SAML Attribute
Das SAML AttributeStatementDie Attribute innerhalb der gleichen Assertion können dabei in der föderativen Architektur von eIAM aus verschiedenen Quellen stammen. Attribute können einerseits direkt vom Identity Provider stammen, der den Benutzer authentifiziert hat, andererseits können Attribute aus dem eIAM-AM stammen. Der eIAM Trustbroker reichert die SAML Assertion des IdP mit Attributen aus dem eIAM-AM an.
Die wichtigsten Attribute im Überblick
Die folgende Tabelle zeigt die für die Applikation wichtigsten Attribute im Überblick
| Parameter/Attribut | Definition | Attribute Name="http://schemas.xmlsoap.org /ws/2005/05/identity/claims/name" | Dieser Identifier identifiziert den eIAM-Account des Benutzers im eIAM-Supermandant bei mandantenfähigen Plattformen (z.B. CMS BIT, SharePoint Neo), da hier eine den Amts Mandanten übergeordnete ID verwendet werden muss. Diese ID ist für den gleichen Benutzer immer identisch. Unabhängig davon, über welchen IdP er authentifiziert wurde (ID-Linking vorausgesetzt). Das Attribut ist erst in der SAML Assertion vorhanden, NACHDEM ein Benutzer erstmalig AccessRequest bei einer eIAM Applikation durchgeführt hat. Da das Attribut bei einer SAML Assertion fehlen kann, bis der Benutzer einen Zugriffsantrag für eine Applikation gestellt hat. | Attribute Name="http://schemas.eiam.admin.ch/ ws/2013/12/identity/claims/role | Autorisierungen in Form von Rollen welche der Benutzer besitzt. In der Form Applikation.Rolle Die Applikation soll diese Attribute verwenden, um die Autorisierungen die der Benutzer im eIAM-AM hält zu konsumieren und für das Access Management zu verwenden. Bei Fachapplikationen eines einzelnen Amtes enthält das Attribut alle Rollen für alle Applikationen, die der Benutzer im Access Mandanten des Amtes im eIAM-AM hat. Bei mandantenfähigen Plattformen für mehrere Ämter enthält das Attribut alle Rollen aus allen Access Mandanten im eIAM-AM für die entsprechende Plattform. | Attribute Name=http://schemas.eiam.admin.ch/ws/ 2013/12/identity/claims/displayName a:OriginalIssuer="IdP URL" | Anzeigename des Benutzers wie er im IdP geführt wird (wird nicht von allen IdP geliefert). |
Attribute und der OriginalIssuer
Ein und dasselbe Attribut kann in der SAML Assertion mehrfach vorkommen. Das scheint auf den ersten Blick verwirrend. Anhand des Beispiels des Attributs „http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname“ lässt sich dies einfach erklären. Dieses Attribut liefert den Vornamen des Benutzers. Dieses Attribut kann aber aus verschiedenen Quellen stammen. Zum einen liefert der für die Authentifizierung verwendete IdP dieses Attribut. Zum anderen liefert eIAM-AM dieses Attribut. Die Werte die in diesem Attribut geliefert werden können identisch oder abweichend sein. Zum Beispiel kann der Vorname im IdP als „Max“ geführt werden im eIAM-AM aber kann der Administrator den Vornamen des Benutzers auf „Maximilian“ setzen. eIAM liefert in der SAML Assertion beide Werte. Die Quelle des Attributs kann anhand des OriginalIssuer (Originale Ausgabestelle) unterschieden werden.
Wird das Attribut mit dem gleichen Schema vom IdP und vom eIAM-AM geliefert, so ist es an der Relying Party zu entscheiden, welchen Wert sie für das Attribut verwenden will. Das gleiche Attribut im IdP wird in der Regel besser nachgepflegt als sein Pendent im eIAM-AM.
