OIDC: Standard Identifikator und Attribute

Die Bereitstellung von Attributen für Applikationen folgt dem Prinzip "so wenig wie möglich, so viele wie nötig". So erhalten Sie für eIAM Standardintegrationen als Fachanwendungen den unten beschriebenen Identifikator und die Attribute.

Benötigt Ihre Fachanwendung einen anderen Identifikator oder zusätzliche, hier nicht aufgeführte Attribute, so sprechen Sie dies bitte an und führen Sie Ihre Bedürfnisse im eIAM Dossier auf.

Identifikator

Bei der eIAM Standardintegration enthält das JWT (Token), das an die Applikation gesendet wird, das folgende Attribut sub:

Sub Inhalt aus AttributAttributformatBeschreibung
http://schemas.eiam.admin.ch/ws/2013/12/
identity/claims/e-id/userExtId 		urn:oasis:names:tc:SAML:2.0:
nameid-format:persistent 		Die userExtId des Access Client. Dieser Wert ist eindeutig, unveränderlich und wird im Rahmen von Standardintegrationen mit Access Management verwendet.
http://schemas.xmlsoap.org/ws/2005/05/
identity/claims/name 		urn:oasis:names:tc:SAML:2.0:
nameid-format:persistent 		Die loginId des Root Client. Dieser Wert ist eindeutig, unveränderlich und wird im Rahmen von Standardintegrationen ohne Access Management (Authentication Only) verwendet.

Kennung und Standard Attribut Set

Für den Standard Attributsatz gelten die folgenden Regeln:
  • Alle Attribute stammen vom Root Client, sofern nicht anders angegeben. Dadurch wird sichergestellt, dass die bereitgestellten Daten mit dem angegebenen QoA-Level der Authentifizierung übereinstimmen.
  • Alle Attribute, die von eIAM bereitgestellt werden, stammen von eIAM Attributen (originalIssuer="uri:eiam.admin.ch:feds"), es werden keine Attribute von IdP bereitgestellt.
Liste der bereitgestellten Attribute im Standard Attributsatz:

Paramter               BeispielAttribut Name             Kommentar
Value of Subject NameID 123456789 sub Standard OIDC Attribut, das den vereinbarten Identifikator des Benutzers enthält. Bei Fachanwendungen ist dies die userExtId des Benutzers im Access Client
Qualität der Authentifizierung / Identitätsprüfung urn:eiam.admin.ch:names:
tc:SAML:2.0:ac:
classes:AuthNormal 		acrStandard OIDC-Attribut, enthält die Authentifizierungsstärke und ist eines der folgenden:
urn:eiam.admin.ch:names:tc:SAML:2.0:ac:classes:AuthWeak
urn:eiam.admin.ch:names:tc:SAML:2.0:ac:classes:AuthNormal
urn:eiam.admin.ch:names:tc:SAML:2.0:ac:classes:AuthStrong
urn:eiam.admin.ch:names:tc:SAML:2.0:ac:classes:AuthVeryStrong
Display Name Muster Hans BIT displayName Private claim name
Darf nur zur Anzeige des Benutzers verwendet werden und darf nicht interpretiert werden.
Im Unternehmenskontext hat dieses Attribut das Format "Nachname & Vorname & OE".
Im eGov-Kontext hat dieses Attribut das Format "Nachname & Vorname".
Vorname Hans firstName Standard OIDC Attribut. Die Daten werden vom eIAM Root Client übernommen.
Nachname Muster lastName Standard OIDC Attribut. Die Daten werden dem eIAM Root Client entnommen.
eMail-Adresse hans.muster@bit.admin.ch email (email2) Standard OIDC-Attribut. Die Daten werden vom eIAM Root Client übernommen.
Sprache DE languagePrivater Anspruchsname
Rollen im aktuellen Profil der aktuellen Fachanwendung * BAG-emweb.ALLOW
BAG-embeb.Admin 		role Privater Anspruchsname
Alle Rollen, die der Benutzer im aktuell ausgewählten Profil hat (mehrwertig).
Wenn der Benutzer mehrere Profile hat, muss er vorher ein Profil auswählen, mit dem er arbeiten möchte.
*Nicht vorhanden beim Authenication Only Integrationsmuster.

Für eine vollständige Referenz der Attribute siehe:

SAML Attribute Das SAML AttributeStatement Die Attribute . . .
Dies ist die SAML-Referenz, aber ein passender OIDC-Name wird entsprechend zugewiesen.