Information om federationsanvändarnamn (’eduPersonPrincipalName’/EPPN)

Federationsanvändarnamnet (eduPersonPrincipalName, ibland förkortat EPPN) är en unik identifierare som kopplar en persons inloggning i skolan till en användare i provtjänsten.

Det förutsätter att administrationen av skolans federationsanvändarnamn sker på huvudmannanivån. Skolan behöver veta vem som har ett visst federationsanvändarnamn för att kunna säkerställa inloggningen, koppla resultat till rätt elev samt sätta rätt betyg. Huvudmannen behöver därför se till att det går att spåra federationsanvändarnamnets koppling till en specifik fysisk person.

Federationsanvändarnamn kan användas för alla användare i skolans organisation, även personer som saknar ett svenskt personnummer eller personer vars personuppgifter behöver skyddas. En persons namn eller personnummer bör inte användas som federationsanvändarnamn, eftersom detta kopplar federationsanvändarnamnet till en persons identitet i den fysiska världen. Det är viktigt att federationsanvändarnamnet är globalt unik över tid. Gamla federationsanvändarnamn tillhörande personer som har slutat, kan inte återanvändas för identifiering av nya personer.

För att inloggningen till Skolverkets provtjänst ska fungera krävs att användaren i förväg läggs upp i Skolverkets provtjänst med sitt federationsanvändarnamn. Detta kan hanteras genom att användaren provisioneras eller läggs upp manuellt i provtjänsten. Vid inloggning anges federationsanvändarnamn i inloggningsbiljetten (SAML-intyget) som signeras av skolans inloggningstjänst (IdP).

Federationsanvändarnamn anges i attributet ’eduPersonPrincipalName’ (urn:oid:1.3.6.1.4.1.5923.1.1.1.6). Skolverket använder federationsanvändarnamn för att minimera de uppgifter som behöver skickas till provtjänsten när en användare loggar in. Skolverket rekommenderar att varje huvudman ser över sin IdP-konfiguration så att det endast är de attribut provtjänsten kräver som skickas till Skolverkets provtjänst vid inloggning. Detta är för att minimera de uppgifter som skickas vid varje inloggning vilket kallas för uppgiftsminimering.

En förutsättning för att kunna logga in i provtjänsten är att någon av de godkända autentiseringsmetoder som skolans inloggningstjänst (IdP) erbjuder användas. Det kan vara inloggning med användarnamn och lösenord, eller e-postadress och lösenord. Men det finns också andra inloggningsmetoder för säkrare inloggning, till exempel flerfaktorsautentisering (MFA) och e-legitimationer.

När användaren har lyckats logga in kommer huvudmannens IdP attt inkludera federationsanvändarnamnet i inloggningsbiljetten (SAML-intyget). Med andra ord, användaren ser inte sitt federationsanvändarnamn och behöver inte heller komma ihåg det eller ange det.

Rekommendationer om EPPN

Det är viktigt att federationsanvändarnamn (’eduPersonPrincipalName’) är skiftlägesokänsliga (case insensitive).

Exempel: Afkw7p9X@huvudman.se och afkw7p9x@huvudman.se betraktas som samma användare.

Den lokalt unika användaridentifieraren i federationsanvändarnamnet rekommenderas att vara en sträng som innehåller 8–12 tecken: Bokstäver (a-z, A-Z) och siffror (0–9)

Exempel på hur federationsanvändarnamn kan utformas i den egna organisationen:

ag00341@huvudman.se

717e28a83b@huvudman.se

vilav-jokal@huvudman.se

För att säkerställa att federationsanvändarnamn är unikt över tid kan till exempel termin eller läsår ingå.

Finns med i standarden SS12000

Federationsanvändarnamn (’eduPersonPrincipalName’) finns med i standarden SS12000 som Skolverket rekommenderar.

Skolverket rekommenderar en gemensam teknisk standard Länk till annan webbplats.

Digitala nationella prov och SS12000 Länk till annan webbplats.

Senast uppdaterad 31 mars 2022