Ett viktigt attribut som kan hänföra sig till den organisatoriska dimensionen är orgAffiliation. En person kan ibland agera inom ramen för sin organisatoriska tillhörighet, ibland handlar det om uppdrag. Ett sätt att skilja på detta är att e-tjänsten kan specificera specifika attribut som till exempel userOrgAffiliation när det handlar om organisation och orgAffiliation när det handlar om uppdrag.

Om en e-tjänst vill nyttja en e-legitimation utan att använda kataloguppslag är det nödvändigt att från e-tjänstens perspektiv kunna peka ut attribut som hänför sig till e-legitimationen. I det fallet kan det vara så att intygsutfördaren inte har tillgång till katalogen eller att det helt enkelt är en onödig omväg. I utgivning av en e-legitimation kan det vara tvunget att säkerställa att identiten härrör från e-legitimationen, inte från katalogen, attributkällan.

1. Attribut BÖR primärt identifieras med HTTP-URI
2. Attribut BÖR INTE primärt identifieras med oformaterat textuellt namn eller OID i federativ kommunikation
3. Attribut KAN identifieras med oformaterat textuellt namn eller OID
4. Om man i en och samma behörighetskontroll behöver särskilja mellan instanser av "samma" behörighetsattribut, informationsförsörjda från olika attributkällor, REKOMMENDERAS att man skapar olika behörighetsattribut, men olika identifierare.
5. Attribut BÖR exponeras och refereras med den identifierare som definieras i en attributprofil som erkänns av federationens medlemmar.

Object Identifier (OID)

En OID som URN (t ex urn:oid:2.5.4.42) är en globalt unik och hierarkiskt strukturerad identifierare bestående av en numerisk sträng enligt ITU-T X.660 / ISO/IEC 9834.

En OID:

• SKA vara globalt unik.
• SKA entydigt identifiera ett och samma semantiska objekt.
• FÅR INTE återanvändas för att identifiera ett annat semantiskt objekt.
• BÖR betraktas som den normativa och långsiktigt stabila identifieraren.

OID definierar den semantiska identiteten oberoende av teknisk representation eller kontext.

OID ägs och förvaltas i ett OID-träd. Är stabil över tid och används för:

• Semantisk entydighet
• Standarder
• Långsiktig interoperabilitet

OID svarar på frågan om vad något är:

”Exakt vilket begrepp pratar vi om, oavsett kontext?”

HTTP-URI

En HTTP-URI är en kontextuell identifierare som används inom en specifik modell, profil eller implementation för att referera till ett objekt som definieras av en OID.

En HTTP-URI:

• KAN vara en sträng, URI, kortkod eller annan lokal identifierare.
• SKA entydigt mappa till exakt en OID inom den kontext där den används.
• FÅR INTE användas för att referera till olika OID:er inom samma kontext.
• KAN ändras över tid utan att objektets semantik förändras, förutsatt att mappningen till OID kvarstår.

En HTTP-URI är inte i sig en global semantisk identifierare.

En HTTP-URI förvaltas inom ramen för en specifik specifikation, federation eller implementation.

HTTP-URI svarar på frågan om hur begreppet fungerar här och nu:

”Hur refererar vi till det här begreppet i just den här modellen eller profilen?”

Relationen mellan OID och HTTP-URI

Följande princip gäller: En HTTP-URI refererar till ett objekt vars semantiska identitet definieras av en OID.

En HTTP-URI utgör en kontextuell identifierare som används inom en viss modell eller implementation. Den pekar på en OID, vilken utgör den globala och långsiktigt stabila identifieraren för objektet. OID:en är i sin tur knuten till den formella semantiska definition som entydigt beskriver objektets betydelse.

Relationen kan beskrivas som en semantisk identifieringskedja:

HTTP-URI → OID → Semantisk definition

Den semantiska definitionen är således knuten till OID, inte till HTTP-URI.

OID definierar objektets identitet.

HTTP-URI är ett kontextuellt alias.

Interoperabilitetsanalys

OID utgör den globala semantiska identifieraren, men saknar i sig den kontextuella precisering som krävs för interoperabilitet inom en federation.

