SAML: Standard Identifikator und Attribute
Bei den SAML Standard Identifikatoren und Attribute unterscheiden wir zwischen zwei Appliaktionstypen.- Fachapplikationen diese zeichnen sich dadurch aus, dass sie gemäß den Anforderungen eines einzelnen Kunden massgeschneidert als Individualsoftware erstellt werden.
- Plattformapplikationen sind vorgefertigte Produkte (Standardsoftware), welche für eine grosse Menge potenzieller Kunden entwickelt werden.
Für Fachappliaktionen
Die Bereitstellung von Attributen für Appliaktionen folgt dem Prinzip "so wenig wie möglich, so viele wie nötig". So erhalten Sie für die eIAM Standardintegrationen als "Fachapplikation" den unten beschriebenen Identifikator und Attribute.Wenn Ihre Applikation einen anderen Identifikator oder zusätzliche, hier nicht aufgeführte Attribute erfordert, dann sprechen Sie dies bitte an und listen Sie Ihren Bedarf im eIAM Dossier auf.
Identifikator
Bei der eIAM Standardintegration enthält die SAML-Assertion (Token), die an die Applikation gesendet wird, das folgende Subject (Attribut NameID im Subject-Tag):| NameID Inhalt aus Attribut | Attributformat | Beschreibung | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/e-id/userExtId | urn:oasis:names:tc:SAML:2.0: nameid-format:persistent | Die userExtId des Access Client. Dieser Wert ist eindeutig, unveränderlich und wird im Rahmen von Standardintegrationen mit Access Management verwendet. | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/name | urn:oasis:names:tc:SAML:2.0: nameid-format:persistent | Die loginId des Root Client. Dieser Wert ist eindeutig, unveränderlich und wird im Rahmen von Standardintegrationen ohne Access Management (Authentication Only) verwendet. |
|---|
AuthnClassContextRef
Der AuthnClassContextRef-Tag (ACCR) in der SAML-Assertion beschreibt, wie der Benutzer beim Identitätsanbieter authentifiziert wurde. Um dies für die Applikation zu vereinfachen, wird in der SAML-Assertion statt der verwendeten Authentifizierungsmethode (z. B. Kerberos, Passwort usw.) die Qualität der Authentifizierung (QoA) angegeben. Für Details zum Konzept und den möglichen Stufen siehe:Diese wird im AuthnStatement wie folgt angegeben (Beispiel für urn:qoa.eiam.admin.ch:names:tc:ac:classes:40):
Standard Attribut Set
Für den Standard Attribut Set gelten die folgenden Regeln:- Alle Attribute stammen aus dem Root Client, sofern nicht anders angegeben. Dadurch wird sichergestellt, dass die bereitgestellten Daten mit dem angegebenen QoA-Level der Authentifizierung übereinstimmen.
- Alle bereitgestellten Attribute stammen von eIAM und haben originalIssuer="uri:eiam.admin.ch:feds", es werden keine Attribute von IdP im Standard Attribut Set bereitgestellt.
| Inhalt | Beispiel | Attribut Name | Kommentar | Wert des Betreffs NameID | 123456789 | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/nameidentifier | Gleicher Wert wie die Subject NameID, dies ist für Applikation, die den Inhalt der Subject NameID nicht lesen können | Anzeige Name | Muster Hans BIT | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/displayName | Darf nur zur Anzeige des Benutzers verwendet werden und darf nicht interpretiert werden. Im Enterprise Kontext hat dieses Attribut das Format "Nachname & Vorname & OE". Im eGov-Kontext hat dieses Attribut das Format "last name & first name". | Vorname | Hans | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/givenname | Daten werden vom eIAM Root Client übernommen. | Nachname | Muster | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/surname | Daten werden vom eIAM Root Client übernommen. | eMail-Adresse | hans.muster@ bit.admin.ch | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/emailaddress | Daten werden vom eIAM Root Client übernommen. | Sprache | DE | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/language | Daten werden vom eIAM Root Client übernommen. | Rollen im aktuellen Profil der aktuellen Applikation * | BAG-emweb.ALLOW BAG-embeb.Admin | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/e-id/profile/role | Alle Rollen, die der Benutzer im aktuell ausgewählten Profil hat (mehrwertig). Wenn der Benutzer mehrere Profile hat, muss er vorher ein Profil auswählen, mit dem er arbeiten möchte. |
|---|
Eine vollständige Referenz der Attribute finden Sie unter:
Für Plattformapplikationen
Die Bereitstellung von Attributen für Applikationen folgt dem Grundsatz "so wenig wie möglich, so viele wie nötig". So erhalten Sie für eIAM Standardintegrationen als Plattformapplikationen die unten beschriebenen Identifikatoren und Attribute.Wenn Ihre Plattformapplikationen einen anderen Identifikator oder zusätzliche, hier nicht aufgeführte Attribute erfordert, dann sprechen Sie dies bitte an und listen Sie Ihren Bedarf im eIAM Dossier auf.
