Denna sida beskriver best-practices kring värdet för subject-id för IdP:er inom SWAMID.

Bakgrund

Sedan SWAMID bildades 2010 har eduPersonPrincipalName (eppn) rekommenderats som attribut för att förmedla användarnamn från identitetsutfärdare (IdP) till tjänster (SP). En majoritet av tjänsterna i SWAMID använder eppn som identifierare av användare. SWAMID kräver i sina tillitsprofiler och i teknologiprofilen för SAML att eppn är globalt unik och aldrig återanvänds till en annan individ:

SWAMID Identity Assurance profiles:

5.2.3 Each Subject MUST be represented by one or more globally unique identifiers.

Subject identifiers MUST NOT be re-assigned.

SWAMID SAML WebSSO Technology Profile:

5.5.3 An Identity Provider MUST support release of the attribute eduPersonPrincipalName. The value of the attribute for a Subject MUST NOT be reassigned to another Subject.

Guidance: The e-mail address of a Subject is not suitable as value for the attribute eduPersonPrincipalName due to name changes and later reassignments to other Subjects.

Ett problem med eppn är att andra federationer inom eduGAIN tillåter att attributet återanvänds till andra individer. Det gör att attributet fungerar sämre som identifierare utanför SWAMID.

För att hantera detta har en ny identifierare arbetats fram, subject-id.

subject-id har samma egenskaper som eppn har i SWAMID:

• Den har ett scope (@org.se)
• Den får aldrig kopplas till en annan individ (någonsin)
• Den liknar en e-postadress (men bör inte vara en e-postadress)
• Ska behandlas case-insensitive, dvs AnvandarNamn@ORG.SE ska räknas som samma värde som anvandarnamn@org.se

Kravet för subject-id finns definierat i SWAMID SAML WebSSO Technology Profile::

5.5.4 An Identity Provider MUST support the release of the attribute subject-id. The value of the attribute for a Subject MUST NOT be reassigned to another Subject.

Guidance: The subject-id is a globally unique identifier identical for all Relying Parties for a given Subject. SWAMID recommends that the value of eduPersonPrincipalName is used for subject-id since it is already defined for all

Subjects, widely used as identifier in Relying Parties in SWAMID, unique and non-reassigned for all Identity Providers in SWAMID. The subject-id should not be changed as a result of a change to any other data associated with the Subject (e.g., name, email address, organisational role).

Det finns dock en skillnad mellan eppn och subject-id, dess tillåtna tecken:

• eppn: A-Z, a-z, 0-9, punkt (.), bindestreck (-), underscore (_)
• subject-id: A-Z, a-z, 0-9, bindestreck (-), likhetstecken (=)

Rekommendation

Utifrån detta är SWAMIDs rekommendation:

• Använd eppn som bas för värde på subject-id

• Säkerställ att eppn (och subject-id) aldrig återanvänds (speciellt viktigt om e-postadress används i eppn idag)

  • Detta följer av tillitsprofilen, teknologiprofilen samt GDPR (och av direkt säkerhetsskäl för risk vid tillgång )

  • E-postadress riskerar återanvändas till annan individ (har förekommit efter rektorsbeslut) och skall därför inte användas

  • Om e-postadress används idag, se till att de aldrig återanvänds och skapa en annan identifierare än e-postadress för nya användare

  • I subject-id får inte . användas, därför ska det inte användas i eppn heller

• Använd eppn som bas för subject-id

• Ersätt underscore (_) med =5F

• Ersätt punkt (.) med =2E

• Exempel: fornamn.efter-namn@org.se → fornamn=2Eefter=5Fnamn@org.se