Samma OID kan användas i flera federationer men ges olika kontextuell innebörd beroende på:

• tillitsramverk
• källa till uppgiften
• identitetsprocess
• ansvarig part

Ett exempel

OID 2.5.4.10 identifierar begreppet organizationName på en generell semantisk nivå.

Dock gäller:

• I Sweden Connect den organisation som har anskaffat e-legitimationen för sin medarbetare (är kopplad till utgivningsprocessen).
• I Sambi användarens hemorganisation utifrån kataloguppgifter om medarbetarens tjänstgöring (är kopplad till anställning eller uppdrag).
• I Skolfederation eller SWAMID kan motsvarande attribut ha annan källa och annan tillitsgrund.

Det är således inte OID:en i sig som definierar attributets interoperabla betydelse inom federationen, utan den federationsspecifika HTTP-URI och dess profildefinition.

OID säger:

Detta är attributtypen enligt ett generellt schema.

HTTP-URI i federationen säger:

Detta attribut har denna specifika semantik enligt federationens regelverk.

Hypotes

Alla attribut är inte av samma slag. Attribut kan exempelvis:

• Avse individen som sådan,
• Uttrycka en teknisk representation av individen,
• Definiera en relation kopplad till individen
• Ange ett mandat som individen har tilldeltas
• Definiera en rättighet inom vilken individen får agera, eller
• Beskriva en händelse om autentisering och intygsutgvining.

Dessa är ontologiskt olika. Attribut ska därför kategoriseras efter vad de representerar och efter deras semantiska natur.

Attribut som påverkar åtkomstbeslut får inte blandas med beskrivande eller "dekorativa" attribut.

Attributmodell

I federativa miljöer används attribut för att:

1. identifiera och tekniskt representera individer och systemaktörer,
2. beskriva organisatorisk tillhörighet,
3. förmedla mandat och rättigheter, samt
4. dokumentera förutsättningarna för autentisering och intygsutgivning.

Trots detta behandlas attribut ofta som en enhetlig mängd egenskaper. I praktiken representerar de dock fundamentalt skilda semantiska kategorier. När dessa kategorier inte hålls isär uppstår otydliga behörighetsbeslut, bristande tillitsbedömningar, juridisk osäkerhet och försämrad interoperabilitet, vilket i sin tur försvårar standardisering.

Begreppet organisation är ett tydligt exempel på denna problematik. Det används i flera olika betydelser, exempelvis som:

1. utfärdare av identitetsintyg vid e-legitimering,
2. individens organisatoriska hemvist, eller
3. uppdragsgivare i en specifik handling/situation.

När dessa betydelser sammanblandas uppstår otydlighet i ansvar, mandat och tillit, vilket leder till felaktiga behörighetsbeslut, oklara rättsliga relationer och interoperabilitetsproblem.

Teknisk aktör

Placeholder för subject som kan vara api, api-klienter, etc.

För att stödja livscykelhantering av attributprofiler utan att störa verksamheters behov av robust digital samverkan, bör man tillämpa följande rekommendationer:

1. Det SKA för varje domän etableras minst en attributprofil för SAML och en attributprofil för OIDC.
2. Attributprofiler BÖR revideras med bakåtkompabilitet, dvs man bör i stort sett aldrig ersätta attribut eller genomföra andra icke bakåtkompatibla förändringar.
3. Kompabilitetsbrytande revideringar av attributprofiler BÖR genomföras genom en övergångsperiod av bakåtkompatibla förändringar och parallellt stöd för äldre och nyare behörighetsattribut i tjänsteproducenters behörighetskontroll.

Notera att det för specifika situationer där förutsättningar finns för att driva igenom brytande revideringar av attributprofiler utan negativ verksamhetspåverkan för samverkande parter, kan det vara att föredra.

