Information om federationsanvändarnamn (EPPN)

Federationsanvändarnamn är en unik identifierare som kopplar en persons inloggning till en användare i provtjänsten. Identifieraren behövs för samtliga användare – både för skolenhetens personal och för elever.

För att inloggningen till Skolverkets provtjänst ska fungera krävs det att användaren i förväg läggs upp i Skolverkets provtjänst med sitt federationsanvändarnamn (eduPersonPrincipalName/EPPN). Detta hanteras genom att användaren provisioneras eller läggs upp manuellt i provtjänsten genom filinläsning.

Vid inloggning skickas federationsanvändarnamn med i inloggningsbiljetten (SAML-intyget) som signeras av skolenhetens inloggningstjänst (Idp).

Administrationen av skolenhetens federationsanvändarnamn sker oftast på huvudmannanivå. Skolenheten behöver veta vem som har ett visst federationsanvändarnamn för att kunna säkerställa inloggningen, koppla resultat till rätt elev och sätta rätt betyg. Huvudmannen behöver därför se till att det går att spåra federationsanvändarnamnet till en specifik fysisk person.

Federationsanvändarnamn används för alla användare i skolenhetens organisation, även personer som saknar ett svenskt personnummer eller personer vars personuppgifter behöver skyddas. En persons namn eller personnummer bör inte användas som federationsanvändarnamn eftersom detta kopplar användarnamnet till en persons identitet i den fysiska världen.

Skolverket använder federationsanvändarnamn för att minimera de uppgifter som behöver skickas till provtjänsten när en användare loggar in. Vi rekommenderar att varje huvudman ser över sin Idp-konfiguration så att endast de attribut som krävs skickas till provtjänsten vid inloggning.

Det är viktigt att federationsanvändarnamnet är globalt unik. Gamla federationsanvändarnamn tillhörande personer som har slutat kan inte återanvändas för identifiering av nya personer. Det är inga problem att ge en person ett nytt federationsanvändarnamn, till exempel vid byte till annan skola hos annan huvudman. Det är inte heller några problem att byta federationsanvändarnamn inom samma organisation om det skulle behövas, även om det är önskvärt att samma person behåller samma federationsanvändarnamn över tid så länge personen är hos samma huvudman.

I de fall där federationsanvändarnamn inte kommer användas som användarnamn för inloggning behöver personen inte heller komma ihåg det eller ange det. Då gör det därför inget om federationsanvändarnamnet blir komplext.

Federationsanvändarnamn anges i attributet "eduPersonPrincipalName" (urn:oid:1.3.6.1.4.1.5923.1.1.1.6).

Rekommendationer om federationsanvändarnamn

Exempel på att skapa federationsanvändarnamn kan vara olika hashade värden, såsom personnummer eller att använda GUID/UUID från en användarkatalog. Huvudmän kan välja att använda attributet "objectGuid" från ett AD för federationsanvändarnamn. Att använda det eller motsvarande attribut för att skapa EPPN ger även flera andra fördelar då det inte bara är unikt inom huvudmannens AD, utan även unikt globalt. Att använda "objectGuid" går dessutom oftast bra att automatisera maskinellt. Skolverkets provtjänst har en gräns på maxlängden för federationsanvändarnamnet på 64 tecken.

Notera att federationsanvändarnamn i Skolverkets provtjänst för närvarande är skiftlägeskänsliga (case sensitive).

Exempel: "Afkw7p9X@huvudman.se" och "afkw7p9x@huvudman.se" betraktas som olika användare.

För de som ska hantera federationsanvändarnamnen manuellt är Skolverkets rekommendation att det innehåller 8–32 tecken med bokstäver (a-z, A-Z), siffror (0–9) och vid behov bindestreck (-).

Exempel på hur federationsanvändarnamn kan utformas i den egna organisationen:

  • [objectGUID]@huvudman.se
  • agm00341@huvudman.se
  • 717e28a83b@huvudman.se
  • vilav-jokal@huvudman.se

Finns med i standarden SS 12000

Federationsanvändarnamn, EPPN, finns med i standarden SS 12000 som Skolverket rekommenderar.

Skolverket rekommenderar en gemensam teknisk standard

Senast uppdaterad 28 maj 2024

Innehåll på denna sida