Attribut vom IdP
<saml2:Attribute xmlns:a="http://schemas.xmlsoap.org/ws/2009/09/identity/claims" Name=„http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname“ a:OriginalIssuer="urn:eiam.admin.ch:idp:e-id:FED-LOGIN">
<saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Max</saml2:AttributeValue>
</saml2:Attribute>
Attribut vom eIAM-AM
<saml2:Attribute xmlns:a="http://schemas.xmlsoap.org/ws/2009/09/identity/claims" Name=„http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname“ a:OriginalIssuer="uri:eiam.admin.ch:feds">
<saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Maximilian</saml2:AttributeValue>
</saml2:Attribute>
| OriginalIssuer | Definition | uri:eiam.admin.ch:feds | Diese Attribute stammen aus eIAM-AM | Andere URI’s | Diese Attribute stammen vom Identity Provider (IdP) der Wert für OriginalIssuer ist abhängig vom verwendeten IdP. |
Alle Parameter/Attribute in der SAML Assertion
Die folgende Tabelle zeigt die Gesamtübersicht aller Attribute in der SAML 2.0 Assertion, die vom eIAM-Web PEP an den Service Provider (Relying Party) geliefert werden.
| OriginalIssuer | Definition | AttributeStatement | Enthält die Claims (Ansprüche) über des Subjekts in der Form von Attributen. | Attribute Name=”http://schemas. xmlsoap.org/ws/2005/05/identity/ claims/nameidentifier” | Internes eIAM Attribut, welches einen eindeutigen Identifikator des Benutzers liefert. Format: email Die Applikation SOLL diesen Identifier NICHT verwenden. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/sessionProfileExtId" | Die profileExtId des Profils im eIAM-AM, welches der Benutzer in der aktuellen Session verwendet. Die Applikation SOLL dieses Attribut verwenden, um die profileExtId des Profils des Benutzers zu konsumieren, welches aktuell vom Benutzer verwendet wird. Dieses Attribut wird nur für Fachapplikationen eines Amtes geliefert. Bei mandantenfähigen Plattformen wird dieses Attribut nicht geliefert. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/name" | Dieser Identifier identifiziert den eIAM-Account des Benutzers im eIAM-Supermandant bei mandantenfähigen Plattformen (z.B. CMS BIT, SharePoint Neo), da hier eine den Amts Mandanten übergeordnete ID verwendet werden muss. Diese ID ist für den gleichen Benutzer immer identisch. Unabhängig davon, über welchen IdP er authentifiziert wurde (ID-Linking vorausgesetzt). Das Attribut ist erst in der SAML Assertion vorhanden, NACHDEM ein Benutzer erstmalig AccessRequest bei einer eIAM Applikation durchgeführt hat. Da das Attribut bei einer SAML Assertion fehlen kann, bis der Benutzer einen Zugriffsantrag für eine Applikation gestellt hat. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/givenname" a:OriginalIssuer="IdP URL" | Vorname des Benutzers wie er im IdP geführt wird. | Attribute Name=http://schemas. xmlsoap.org/ws/2005/05/identity /claims/givenname a:OriginalIssuer="uri:eiam.admin .ch:feds" | Vorname des Benutzers wie er im eIAM-AM geführt wird. Bei Fachapplikationen eines Amtes wird der Wert aus dem Access-Mandant des Amtes verwendet. Bei mandantenfähigen Plattformen wird der Wert aus dem eIAM-Account des Benutzers im Supermandant verwendet. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/surname" a:OriginalIssuer="IdP URL" | Nachname des Benutzers wie er im IdP geführt wird. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/surname" a:OriginalIssuer="uri:eiam.admin .ch:feds" | Nachname des Benutzers wie er im eIAM-AM geführt wird. Bei Fachapplikationen eines Amtes wird der Wert aus dem Access-Mandant des Amtes verwendet. Bei mandantenfähigen Plattformen wird der Wert aus dem eIAM-Account des Benutzers im Supermandant verwendet. