Information om federationsanvändarnamn (EPPN)
Federationsanvändarnamn, även kallat EPPN, är en unik identifierare som kopplar en persons inloggning till användaren i provtjänsten. Federationsanvändarnamn krävs för alla användare – både skolpersonal och elever.
För att inloggningen till Skolverkets provtjänst ska fungera, måste användarens personuppgifter, inklusive federationsanvändarnamn föras över till Skolverkets provtjänst i förväg. När en person loggar in skickas federationsanvändarnamnet med i inloggningsbiljetten (SAML-intyget) från skolenhetens inloggningstjänst (IdP).
Administrationen av skolenhetens federationsanvändarnamn sker oftast på huvudmannanivå. Huvudmannen behöver se till att skolenheten kan spåra federationsanvändarnamnet till rätt person för att kunna säkerställa inloggningen, koppla resultat till rätt elev och sätta rätt betyg.
Skolverket använder federationsanvändarnamn för att minska mängden data som skickas vid inloggning. Vi rekommenderar att huvudmän ser över sin IdP-konfiguration så att endast nödvändiga attribut skickas till provtjänsten vid inloggning.
Federationsanvändarnamnen måste vara globalt unika. Därför kan gamla federationsanvändarnamn för personer som har slutat inte återanvändas för nya personer. Det går bra att ge en person ett nytt federationsanvändarnamn, till exempel vid byte till en annan skola hos en annan huvudman. Det går också bra att byta federationsanvändarnamn inom samma organisation, även om samma person helst bör behålla samma federationsanvändarnamn över tid så länge personen är hos samma huvudman.
Om federationsanvändarnamn inte används som användarnamn för inloggning behöver personen inte komma ihåg eller ange det. Det gör därför inget om det är komplext.
Federationsanvändarnamn anges i attributet "eduPersonPrincipalName" (urn:oid:1.3.6.1.4.1.5923.1.1.1.6).
Federationsanvändarnamn och skyddade personuppgifter
Federationsanvändarnamn används för alla användare i skolenhetens organisation, även för de som saknar ett svenskt personnummer eller har skyddade personuppgifter.
Hela eller delar av en persons namn eller personnummer bör inte användas som federationsanvändarnamn för att undvika koppling till personens identitet. Varken huvudmannen eller Skolverket kan pseudonymisera federationsanvändarnamnet eftersom det skulle göra det omöjligt att logga in.
För att minska risken för personer med skyddade personuppgifter kontrollerar Skolverket om federationsanvändarnamnet som förs över innehåller hela eller de tre första bokstäverna i efternamnet. Om de gör det, kommer Skolverket be ansvarig att omgående byta federationsanvändarnamnet.
Rekommendationer om federationsanvändarnamn
Federationsanvändarnamnet i Skolverkets provtjänst får vara max 64 tecken. Tänk på följande när ni skapar federationsanvändarnamn:
- Federationsanvändarnamn kan till exempel skapas med hashvärden, som GUID/UUID från en användarkatalog. Huvudmän kan använda "objectGuid" från AD (Active Directory), vilket har fördelarna att de ger både unika och globala identifierare, och oftast kan automatiseras.
- Federationsanvändarnamn i Skolverkets provtjänst är inte skiftlägeskänsliga (case insensitive) vid inloggning, vilket exempelvis innebär att "Afkw7p9X@huvudman.se" och "afkw7p9x@huvudman.se" betraktas som samma användare.
- För manuell hantering rekommenderas federationsanvändarnamn på 8–32 tecken med bokstäver (a-z, A-Z), siffror (0–9) och vid behov bindestreck (-).
- Federationsanvändarnamn bör inte innehålla hela eller delar av en persons namn eller personnummer. Om hela eller de tre första bokstäverna i efternamnet ingår i federationsanvändarnamnet, kommer Skolverket kontakta ansvarig för byte.
Exempel på hur federationsanvändarnamn kan utformas i den egna organisationen:
- [objectGUID]@huvudman.se
- agm00341@huvudman.se
- 717e28a83b@huvudman.se
- vilav-jokal@huvudman.se
EPPN ingår i standarden SS 12000
Federationsanvändarnamn finns med i standarden SS 12000 som Skolverket rekommenderar.