Identifikator
Bei der eIAM Standardintegration enthält die SAML-Assertion (Token), die an die Applikation gesendet wird, das folgende Subject (Attribut NameID im Subject-Tag):| NameID Inhalt aus Attribut | Attributformat | Beschreibung | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/name | urn:oasis:names:tc:SAML:2.0: nameid-format:persistent | Die loginId des Root Client. Dieser Wert ist eindeutig und unveränderlich. |
|---|
AuthnClassContextRef
Der AuthnClassContextRef-Tag (ACCR) in der SAML-Assertion beschreibt, wie der Benutzer beim Identitätsanbieter authentifiziert wurde. Um dies für die Applikation zu vereinfachen, wird in der SAML-Assertion statt der verwendeten Authentifizierungsmethode (z. B. Kerberos, Passwort usw.) die Qualität der Authentifizierung (QoA) angegeben. Für Details zum Konzept und den möglichen Stufen siehe:Diese wird im AuthnStatement wie folgt angegeben (Beispiel für urn:qoa.eiam.admin.ch:names:tc:ac:classes:40):
Standard-Attributsatz
Für den Standard-Attributsatz gelten die folgenden Regeln:- Alle Attribute stammen aus dem Root Client, sofern nicht anders angegeben. Dadurch wird sichergestellt, dass die bereitgestellten Daten mit dem angegebenen QoA-Level der Authentifizierung übereinstimmen.
- Alle Attribute werden von eIAM bereitgestellt und haben originalIssuer="uri:eiam.admin.ch:feds", es werden keine Attribute von IdP bereitgestellt.
| Inhalt | Beispiel | Attribut Name | Kommentar | Wert des Betreffs NameID | CH12345678 | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/nameidentifier | Gleicher Wert wie die Subject NameID, Dies ist für Applikationen, die den Inhalt der Subject NameID nicht lesen können | Anzeigename | Muster Hans BIT | http://schemas.eiam.admin.ch/ws/2013/12/ identity/claims/displayName | Darf nur zur Anzeige des Benutzers verwendet werden und darf nicht interpretiert werden. Im Enterprise Kontext hat dieses Attribut das Format "Nachname & Vorname & OE". Im eGov-Kontext hat dieses Attribut das Format "last name & first name". | Vorname | Hans | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/givenname | Daten werden vom eIAM Root Client übernommen. | Nachname | Muster | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/surname | Daten werden vom eIAM Root Client übernommen. | eMail-Adresse | hans.muster@ bit.admin.ch | http://schemas.xmlsoap.org/ws/2005/05/ identity/claims/emailaddress | Daten werden vom eIAM Root Client übernommen. | Sprache | DE | http://schemas.eiam.admin.ch/ws/2013/ 12/identity/claims/language | Daten werden vom eIAM Root Client übernommen. | Rollen in allen Profilen der aktuellen Applikation * | 100\3913491\ SharePoint-BUND .SharePointUser 2300\33339631\ SharePoint-BK.SharePointUser | http://schemas.eiam.admin.ch/ws/2013/ 12/identity/claims/e-id/profile/role | Dieses Attribut ist mehrwertig und enthält die Rollen, die der Benutzer derzeit innehat, mit dem Präfix clientExtId und profileExtId des Zugriffsmandanten, in dem diese zugewiesene Rolle gefunden wurde. Das Format ist <clientExtId>\<profileExtId>\<application>.<role>. |
|---|
Für eine vollständige Referenz der Attribute siehe: