BILAGA 3 Federationsgemensamma attribut Version 2.3 Denna bilaga kommer inom kort att ersättas av en ny version. Kommande version och information om ändringar finns på: https://www.skolfederation.se/ny-version-av-skolfederations-attributprofil/ Revisionshistorik Version Datum Författare Kommentar 2.3 2015-01-22 Robert Sundin - Infört Revisionshistorik. - Ändrat definition av attributet noreduorgunituniqueidentifier från SCB-kod till skolenhetskod. Ett av skolfederationens syften är att minimera exponeringen av personuppgifter. Uppdelningen av attribut i tre grupper - bas, standard och utökade - gör det enklare för huvudmän att avgöra vilka attribut som är aktuella i olika situationer. Det är viktigt att poängtera att inte alla tjänster har rätt till alla attribut utan en minimalistisk princip gäller. Detta dokument ska ses som en "lista". Det finns inget krav på att samtliga dessa attribut måste finnas och kunna levereras för att en huvudman ska få vara med i federationen. Listan ska användas som en gemensam vokabulär om behovet av att presentera ett visst attribut för en tjänst (SP) finns. Det är däremot inte rekommenderat att använda andra representationer än de som finns här. Notera att enligt bilaga 1 så måste representationen av attribut följa deploymentprofilen http://saml2int.org. Det innebär för attributen att NameFormat ska vara urn:oasis:names:tc:saml:2.0:attrname-format:uri Basattribut är den minsta attributmängd som kan användas och utgör normalt ingen risk för integriteten. Dessa attribut kan ingå i alla intyg. Standardattribut är en utökad attributmängd som vid behov kan ingå intyget till tjänsteleverantören efter överenskommelse med huvudmannen. De utökade attributen kan innehålla uppgifter som är av känsligare art. Dessa attribut bör inte användas utan en noggrann prövning av säkerhet och personuppgiftshantering. Vid prövningen är det viktigt att en samlad bedömning görs av det som tillgängliggörs.
Det är i överenskommelse mellan huvudmannen och tjänsteleverantören där det avgörs vilka attribut som tillgängliggörs för tjänsteleverantören och där erforderlig juridisk reglering samt ytterligare kravställning också görs. Det är ytterst huvudmannen som har ansvaret för vad som tillgängliggörs och till vem i. Basattribut Följande attribut kan anses vara basattribut i Skolfederationen vilket varje intygsutfärdare (IdP) ska kunna leverera: o (urn:oid:2.5.4.10) representerar organisationens namn. Exempel: Göteborgs stad. sisschoolgrade (urn:oid:1.2.752.194.10.2.2) representerar den årskurs som en elev går i. Det kodas med F för förskolan, 0-10 för grundskolan, 11-14 för gymnasiet och V för vuxenutbildning. Standardattribut Följande attribut kan anses vara standardattribut i Skolfederationen vilket varje intygsutfärdare (IdP) bör kunna leverera: edupersonprincipalname (urn:oid:1.3.6.1.4.1.5923.1.1.1.6) representerar en spårbar, persistent och globalt unik sträng. Den består av en lokalt unika användaridentifierare, ett @ och en säkerhetsdomän ii. Exempelvis elevkonto@edu.kommun.se. givenname (urn:oid:2.5.4.42) representerar ett förnamn, med fördel tilltalsnamnet. Exempelvis Valfrid. sn (urn:oid:2.5.4.4) representerar ett efternamn. Exempelvis Lindman. displayname (urn:oid:2.16.840.1.113730.3.1.241) representerar ett visat namn, vilket normalt är en aggregering av förnamn och efternamn. Formatet bör vara Förnamn Efternamn. Exempelvis: Valfrid Lindeman. mail (urn:oid:0.9.2342.19200300.100.1.3) representerar en epostadress. Exempel: valfrid.lindeman@example.com. noreduorgnin (urn:oid:1.3.6.1.4.1.2428.90.1.12) representerar en huvudman och ska vara ett svenskt organisationsnummer. noreduorgunituniqueidentifier (urn:oid:1.3.6.1.4.1.2428.90.1.8) representerar den skolenhet som användaren tillhör, i form av den åttasiffriga skolenhetskod som Skolverket tilldelat skolenheten. Exempelvis 21648755. educourseoffering (urn:oid:1.3.6.1.4.1.5923.1.6.1.1) representerar kursgrupper för en elev. Här listas kursgrupper och klass. Attributet kan finnas flera gånger om eleven tillhör flera grupper. Grupperna ska vara unikt beskrivna med en korrekt URI om möjligt, till exempel på formen urn:mace:domän:course:kursid.