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity/ claims/dateofbirth" a:OriginalIssuer="uri:eiam.admin .ch:feds" | Neu (07.07.2024): Geburtsdatum des Benutzers wie er im eIAM-AM geführt wird. Dieses Attribut kann zur Laufzeit im Token von eIAM geliefert werden. Das Geburtsdatum des Subjekts wird nur dann geliefert, wenn dieses verifiziert ist. Die Verifikation geschieht einerseits durch HR Prozesse bei internen Mitarbeitern der Bundesverwaltung, anderseits bei Identitätsverifikationen in AGOV oder CH-LOGIN. Ein selbst angegebenes, nicht verifiziertes Geburtsdatum wird nie verarbeitet. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/emailaddress" a:OriginalIssuer="IdP URL" | E-Mail Adresse des Benutzers wie sie im IdP geführt wird. | Attribute Name="http://schemas. xmlsoap.org/ws/2005/05/identity /claims/emailaddress" a:OriginalIssuer="uri:eiam.admin .ch:feds" | E-Mail Adresse des Benutzers wie sie im eIAM-AM geführt wird. Bei Fachapplikationen eines Amtes wird der Wert aus dem Access-Mandant des Amtes verwendet. Bei mandantenfähigen Plattformen wird der Wert aus dem eIAM-Account des Benutzers im Supermandant verwendet. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/displayName" a:OriginalIssuer="IdP URL" | Anzeigename wie er im IdP geführt wird (falls vom IdP geliefert). Liefert der IdP dieses Attribut nicht von sich aus als eigentständiges Attribut, so wird es vom eIAM Trustbroker mittels der Werte aus den Attributen http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname und http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname zusammengesetzt, um immer ein entsprechendes Attribut liefern zu können. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/displayName" a:OriginalIssuer="uri:eiam.admin .ch:feds" | Anzeigename des Benutzers wie er im eIAM-AM geführt wird. Bei Fachapplikationen eines Amtes wird der Wert aus dem Access-Mandant des Amtes verwendet. Bei mandantenfähigen Plattformen wird der Wert aus dem eIAM-Account des Benutzers im Supermandant verwendet. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/language" a:OriginalIssuer="IdP URL" | Bevorzugte Sprache des Benutzers wie sie im IdP geführt wird (falls vom IdP geliefert) | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/language" a:OriginalIssuer="uri:eiam.admin .ch:feds" | Bevorzugte Sprache des Benutzers wie sie im eIAM-AM geführt wird. Bei Fachapplikationen eines Amtes wird der Wert aus dem Access-Mandant des Amtes verwendet. Bei mandantenfähigen Plattformen wird der Wert aus dem eIAM-Account des Benutzers im Supermandant verwendet. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/fp/homeName" | Name der „Heim Organisation“ der elektronischen Identität, mit welcher die Authentifizierung des Benutzers durchgeführt wurde aus Sicht des eIAM. Identitifiziert grundsätzlich den Identity Provider, mit dessen elektronsichen Identität sich das zugreifende Subjekt authentifiziert hat. Mögliche Werte sind: - e-ID CH-LOGIN => CH-Login Passwort (SMS) - Active Directory Bund => Windows Benutzer im Netz der Bundesverwaltung (Kerberos) - Admin PKI => Ortsunabhängiger Benutzer mit Admin PKI (Smartcard / Zertifikat) | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/fp/homeRealm" | URI des Home Realm an die der SAML 2.0 AuthnRequest für die Authentifizierung des Benutzers vom eIAM Trustbroker gesendet wurde und wo die Authentifizierung des Benutzers durchgeführt wurde. Mögliche Werte sind: - urn:eiam.admin.ch:idp:e-id:CH-LOGIN => CH-Login Passwort (SMS) - https://idp-kerb-eiam-a.adr.admin.ch/auth/saml2/sso => Windows Benutzer im Netz der Bundesverwaltung (Kerberos) - https://idp-cert.gate-a.eiam.admin.ch/auth/saml2/sso => Ortsunabhängiger Benutzer mit Admin PKI (Smartcard / Zertifikat) | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/admin-dir/adminEmployeeNumber" | Das Attribut „adminEmployeeNumber“ aus dem “Admin Directory Bund”. Die Personalnummer des Mitarbeiters der Bundesverwaltung. Dieses Attribut kann nur vom IdP für die Kerberos Authentifizierung und vom IdP für die Swiss Government PKI Authentifizierung geliefert werden. Voraussetzung, dass dieses Attribut geliefert werden kann, ist ein erfolgreiches Mapping auf den Admin Directory Record anhand des Identifiers der elektronischen Identität. