OIDC: identificateur et attributs standard

La mise à disposition d'attributs pour les applications suit le principe "aussi peu que possible, autant que nécessaire". Ainsi, pour les intégrations standard eIAM, vous recevez comme applications métier l'identifiant et les attributs décrits ci-dessous.

Si votre application métier a besoin d'un autre identifiant ou d'attributs supplémentaires qui ne sont pas mentionnés ici, veuillez en parler et mentionner vos besoins dans le dossier d'eIAM.

Identifiant

Dans l'intégration eIAM standard, le JWT (token) envoyé à l'application contient l'attribut sub suivant :

Contenu du Sub extrait de l'attributFormat de l'attributDescription
http://schemas.eiam.admin.ch/ws/2013/12/
identity/claims/e-id/userExtId 		urn:oasis:names:tc:SAML:2.0:
nameid-format:persistent 		Le userExtId du client d'accès. Cette valeur est unique, invariable et est utilisée dans le cadre des intégrations standard avec Access Management.
http://schemas.xmlsoap.org/ws/2005/05/
identity/claims/name 		urn:oasis:names:tc:SAML:2.0:
nameid-format:persistent 		le loginId du client racine. Cette valeur est unique, immuable et est utilisée dans le cadre d'intégrations standard sans gestion des accès (authentification seule).

Identifiant et jeu d'attributs standard

Les règles suivantes s'appliquent au jeu d'attributs standard:
  • Tous les attributs proviennent du client racine, sauf indication contraire. Cela permet de garantir que les données fournies correspondent au niveau de QoA indiqué pour l'authentification.
  • Tous les attributs fournis par eIAM proviennent d'attributs eIAM (originalIssuer="uri:eiam.admin.ch:feds"), aucun attribut n'est fourni par l'IdP.
Liste des attributs fournis dans le jeu d'attributs standard :

Paramètre               ExempleAttribut Nom               Commentaire
Value of Subject NameID 123456789 sub attribut OIDC standard qui contient l'identifiant convenu de l'utilisateur. Pour les applications spécialisées, il s'agit du userExtId de l'utilisateur dans le client d'accès
qualité de l'authentification / contrôle d'identité urn:eiam.admin.ch:names:
tc:SAML:2.0:ac :
classes:AuthNormal 		acrattribut OIDC standard, contient la force d'authentification et est l'un des suivants :
urn:eiam.admin.ch:names:tc:SAML:2.0:ac:classes:AuthWeak
urn:eiam.admin.ch:names:tc:SAML:2.0:ac:classes:AuthNormal
urn:eiam.admin.ch:names:tc:SAML:2.0:ac:classes:AuthStrong
urn:eiam.admin.ch:names:tc:SAML:2.0:ac:classes:AuthVeryStrong
Display Name Modèle Jean OFIT displayName Private claim name
Ne peut être utilisé que pour afficher l'utilisateur et ne doit pas être interprété.
Dans le contexte de l'entreprise, cet attribut a le format "Nom & Prénom & OE".
Dans le contexte eGov, cet attribut a le format "Nom & Prénom".
prénom Jean firstName attribut OIDC standard. Les données sont reprises par le client racine eIAM.
nom de famille Modèle lastName attribut OIDC standard. Les données sont prises du client racine eIAM.
adresse e-mail jean.modele@bit.admin.ch email (email2) attribut OIDC standard. Les données sont prises du client racine eIAM.
langue FR anguageNom de la revendication privée
rôles dans le profil actuel de l'application métier actuelle * OFSP-emweb.ALLOW
OFSP-embeb.Admin 		role Nom d'exigence privé
Tous les rôles que l'utilisateur a dans le profil actuellement sélectionné (multivaleur).
Si l'utilisateur a plusieurs profils, il doit préalablement choisir un profil avec lequel il veut travailler.
*Non disponible pour le modèle d'intégration Authenication Only.

Pour une référence complète des attributs, voir:

SAML Attributs
Il s'agit de la référence SAML, mais un nom OIDC approprié sera attribué en conséquence.