...
| Info | ||
|---|---|---|
| ||
Sedan mars 2021 har samtliga identitetsutfärdare i SWAMID en registrerad errorURL. En del identitetsutfärdare använder traditionellt enkel errorURL men de flesta använder idag nedanstående beskrivna utökade hantering. |
Utökad hantering av errorURL
...
- Namn på tjänst (gärna DisplayName från MDUI-metadata för tjänsten): Ladok för studenter
- entityID för tjänsten: https://www.student.ladok.se/student-sp
- errorURL för användarens identitetsutfärdare: https://administrationsverktyg.umu.se/ErrorUrl/?errorurl_code=ERRORURL_CODE&errorurl_ts=ERRORURL_TS&errorurl_rp=ERRORURL_RP&errorurl_tid=ERRORURL_TID&errorurl_ctx=ERRORURL_CTX
- Då det i det här fallet är behörighet som saknas så är det felkategori AUTHORIZATION_FAILURE som passar
Säkerhetskrav uppfylls ej
Ni har loggat in i Ladok för studenter med en användare som inte uppfyller aktuella säkerhetskrav. För att använda Ladok för studenter behöver ni bekräfta er användaridentitet. Kontakta helpdesk, service desk, IT-support eller motsvarande för er inloggningstjänst för hjälp.
Er inloggningstjänst tillhandahåller en informationssida som ni uppmanas använda för att lösa detta problem: https://administrationsverktyg.umu.se/ErrorURL/
Aktuella säkerhetskrav: SWAMID Identity Assurance Level 2 Profile
Länken ska konstrueras enligt följande:
Hämta identitetsutfärdarens errorURL från dess metadata
Ersätt ERRORURL_CODE med AUHORIZATION_FAILURE
Ersätt ERRORURL_TS med aktuell tid, på formen unix time, exempelvis 1616057384
Ersätt ERRORURL_RP med tjänstens entityID, exempelvis https://www.student.ladok.se/student-sp
Ersätt ERRORURL_TID med en intern transaktionsidentifierare, om det skulle underlätta eventuell felsökning i kommunikation med tjänstens support
Ersätt ERRORURL_CTX med http://www.swamid.se/policy/assurance/al2
- Visa länken för användaren med eventuella parametrar bortklippta
Resulterande länk skulle exempelvis kunna bli denna:
https://administrationsverktyg.umu.se/ErrorUrl/?errorurl_code=AUTHORIZATION_FAILURE&errorurl_ts=1607969220&errorurl_rp=https://www.student.ladok.se/student-sp&errorurl_tid=ERRORURL_TID&errorurl_ctx=http%3A%2F%2Fwww.swamid.se%2Fpolicy%2Fassurance%2Fal2Inloggning i en tjänst som kräver personnummer för identifiering av användare men som inte får det
Personnummer används som identifierande attribut i många tjänster i SWAMID, bland annat kontoaktiveringsportaler, Ladok och Antagning.se. Inom de flesta studieadministrativa systemen används attributet norEduPersonNIN för överföring av personnummer. Andra tjänster använder normalt personalIdentityNumber.
| Info | ||
|---|---|---|
| ||
Det finns ett specialfall inom SWAMID där just norEduPersonNIN har använts för att indikera att identitetsutfärdaren med stor tillförlitlighet vet vilken personen bakom ett användarkonto är. Detta har då använts för att signalera att identiteten är "bekräftad". I och med tillitsprofilen SWAMID Identity Assurance Level 2 Profile så planeras detta fasas ut. |
I de fall personnummer saknas så är det lämpligt att tjänsten meddelar detta, och också ger stöd till användaren i kommunikationen med sin identitetsutfärdare (IdP).
Förslag på text, tillsammans med en länk till identitetsutfärdarens errorURL (i förekommande fall) med dessa förutsättningar:
- Attribut som saknas: norEduPersonNIN
- Namn på tjänst (gärna DisplayName från MDUI-metadata för tjänsten): Ladok för studenter
- entityID för tjänsten: https://www.student.ladok.se/student-sp
- errorURL för användarens identitetsutfärdare: https://administrationsverktyg.umu.se/ErrorUrl/?errorurl_code=ERRORURL_CODE&errorurl_ts=ERRORURL_TS&errorurl_rp=ERRORURL_RP&errorurl_tid=ERRORURL_TID&errorurl_ctx=ERRORURL_CTX
- Tjänsten använder entitetskategorin GÉANT Dataprotection Code of Conduct för överföring av attribut
- Då det i det här fallet är identifierande attribut som saknas så är det felkategori IDENTIFICATION_FAILURE som passar
Din identitetsutfärdare skickade ingen identitet
Ingen identitet skickades med när du loggade in i Ladok för studenter. Kontakta helpdesk, service desk, IT-support eller motsvarande för er inloggningstjänst för hjälp.
Er inloggningstjänst tillhandahåller en informationssida som ni uppmanas använda för att lösa detta problem: https://administrationsverktyg.umu.se/ErrorURL/
Teknisk information: norEduPersonNIN (personnummer) saknas
Länken ska konstrueras enligt följande:
Hämta identitetsutfärdarens errorURL från dess metadata
Ersätt ERRORURL_CODE med IDENTIFICATION_FAILURE
Ersätt ERRORURL_TS med aktuell tid, på formen unix time, exempelvis 1616057384
Ersätt ERRORURL_RP med tjänstens entityID, exempelvis https://www.student.ladok.se/student-sp
Ersätt ERRORURL_TID med en intern transaktionsidentifierare, om det skulle underlätta eventuell felsökning i kommunikation med tjänstens support
Ersätt ERRORURL_CTX med "norEduPersonNIN http://www.geant.net/uri/dataprotection-code-of-conduct/v1"
- Visa länken för användaren med eventuella parametrar bortklippta
Resulterande länk skulle exempelvis kunna bli denna:
https://administrationsverktyg.umu.se/ErrorUrl/?errorurl_code=IDENTIFICATION_FAILURE&errorurl_ts=1607969220&errorurl_rp=https://www.student.ladok.se/student-sp&errorurl_tid=ERRORURL_TID&errorurl_ctx=norEduPersonNIN