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/admindir/adminDept" | Das Attribut „adminDept“ aus dem “Admin Directory Bund”. Das Amt oder das Generalsekretariat für welches der Mitarbeiter der Bundesverwaltung tätig ist. Dieses Attribut kann nur vom IdP für die Kerberos Authentifizierung und vom IdP für die Swiss Government PKI Authentifizierung geliefert werden. Voraussetzung, dass dieses Attribut geliefert werden kann, ist ein erfolgreiches Mapping auf den Admin Directory Record anhand des Identifiers der elektronischen Identität und dass das Attribut im Admin Directory für den Benutzer gepflegt ist. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/admindir/ou" | Das Attribut „ou“ aus dem “Admin Directory Bund” (AdminDir). Die Organisationseinheit für welche der Mitarbeiter der Bundesverwaltung tätig ist. Dieses Attribut kann nur vom IdP für die Kerberos Authentifizierung und vom IdP für die Swiss Government PKI Authentifizierung geliefert werden. Voraussetzung, dass dieses Attribut geliefert werden kann, ist ein erfolgreiches Mapping auf den Admin Directory Record anhand des Identifiers der elektronischen Identität und dass das Attribut im Admin Directory für den Benutzer gepflegt ist. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/admindir/uid" | Das Attribut „uid“ im Verzeichnis “Admin Directory Bund”. UniqueId des Mitarbeiters, der für die Bundesverwaltung tätig ist (X-Nummer oder U-Nummer). Dieses Attribut kann nur vom IdP für die Kerberos Authentifizierung und vom IdP für die Swiss Government PKI Authentifizierung geliefert werden. Voraussetzung, dass dieses Attribut geliefert werden kann, ist ein erfolgreiches Mapping auf den Admin Directory Record anhand des Identifiers der elektronischen Identität und dass das Attribut im Admin Directory für den Benutzer gepflegt ist. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/fp/federated" | Boolean (true/false) Informiert darüber, ob die Aussage vom eIAM Trustbroker über eine Föderation mit einem IdP zustande gekommen ist oder nicht. Im eIAM ist der Wert immer „true“. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/role" | Autorisierungen in Form von Rollen welche der Benutzer besitzt. In der Form ApplikationA.Rolle1 ApplikationA.Rolle2 ApplikationB.Rolle1 Autorisierungen in Form von Rollen welche der Benutzer besitzt. In der Form ApplikationA.Rolle1 ApplikationA.Rolle2 Die Applikation SOLL dieses Attribut verwenden, um die Autorisierungen die der Benutzer im eIAM-AM hält zu konsumieren und für das Access Management zu verwenden. Dieses Attribut enthält somit die „netto Berechtigungsrollen“ des Benutzers von allen Applikationen im spezifischen Access Mandanten (i.d.R. ein Amt oder Generalsekretariat) von eIAM-AM. Bei Fachapplikationen eines einzelnen Amtes enthält das Attribut die Berechtigungsrollen aller Applikationen, die der Benutzer im Access Mandanten im eIAM-AM hat. Bei mandantenfähigen Plattformen enthält das Attribut alle Rollen aus allen Access Mandanten im eIAM-AM für die entsprechende Plattform. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/role" | Autorisierungen in Form von Rollen welche der Benutzer besitzt und aus welchem Profil in welchem Access Mandanten diese stammen. Für Fachapplikationen eines Amtes in der Form: profileExtId\Applikation.Rolle Für mandantenfähige Plattformen in der Form: clientExtId\profileExtId\Applikation.Rolle Die mandantenfähige Plattform SOLL dieses Attribut verwenden wenn sie unterscheiden soll, aus welchem eIAM-AM Access Mandanten der Benutzer welche Berechtigungsrollen erhalten hat. Bei Fachapplikationen eines einzelnen Amtes enthält das Attribut alle Rollen, die der Benutzer im Access Mandanten des Amtes im eIAM-AM hat. Die „clientExtId“ wird in diesem Fall nicht