{
    "commissionPurpose": "Administration",
    "at_hash": "qEj37dgo2bQEyePuzqDyNQ",
    "pharmacyIdentifier": "731.1337.1337:Apotek",
    "sub": "1a400571-a2d0-4b28-b9da-11400ba496e1",
    "healthCareUnitName": "Admin",
    "credentialCertificatePolicies": [
        "2.23.140.1.2.3",
        "1.2.752.74.8.506"
    ],
    "amr": [
        "urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient"
    ],
    "iss": "https://idp.dev.inera.test:8443/oidc",
    "credentialGivenName": "Olof",
    "healthcareProviderId": "2321000214",
    "commissionHsaId": "SE111-UPPDRAG-JLL-TEKSYSADMIN",
    "acr": "http://id.sambi.se/loa/loa3",
    "systemRole": [
        {
            "systemId": "BIF",
            "role": "Loggadministratör"
        },
        {
            "systemId": "BIF",
            "role": "Administrator"
        },
        {
            "systemId": "PU",
            "role": "Administratör"
        }
    ],
    "organizationIdentifier": "2321000214",
    "credentialSurname": "Olsson",
    "auth_time": 1610616929,
    "healthCareProviderName": "SE111-JLL",
    "exp": 1610618196,
    "healthCareProviderHsaId": "SE111-JLL",
    "iat": 1610617896,
    "commissionRight": [
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "dia"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "fun"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "lkf"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "lkm"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "lko"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "pad"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "pat"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "und"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "upp"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "vbe"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "vko"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "voo"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "vot"
        },
        {
            "activity": "Läsa",
            "scope": "VG",
            "informationClass": "vpo"
        }
    ],
    "organizationName": "SE111-JLL",
    "healthCareUnitHsaId": "SE111-ADMIN",
     "authorizationScope": [
        {
            "authorizationScopePropertyName": "Tjänstesupport",
            "authorizationScopeName": "Hitta och jämför vård",
            "authorizationScopeCode": "HJV",
            "authorizationScopePropertyCode": "HJV;003",
            "authorizationScopeDescription": "Hitta och jämför vård är den del på 1177.se som presenterar kontaktinformation till landets     vårdmottagningar, deras vårdutbud och vårdkvalitet.Varje enskild mottagning har ett eget ”kontaktkort” där kontaktuppgifter, e-tjänster och övrigt utbud presenteras.",
            "authorizationScopePropertyDescription": "Tjänstesupport Beskrivning",
            "adminCommissions": [
                {
                    "adminCommissionHsaId": "TNT4477663322-1021",
                    "sector": [
                        {
                            "sectorFlag": true,
                            "feignedUnit": null,
                            "name": "CGI Östersund",
                            "unitHsaId": "TNT4477663322-101Q"
                        }
                    ],
                    "adminCommissionResponsibleOrganisation": "447766-3323",
                    "feignedAdminCommission": null
                }
            ]
        },
        {
            "authorizationScopePropertyName": "Redaktör kontaktkort",
            "authorizationScopeName": "Hitta och jämför vård",
            "authorizationScopeCode": "HJV",
            "authorizationScopePropertyCode": "HJV;001",
            "authorizationScopeDescription": "Hitta och jämför vård är den del på 1177.se som presenterar kontaktinformation till landets vårdmottagningar, deras vårdutbud och vårdkvalitet.Varje enskild mottagning har ett eget ”kontaktkort” där kontaktuppgifter, e-tjänster och övrigt utbud presenteras.",
            "authorizationScopePropertyDescription": "Redaktör kontaktkort får administrera information på kontaktkorten förutom kontaktkorten.",
