Information om federationsanvändarnamn (EPPN)
Federationsanvändarnamn är en unik identifierare som kopplar en persons inloggning till en användare i provtjänsten. Identifieraren behövs för samtliga användare – både för skolenhetens personal och för elever.
För att inloggningen till Skolverkets provtjänst ska fungera krävs att användaren i förväg läggs upp i Skolverkets provtjänst med sitt federationsanvändarnamn (’eduPersonPrincipalName’/EPPN). Detta hanteras genom att användaren provisioneras eller läggs upp manuellt i provtjänsten (genom filinläsning).
Vid inloggning skickas federationsanvändarnamn med i inloggningsbiljetten (SAML-intyget) som signeras av skolenhetens inloggningstjänst (Idp).
Administrationen av skolenhetens federationsanvändarnamn sker oftast på huvudmannanivå. Skolenheten behöver veta vem som har ett visst federationsanvändarnamn för att kunna säkerställa inloggningen, koppla resultat till rätt elev och sätta rätt betyg. Huvudmannen behöver därför se till att det går att spåra federationsanvändarnamnet till en specifik fysisk person.
Federationsanvändarnamn används för alla användare i skolenhetens organisation, även personer som saknar ett svenskt personnummer eller personer vars personuppgifter behöver skyddas. En persons namn eller personnummer bör inte användas som federationsanvändarnamn, eftersom detta kopplar användarnamnet till en persons identitet i den fysiska världen.
Skolverket använder federationsanvändarnamn för att minimera de uppgifter som behöver skickas till provtjänsten när en användare loggar in. Vi rekommenderar att varje huvudman ser över sin Idp-konfiguration så att endast de attribut som krävs skickas till provtjänsten vid inloggning. Syftet är att minimera de uppgifter som skickas vid varje inloggning.
Det är viktigt att federationsanvändarnamnet är globalt unik per läsår. Gamla federationsanvändarnamn tillhörande personer som har slutat kan inte återanvändas för identifiering av nya personer under innevarande läsår. Det är inga problem att ge en person ett nytt EPPN, till exempel vid byte till annan skola hos annan huvudman. Det är inte heller några problem att byta federationsanvändarnamn inom samma organisation om det skulle behövas, även om det är önskvärt att samma person behåller samma federationsanvändarnamn över tid så länge personen är hos samma huvudman.
I de fall där federationsanvändarnamn inte kommer användas som användarnamn för inloggning behöver personen inte heller komma ihåg det eller ange det. Då gör det därför inget om federationsanvändarnamnet blir komplext.
Federationsanvändarnamn anges i attributet ’eduPersonPrincipalName’ (urn:oid:1.3.6.1.4.1.5923.1.1.1.6).
Rekommendationer om federationsanvändarnamn
Exempel på att skapa federationsanvändarnamn kan vara olika hashade värden, såsom personnummer eller att använda GUID/UUID från en användarkatalog. Huvudmän kan välja att använda attributet objectGuid från ett AD för federationsanvändarnamn. Att använda objectGUID eller motsvarande för att skapa EPPN ger även flera andra fördelar då en objectGUID inte bara är unik inom huvudmannens AD, utan även unik globalt. Att använda attributet objectGUID går dessutom oftast bra att automatisera maskinellt. Skolverkets provtjänst har en gräns på maxlängden för federationsanvändarnamnet på 64 tecken.
Det är viktigt att federationsanvändarnamn är skiftlägesokänsliga (case insensitive).
Exempel: Afkw7p9X@huvudman.se och afkw7p9x@huvudman.se betraktas som samma användare.
För de som ska hantera federationsanvändarnamnen manuellt är Skolverkets rekommendation att det innehåller 8–32 tecken med bokstäver (a-z, A-Z), siffror (0–9) och vid behov bindestreck (-).
Exempel på hur federationsanvändarnamn kan utformas i den egna organisationen:
[objectGUID]@huvudman.se
ag00341@huvudman.se
717e28a83b@huvudman.se
vilav-jokal@huvudman.se
Finns med i standarden SS 12000
Federationsanvändarnamn, EPPN, finns med i standarden SS 12000 som Skolverket rekommenderar.