mitgegeben, da diese eindeutig ist. Bei mandantenfähigen Plattformen enthält das Attribut alle Rollen aus allen Access Mandanten im eIAM-AM für die entsprechende Plattform. Nicht aber andere Rollen für andere Fachapplikationen. Es werden z.B. die Rollen aller Sharepoint Sites des Benutzers geliefert. Nicht aber Rollen für andere Applikationen. | Attribute Name=“ http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/unitExtId” | Kombination aus profileExtId des Profils, welches der Benutzer in der laufenden Session verwendet und der unitExtId der Unit, welcher das Profil zugewiesen ist. In der Form: profileExtId\unitExtId Dieses Attribut wird bei mandantenfähigen Plattformen nicht mitgeliefert. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/profileName" | Der Profil Name des oder der Profile des Benutzers aus welchen Rollen für die Assertion geholt wurden. Für Fachapplikationen eines Mandanten in der Form: profileExtId\profileName Für mandantenfähige Plattformen in der Form: clientExtId\profileExtId\profileName Bei Fachapplikationen eines einzelnen Amtes enthält das Attribut den Namen des Profils im Access Mandanten des Amtes welchem die RP zugewiesen ist. Die „clientExtId“ wird in diesem Fall nicht mitgegeben, da diese eindeutig ist. Bei mandantenfähigen Plattformen enthält das Attribut die Namen der Profile aus allen Access Mandanten im eIAM-AM für die entsprechende Plattform. Die „clientExtId“ wird dabei als zusätzlicher Identifier mitgegeben. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/userExtId | userExtId des Benutzers im Access Mandanten Bei Fachapplikationen eines Amtes enthält das Attribut die userExtId des Accounts des Benutzers im Access Mandanten im eIAM-AM. Bei mandantenfähigen Plattformen enthält das Attribut die userExtId des eIAM-Accounts des Benutzers im eIAM Supermandant. | Attribute Name="http://schemas. eiam.admin.ch/ws/2014/11/identity /claims/e-id/client/userExtId" | Eine oder mehrere Kombinationen aus clientExtId und userExtId des Benutzers oder der Benutzer, aus deren Profilen Rollen für die Assertion geholt wurden. In der Form: clientExtId\userExtId Das Attribut wird nur für mandantenfähige Plattformen geliefert. Der Wert des Attributs enthält alle Kombinationen aus clientExtId und userExtId des Benutzers von sämtlichen Accounts in den Access Mandanten, in welchen der Benutzer Rollen für die Plattform besitzt. | Attribute Name="http://schemas. eiam.admin.ch/ws/2014/11/identity /claims/e-id/client/clientName" | Der Name des Mandanten oder der Mandanten aus welchen Rollen für die ausgestellte Assertion geholt wurden. In der Form: clientExtId\clientName Das Attribut wird nur für mandantenfähige Plattformen geliefert. Bei mandantenfähigen Plattformen enthält das Attribut die Namen der Mandanten, aus welchen für die entsprechende Plattform Rollen geholt wurden. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/clientExtId" | Die clientExtId des Mandanten, aus welchem der Account stammt der in der aktuellen Session des Benutzers verwendet wird. Bei Fachapplikationen eines Amtes enthält das Attribut die clientExtId des Amtes welchem die Fachapplikation zugewiesen ist. Bei mandantenfähigen Plattformen enthält das Attribut die clientExtID des eIAM-Supermandanten (clientExtId=100). | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/loginId" | Die loginId des Benutzers. Bei Fachapplikationen eines einzelnen Amtes enthält das Attribut die loginId des Benutzers im Mandanten des Amtes im eIAM-AM welchem die Fachapplikation zugewiesen ist. Bei mandantenfähigen Plattformen enthält das Attribut die loginId des Benutzers im eIAM Supermandant. | Attribute Name="http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/unitName | Der Name der Unit, welcher das Profil zugewiesen ist, welches der Benutzer in der aktuellen Session verwendet. Bei Fachapplikationen eines einzelnen Amtes enthält das Attribut den Namen