            "adminCommissions": [
                {
                    "adminCommissionHsaId": "TNT4477663322-1021",
                    "sector": [
                        {
                            "sectorFlag": true,
                            "feignedUnit": null,
                            "name": "CGI Östersund",
                            "unitHsaId": "TNT4477663322-101Q"
                        }
                    ],
                    "adminCommissionResponsibleOrganisation": "447766-3323",
                    "feignedAdminCommission": null
                }
            ]
        }
    ],
    "x509SubjectName": "EMAILADDRESS=olof.olsson@inera.test, SERIALNUMBER=TNT4477663322-1046, GIVENNAME=Olof, SURNAME=Olsson, CN=Olof Olsson, O=Inera AB, L=SITHS, C=SE",
    "given_name": "Olof",
    "x509IssuerName": "CN=TEST SITHS e-id Person HSA-id 3 CA v1,O=Inera AB,C=SE",
    "aud": "https://sp.dev.inera.test:8881",
    "commissionName": "Teknisk Systemadministratör JLL",
    "credentialPersonalIdentityNumber": "TNT4477663322-1046",
    "credentialCertificate": "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",
    "employeeHsaId": "TNT4477663322-1046",
    "name": "Olof Olsson",
    "credentialDisplayName": "Olof Olsson",
    "credentialOrganizationName": "Inera AB",
    "family_name": "Olsson",
    "authenticationMethod": "SITHS_EID_SAME_DEVICE",
    "allEmployeeHsaIds": [
          "TSTNMT2321000156-10NG",
          "TSTNMT2321000156-10NX"
    ],  
    "allCommissions": "[{\"employeeHsaId\":\"TSTNMT2321000156-10NG\",\"commissionName\":\"Teknisk Systemadministratör JLL\",\"commissionHsaId\":\"SE111-UPPDRAG-JLL-TEKSYSADMIN\",\"commissionPurpose\":\"Administration\",\"healthCareUnitHsaId\":\"SE111-ADMIN\",\"healthCareUnitName\":\"Admin\",\"healthCareProviderHsaId\":\"SE111-JLL\",\"healthCareProviderName\":\"SE111-JLL\",\"healthCareProviderOrgNo\":\"2321000214\",\"commissionRights\":[{\"activity\":\"Läsa\",\"informationClass\":\"dia\",\"scope\":\"VG\"},{\"activity\":\"Läsa\",\"informationClass\":\"fun\",\"scope\":\"VG\"}]},{\"employeeHsaId\":\"TSTNMT2321000156-10NX\",\"commissionName\":\"Teknisk Systemadministratör SLL\",\"commissionHsaId\":\"SE222-UPPDRAG-SLL-TEKSYSADMIN\",\"commissionPurpose\":\"Administration\",\"healthCareUnitHsaId\":\"SE222-ADMIN\",\"healthCareUnitName\":\"Admin\",\"healthCareProviderHsaId\":\"SE222-SLL\",\"healthCareProviderName\":\"SE222-SLL\",\"healthCareProviderOrgNo\":\"2321000214\",\"commissionRights\":[{\"activity\":\"Läsa\",\"informationClass\":\"dia\",\"scope\":\"VG\"},{\"activity\":\"Läsa\",\"informationClass\":\"fun\",\"scope\":\"VG\"}]}]",
    "allCommissionOrgAffiliations": [
      "TSTNMT2321000156-10NG@123456-7890",
      "TSTNMT2321000156-10NX@654321-0987"
    ],
    "userOrganizationHsaId": "SE2321000156-0001",
    "sithsEidChallenge": "b90fc25314de41ffaf88c03677e2caac"
}

Exempel på förvaltningsstruktur - Transportsektorn

1. Ledningsaktören (Digg) utser Transportstyrelsen till domänkoordinator för Transport-domänen.
2. Transportstyrelsen är domänkoordinator
   1. Transportstyrelsen ansvarar även för attributkällor för vissa domänunika attribut - tex fordonsägare i Fordionsregistret.
   2. Trafikverket ansvarar för andra centrala attributkällor inom Transport-domänen och koordinerar tillhörande attributsdefinitioner med Transportstyrelsen - tex registreringsinformation om enskild väg.

En semantisk eller redaktionell uppdatering i profil → tekniskt breaking change
Och det är ofta oproportionerligt dyrt.

Konsekvens:

Versionsnumret i attributnamnet fryser på “1” för alltid. Det beror på att man undviker kostnaden för att byta – vilket gör versionen semantiskt meningslös.

Designprinciper som brukar fungera bättre:

Attributidentifieraren ska vara stabil
Versionering ska ske i profilen, inte i attributet
Om något förändras – använd kompatibilitetsprincipen
Om du kan uppdatera profilen utan att bryta existerande implementationer → behåll attributets URI.
Om det bryter → skapa nytt attribut och deprecera det gamla.

Slutsats: inget versionsnummer i attributnamnet