EPPN för de som är både elev och personal

[Mats Persson - ID North AB]

Hej!

Jag arbetar med en kund som kommer att provisionera elever och personal till skolverket via IST Administrations DNP-modul inom kort. För att provisioneringen till DNP skall fungera behöver EPPN skrivas till IST Administration via en PATCH mot https://api.ist.com/persons/{id} med en lista av eduPersonPrincipalName:s.

I kundens identitetslösning har de idag separata EPPN för sina elev-konton och personal-konton på formatet [GUID]@kommun.se och jag undrar därför hur hanteringen sker för de som är både elev och personal?

Kan vi skriva båda EPPN till personobjektet i IST Administration?
Om det är möjligt, hur vet IST Administration vilket EPPN som hör till eleven och vilket som hör till personalen, då vi skriver till ett Person-objekt?
Hos en annan leverantör vet jag att det finns möjlighet att lägga till en unik identifierare (service) till EPPN-värdet och att man kan konfigurera vilken av dessa som hör till elever och vilken som hör till personal. Finns det motsvarande i IST Administration?

Mvh Mats!

[Jonas Erlandsson]

Hallå Mats.

Jag har pratat lite med våra utvecklare om detta och om jag förstår det rätt så kan skolverket bara ta emot ett eppn per person.
Därför vi gör ingen skillnad på om en person är personal eller elev. När ni synkar eppn mot oss så bör ni bara skicka ett eppn.

Skolverket säger också att eppn-listan enbart får innehålla ett värde (se skärmdump), så jag antar att andra system duplicerar användarna hos skolverket istället.
https://www.skolverket.se/download/18.61d4b57e192b678a68c4/1729667949910/Uppgifter vid maskin-till-maskin provisionering v1.1.1_2024-10-22.pdf 

[Mats Persson - ID North AB]

Hej Jonas!

Tack för snabbt svar. Precis, användarna dubbleras i de andra lösningar jag sett så att det är två unika person-objekt med unika id på personobjektet i DNP API:et. Båda har samma personnummer, men olika id och olika EPPN.

Tidigare har det funnits krav vid provisionering mot provisionerings-API:et att en person som är både elev och personal måste skapas upp som två separata person-objekt i skolverkets API. Det ser ut som att den informationen inte framgår lika tydligt längre. Dock kan man se att begränsningen finns kvar på ett par ställen:

1. E-postadresser, då man inte kan ha e-postadresser av både typen "Skola personal" och "Skola elev" på ett person-objekt.
2. Läser man om provisionerings-API:et på skolverkets github (https://github.com/skolverket/dnp-usermanagement/blob/main/provisioning-api/dnp-provisioning-api.yaml) så står det att "För närvarande **ska** det skickas olika eduPersonPrincipalName för rollen elev och personal.".

Det är inget stort problem för proven just nu då det endast är grundskolan och gymnasiet som ska skriva nu i vår. Men, kunden har även vuxenutbildning och där kan en del av eleverna även tänkas vara skolpersonal, därav att jag vill veta hur vi ska hantera det på lång sikt.

Jag kommer att implementera det så att vi för över endast ett EPPN per person till IST Administration och att vi för de som är både elev och anställd kommer vi att prioritera elevens EPPN då detta i någon mening är viktigare för att koppla proven till rätt ID i framtiden.

Mvh Mats!