der Unit, der das verwendete Profil des Benutzers zugewiesen ist. Bei mandantenfähigen Plattformen wird dieses Attribut nicht mitgegeben. | Attribute Name=“http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/unitExtId“ | Die unitExtId der Unit im eIAM-AM, welcher das Profil zugewiesen ist, das der Benutzer aktuell verwendet. Bei Fachapplikationen eines einzelnen Amtes enthält das Attribut den Namen der Unit, der das verwendete Profil des Benutzers zugewiesen ist. Bei mandantenfähigen Plattformen wird dieses Attribut nicht mitgegeben. | Attribute Name=“http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/unitName” | Der unitName der Unit im eIAM-AM Access Mandanten, welcher das Profil zugewiesen ist, das der Benutzer in der aktuellen Session verwendet. Bei Fachapplikationen eines einzelnen Amtes enthält das Attribut den Namen der Unit, der das verwendete Profil des Benutzers zugewiesen ist. Bei mandantenfähigen Plattformen wird dieses Attribut nicht mitgegeben. | Attribute Name=“http://schemas. eiam.admin.ch/ws/2013/12/identity /claims/e-id/profile/defaultProfileExtId“ | Die profileExtId des Default Profils des Benutzers im Access Mandanten im eIAM-AM. Bei Fachapplikationen eines einzelnen Amtes enthält das Attribut die profileExtId des Default Profils des Benutzers im Access Mandanten, der die Fachapplikation zugewiesen ist. Bei mandantenfähigen Plattformen wird dieses Attribut nicht mitgegeben. | Attribute Name="http://schemas. eiam.admin.ch/ws/2014/11/identity /claims/e-id/mode" | Der Suchmodus welcher verwendet wurde um die Rolleninformationen des Benutzers für die SAML Assertion im eIAM-AM zu sammeln. Bei Fachapplikation eines einzelnen Amtes fehlt dieses Attribut. Bei mandantenfähigen Plattformen wird dieses Attribut auf den Wert „MultiClient“ gesetzt. | Attribute Name="http://schemas. eiam.admin.ch/ws/2015/03/identity /claims/e-id/pep/sourceNetwork" | Das Netzwerk aus welchem der Client bei der Anforderung der SAML Assertion vom PEP zugegriffen hat. Mögliche Werte sind: - BV => Zugriff aus der blauen Netzwerkzone (Netze der Bundesverwaltung) - INTERNET => Zugriff aus der roten Netzwerkzone (Internet, KTV, andere) - KTV => Zugriff aus dem Kantonsnetz. Wobei die Unterscheidung zwischen Internet und Kantonsnetz nur dann gemacht wird, wenn explizit vom Projekt ein eigener Loadbalancer für das Kantonsnetz bestellt wurde. | Attribute Name="http://schemas. eiam.admin.ch/ws/2021/06/ identity/claims/cis/adminGlobalID" | Im Unternehmenskontext enthält dieses Attribut die vom CIS (Central Identity Store) vergebene adminGlobalId. Diese Kennung ermöglicht es der Anwendung, die Identitätsdaten des Benutzers auch direkt auf dem DRP (Data Retrieval Point) zu finden. | Attribute Name=""http://schemas. eiam.admin.ch/ws/2024/05/ identity/claims/cis/adminOrganizationUID" | Neu (13.11.2024): Organisationseinheit des Benutzers im Enterprise Kontext wie er im CIS geführt wird. Der "Central Identity Store" (CIS) stellt das Attribut "adminOrganizationUID" zur Verfügung. Es handelt sich dabei um einen stabilen Identifikator, welcher auch bei einer Umbenennung einer Organisationseinheit stabil bleibt. Für gewisse Anwendungen ist es wichtig zu wissen, in welcher Organisationseinheit das auf die Zielapplikation zugreifende Subjekt organisatorisch geführt wird um dazu Entscheidungen innerhalb der Applikation zu treffen. | AuthnContext | Enthält Informationen darüber, wie die Authentifizierung des Benutzers auf dem Identity Provider (IdP) durchgeführt wurde. | AuthnContextClassRef | Enthält Informationen über die verwendete Authentifizierungsmethode, mit welcher der Benutzer auf dem IdP authentifiziert wurde. Anhand dieses Wertes MUSS die Applikation entscheiden, ob die Stärke der Authentifizierung des Benutzers für den Zugriff auf die Ressource ausreichend ist. Von eIAM verwendete ContextClassRefs: urn.oasis.names.tc.SAML.2.0.ac.classes.Kerberos |