
Katalog
eduJNJ Elev i elevgrupp https://id.ena-infrastructure.se/attributes/edu/sisSchoolCourseStudentKommer att utgå
Provisorisk identifierareurn:oid:1.2.752.201.3.4 https://id.ena-infrastructureswedenconnect.se/attributesclaim/edu/sisSchoolCourseStudentprid https://id.enaswedenconnect.se/scopesscope/edueidasNaturalPersonIdentityurn:oid:1.2.752.194.10201.23.54 sisSchoolCourseStudentprid  http://goteborg.se/61701709/IDHIDH01-2015%2F16/Undervisning KatalogeduJN Lärare för elevgrupp https://id.ena-infrastructure.se/attributes/edu/sisSchoolCourseTeacher https://id.ena-infrastructure.se/attributes/edu/sisSchoolCourseTeacher https://id.ena.se/scopes/eduurn:oid:1.2.752.194.10.2.6 sisSchoolCourseTeacher  http://goteborg.se/61701709/IDHIDH01-2015%2F16/Undervisning KatalogeduJN Tilldelning av resurser https://id.ena-infrastructure.se/attributes/edu/eduPersonEntitlement https://id.ena-infrastructure.se/attributes/edu/eduPersonEntitlement https://id.ena.se/scopes/eduurn:oid:1.3.6.1.4.1.5923.1.1.1.7 eduPersonEntitlement  KatalogeduJN Förvaltning https://id.ena-infrastructure.se/attributes/edu/sisOrgDepartment https://id.ena-infrastructure.se/attributes/edu/sisOrgDepartment https://id.ena.se/scopes/edu
Sweden Connect

eIDASNN


Frågeställningar

Här finns ett antal frågor att besvara innan vi kan detaljera attributramverket.

  • Vem har givit ut e-legitimationen?
  • Vem är personens huvudsakliga arbetsgivare?
  • Vem är personens uppdragsgivare för den rolll personen agerar i just nu?

Ska namnet på attributet spegla källan, till exempel /eid för e-legitimation och /idp för IdP?

I den överenskommelse som finns mellan regionerna och E-hälsomyndigheten när det gäller den SAML-propageringslösning för åtkomst till NLL har man etablerat en namnstandard för attribut som härrör sig från IdP:n. Ett exempel på detta är https://idp.inera.se/attributes/identityProviderForSign Som man kan se så innehåller attributnamnet referens till en organisation. En mera neutral namngivning på detta attribut kunde vara https://federationer.se/attribute/idp/1.0/identityProviderForSign

I vissa användningsfall är det viktigt för e-tjänsten som begär attributen att skilja på om attributen kommer från själva e-legitimationen eller från attributkällan. För Ineras IdP så går det att peka ut certifikatets givenName med attributet urn:credential:givenName. Motsvarande attribut som hämtas från katalogen är http://sambi.se/attributes/1/givenName eller urn:oid:2.5.4.42 (enligt Sweden Connects namnsättning), beroende på vilken IdP man ansluter till.  I det senare fallet finns det ingen metod att peka ut attributet som är e-legitimationsspecifikt. 

Det spännande attributet orgAffiliation som heter urn:oid:1.2.752.

...

201.

...

3.1 enligt Sweden Connect och som i Ineras fall betyder att källan är katalogen, knutet till uppdraget, att jämföra med https://

...

idp.

...

inera.se/attributes/

...

userOrgAffiliation som är knutet till en personpost i katalogen, oberoende av uppdrag men beroende på vilken organisation som användaren tillhör.

Vi skulle kunna tänka oss följande motsvarande attribut i ramverket

https://id.ena-infrastructure.se/attributes/

...

health/1.0/orgAffiliation

https://id.ena-infrastructure.se/

...

attributes/health/1.0/userOrgAffiliation

OID som attributnamn

Ska vi använda Sweden Connects namn på vissa av  attributen vilket i praktiken innebär OID:ar? Ska vi då förutsätta att attributen härrör från e-legitimationen? Det stämmer inte med nuvarande realiseringar som t ex Inera har.

Så här är Sweden Connects namn på ett attribut givenName: urn:oid:

...

2.

...

5.

...

4.42

Övrig semantik i attributnamnet

Vissa attribut kan relatera till en anställds organisationstillhörighet eller uppdrag/roll, hur ska e-tjänsten kunna skilja på detta? I Ineras fall när det gäller den anställdes HSAid beror det på vilka andra attribut som e-tjänsten begär. Observera skillnaden mellan ett HSAid som är knutet till e-legitimationen och HSA-id som finns i katalogen. I den senare kategorin finns ingen namnsättning som skiljer på organisationstillhörighet och uppdragssituation.

...

När det gäller domänspecifika attribut inom vård och omsorg finns "health" med i attributnamnet 

https://id.ena-infrastructure.se/attributes/

...

health/healthcareProfessionalLicenseIdentityNumber bland de attribut som används för åtkomst till NLL och är överenskommet med E-hälsomyndigheten och regionerna.

Versionshantering av attribut

Ska attributnamnen ha en namnstandard som medger versionshantering enligt mönster från Sambi?

Exempel från Sambi: http://sambi.

...

se/attributes/

...

1/givenName 

Om vi använder det i ramverket:

...

 https://

...

federationer.

...

se/

...

attribute/1.0/givenName

Fördelar: om ett attribut får en annan betydelse, till exempel en annan värdemängd, behöver vi inte hitta på ett helt nytt namn utan bara byta som i detta fall 1.0 till 2.0. Den praktiska konsekvensen är att det är ett helt nytt attribut som kan leva parallellt med det gamla. Fråga: har detta någonsin använts i Sambi?





Info

En semantisk eller redaktionell uppdatering i profil → tekniskt breaking change
Och det är ofta oproportionerligt dyrt.

Konsekvens:

Versionsnumret i attributnamnet fryser på “1” för alltid. Det beror på att man undviker kostnaden för att byta – vilket gör versionen semantiskt meningslös.

Designprinciper som brukar fungera bättre:

Attributidentifieraren ska vara stabil
Versionering ska ske i profilen, inte i attributet
Om något förändras – använd kompatibilitetsprincipen
Om du kan uppdatera profilen utan att bryta existerande implementationer → behåll attributets URI.
Om det bryter → skapa nytt attribut och deprecera det gamla.

Slutsats: inget versionsnummer i attributnamnet, regel för detta arbete.


...

Referenser

Anchor
Vägledning attribut SKR
Vägledning attribut SKR
Vägledning för hantering av behörighetsattribut (SKR)

...

Anchor
OID
OID
OID repository

RFC LDAP

...

Appendix A - exempel från verkligheten

SAML

För SAML finns det exempel på metadata, inloggningsbegäran (request) och svar (assertion). Det kan vara värt att studera dessa exempel för att förstå hur SAML fungerar.

...

IdP Bas från Inera OIDC-profil

Appendix

...

B - utforskande material

...

kring informationsmodell för behörighetsgrundande information

DISCLAIMER: Inom detta arbete ska vi inte modellera hur behörighetsstyrande attribut är strukturerade i attributkällor, men vi tänkte lite kring detta i tidigt skede av arbetet och har sparat vårt arbetsmaterial i detta appendix.

...