Kursid är huvudmannens eget ID för ett kurstillfälle, och ska vara unikt för huvudmannen, och indikera ett kurs under en viss tid, d.v.s. en viss termin eller läsår. Däremot finns ingen "nationell standard" för kursid:n, hur kursid byggs upp är helt upp till huvudmannen. Användningsområdet är alltså främst för att koppla ihop olika roller i educoursemember till samma kurs, så att lärare och elever i en kurs kan mötas i olika tjänster på ett enkelt sätt. Exempel: urn:mace:goteborg.se:course:04101+10idh1201nv1bswq. educoursemember (urn:oid:1.3.6.1.4.1.5923.1.6.1.2) representerar kursgrupper (educourseoffering) med roll där rollen kan vara Learner, Instructor, ContentDeveloper, Member, Manager, Mentor, Administrator eller TeachingAssistant. Exempelvis: Instructor@urn:mace:goteborg.se:course:04101+10IDH1201NV1BSWQ. edupersonaffiliation (urn:oid:1.3.6.1.4.1.5923.1.1.1.1) representerar en roll i vilken användaren önskar att agera där rollen kan vara Student, Faculty, Staff, Employee, Member, Affiliate eller Alum Library-walk-in. Utökade attribut I en relation mellan en huvdman och en tjänsteleverantör kan det efter nogsamt övervägande finnas behov av utbyte av ytterligare attribut. För att i möjligaste mån standardisera kring attributen så rekommenderas att i första hand följande attributdefintioner används: street (urn:oid:2.5.4.9) representerar en användares gatuadress. Exempelvis Mosebacke torg 3. postofficebox (urn:oid:2.5.4.18) representerar en användares box. Exempelvis Box 1234. postalcode (urn:oid:2.5.4.17) representerar en användares postnummer. Exempelvis 123 45. l (urn:oid:2.5.4.7) representerar en användares postort. Exempel: Tidaholm. c (urn:oid:2.5.4.6) representerar en det land i vilket användaren är bosatt, i enlighet med ISO-3166. Exempelvis SE. telephonenumber (urn:oid:2.5.4.20) representerar en användares telefonnummer i enlighet med ITUs rekommendation E.123. Exempelvis +46 31 123 4567. mobile (urn:oid:0.9.2342.19200300.100.1.41) representerar en användares mobiltelefonnummer i enlighet med ITUs rekommendation E.123. Exempelvis +46 70 123 4567. noredupersonbirthdate (urn:oid:1.3.6.1.4.1.2428.90.1.3) representerar en användares födelsedatum. Exempelvis: 20010104. schacgender (urn:oid:1.3.6.1.4.1.25178.1.2.2) representerar legalt kön hos den person som attributet gäller för. Det kodas med 0 för okänt, 1 för man, 2 för kvinna och 9 för ospecificerat/ej tillämpbart. noredupersonnin (urn:oid:1.3.6.1.4.1.2428.90.1.5) representerar ett svenskt personnummer, tillfälliga personnummer eller Skatteverkets samordningsnummer. Anges med 12 tecken utan divis. Exempel: 121212121212.
sislegalguardianfor (urn:oid: 1.2.752.194.10.2.1) representerar de barn som en person är vårdnadshavare för. Barnen anges med personnummer, samordningsnummer eller tillfälligt personnummer, 12 tecken utan divis. Exempel: 121212121212.
i Personuppgiftsbehandlingen regleras av den personuppgiftsansvarige i ett personuppgiftsbiträdesavtal med respektive leverantör som då enligt personuppgiftslagen benämns personuppgiftsbiträde. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldig att vidta de säkerhetsåtgärder som den personuppgiftsansvarige är skyldig att vidta enligt lagen. Se http://www.datainspektionen.se/documents/faktablad-personuppgiftsansvar.pdf ii En säkerhetsdomän är ofta, men inte nödvändigtvis, identiskt med organisationens internetdomännamn. Den anges i IdPn:s metadata, och verifieras av federationsoperatören för att omöjliggöra dubbletter. Vidare förväntas av SP:n att edupersonprincipalname (eppn) filtreras så att ett eppn med en säkerhetsdomän som inte matchar de i IdP:ns metadata förkastas i sin helhet.