Versions Compared

Old Version 201

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version Current

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Fokus för detta dokument är att beskriva arbetet när man har ett behov av behörighetsgrundande information för ett behörighetsbeslut och hur man säkerställer att denna information uttrycks på ett sätt som främjar interoperabilitet och återanvändbarhet. 

...

Uppdragets leverabler

Arbetsgruppen har i uppdrag att skapa en gemensam och hållbar grund för hantering av behörighetsattribut i federativa och sektorsgemensamma sammanhang.

...

draw.io Diagram
borderfalse
diagramNameCopy of Namnlöst diagram-1773822493982
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth861785
height581631
revision1213

Principer

...

i framtagandet

  1. Respektera gjorda investeringar i dagens attributanvändning
    1. De behörighetsattribut som används inom olika sektorer idag kommer inte sluta användas bara för att en statlig myndighet hittar på en bättre variant. Förbättringar kommer ske över tid.
    2. När det förankrats att användning av ett behörighetsattribut ska fasas ut ska det i attributets dokumentation kunna markeras vilket annat synonymt attribut som rekommenderas.
    3. De komponenter som tillför behörighetsattribut bör ha vetskap om synonymer för att kunna svara på attributbegäran

  2. Favorisera brett förankrade attributsdefinitioner framför att skapa nya
    1. Behörighetsattribut ska i första hand utgå från etablerade och registrerade standarder (exempelvis IANA, OID eller motsvarande internationella register).

    2. Nya attribut ska endast definieras när befintligt attribut saknas.

  3. Rekommendera selektiv användning

    1. Attributsdefinitionskatalogen beskriver möjliga behörighetsattribut. Vid varje enskilt användningstillfälle ska endast de behörighetsattribut som är relevanta för ändamålet användas.

...

  • Utfärdande organisation
  • Hemorganisation/anställning
  • Företrädd organisation i aktuellt uppdrag
  • Roll och mandat i den specifika situationenen specifik situation

Ytterligare ett krav är att det i vissa situationer kan vara viktigt att kunna uttrycka från vilken källa ett attribut härrör sig. Till exempel vid utgivning av en mobil e-legitimation utifrån en legitimering med en fysisk e-legitimation kan det vara tvunget att säkerställa att identiteten härrör från den fysiska e-legitimationen och inte inte från en annan attributkällan.

...

För att säkerställa långsiktig hållbarhet, interoperabilitet och tydligt ansvar behöver attributsdefinitioner och attributprofiler attributlistor förvaltas i en definierad struktur med tydliga roller och mandat.

...

Expand
titleYtterligare underlag ...

Exempel på förvaltningsstruktur - Transportsektorn

  1. Ledningsaktören för Samordnad identitet och behörighet är Digg.
    1. Digg utser Transportstyrelsen till domänkoordinator för Transport-domänen.
  2. Transportstyrelsen är således domänkoordinator
    1. Transportstyrelsen ansvarar även för attributkällor för vissa domänunika attribut - tex fordonsägare i Fordionsregistret.
    2. Trafikverket ansvarar för andra centrala attributkällor inom Transport-domänen och koordinerar tillhörande attributsdefinitioner med Transportstyrelsen - tex registreringsinformation om enskild väg.


Attributlistor och hur de kan användas

Inom ett verksamhetsområde så behöver parterna komma överens om vilka behörighetsattribut som som ska användas för att tjänsteproducenter att utvärdera anropande parts juridiska behörighet att utföra förfaranden inom tjänsten. Olika domäner styrs ofta av delvis olika lagstiftning och kan därför kräva domänspecifika behörighetsattribut för att kunna genomföra behörighetskontroller. 

...

Legitimeringstjänsten (även 'OP' i OIDC, eller 'IdP' i SAML) tillför behörighetsattributen, med värden inhämtade från e-legitimationen eller attributkällor av olika slag.

Info
titleSynonymer

Legitimeringstjänster BÖR hantera synonymer enligt attributdefinitioner, dvs att om en förlitande part begär ett attribut med någon av dess synonyma identifierare bör detta kunna hanteras utan att generera fel.

Det är hjälpsamt för att kunna hantera livscykelhantering av behörighetsattribut.

Info
titleOrganisatorisk dimension

Ett viktigt attribut som kan hänföra sig till den organisatoriska dimensionen är orgAffiliation och andra uppdragsrelaterade behörighetsattribut. 

  1. När det finns flera möjligheter bör möjliga uppdrag BÖR man låta användaren välja utifrån vilken roll eller uppdrag åtkomst begärs.
  2. Man kan KAN även överföra information om alla uppdrag till en e-tjänst och låta användaren välja, och bytaväxla mellan, uppdrag där. 

Notera att man som princip ska minimera information som man delger om en användare, så alternativ 2 bör användas sparsamt.

...

Hur nya behörighetsattribut definieras

Ett behörighetsattribut inom Samordnad identitet och behörighet definieras behöver i sin definition inkludera följande metainformation:

...

https://id.ena-infrastructure.se/attributes/health/1.0/userOrgAffiliation

OID som attributnamn

Ska vi använda Sweden Connects namn på vissa av  attributen vilket i praktiken innebär OID:ar? Ska vi då förutsätta att attributen härrör från e-legitimationen? Det stämmer inte med nuvarande realiseringar som t ex Inera har.

Så här är Sweden Connects namn på ett attribut givenName: urn:oid:2.5.4.42

Övrig semantik i attributnamnet

Vissa attribut kan relatera till en anställds organisationstillhörighet eller uppdrag/roll, hur ska e-tjänsten kunna skilja på detta? I Ineras fall när det gäller den anställdes HSAid beror det på vilka andra attribut som e-tjänsten begär. Observera skillnaden mellan ett HSAid som är knutet till e-legitimationen och HSA-id som finns i katalogen. I den senare kategorin finns ingen namnsättning som skiljer på organisationstillhörighet och uppdragssituation.

När det gäller domänspecifika attribut inom vård och omsorg finns "health" med i attributnamnet https://id.ena-infrastructure.se/attributes/health/healthcareProfessionalLicenseIdentityNumber bland de attribut som används för åtkomst till NLL och är överenskommet med E-hälsomyndigheten och regionerna.

Versionshantering av attribut

Ska attributnamnen ha en namnstandard som medger versionshantering enligt mönster från Sambi?

...