Förutsättningar att uppfylla

Uppfyllnad

Att gemensamma gränssnitt i alla federativa utbyten finns framtagna och beskrivna, vilket möjliggör kostnadseffektiva och leverantörsneutrala lösningar.

RIV-TA tillämpas

Det behövs organ och processer för att godkänna utgivare av elektroniska identitetsintyg och certifikat som är giltiga i federationen.

SITHS HCC certifikat används i enlighet med T-boken och RIV-TA2.1.  

• Nationell eller regional SITHS förvaltning ansvarar för utgivning av certifikat.
• Engagemangsindex-komponenten kräver inte PKI för kommunikation, utan kan vid behov förlita sig på att en tjänsteplattform agerar SSL-part i informationsutbytet med källsystem och e-tjänster.

Aktörer i olika nät, inklusive öppna nät ska vara välkomna i elektronisk samverkan genom att samverkande komponenter är säkra.

Kommunikation sker via nationellt tjänsteplattform. Via den nationella tjänsteplattformen kan EI nås från internet och Sjunet.

Att Ingående parter i federationen är överens om ett antal gemensamma ståndpunkter:

• att stark autentisering likställs med 2-faktors autentisering
• att vid samverkan acceptera följande metoder för stark autentisering; eID, PKI med lagring av nyckelpar på SmartCard eller motsvarande och metoder baserade på engångslösenord, antingen genererade i en fysisk enhet eller säkert distribuerad till fysisk enhet
• att tillämpa en gemensam certifikat- och utfärdarpolicy, likvärdig med SITHS, som ett minimikrav för egen eller annans PKI
• att sträva mot en autentiseringslösning, framför flera olika, för att realisera stark autentisering i den egna organisationen och i federation
• att enbart acceptera SAMLv2, eller senare version, vid identitetsfederering samt tydliggöra att det i förekommande fall är det enda sättet att logga in och säkerställa det inte finns någon bakväg in
• att tillämpa ett gemensamt ramverk för att ingå i en federation
• att tillämpa en gemensam katalogpolicy, med utgångspunkt från HSA policy, som ett minimikrav för egna kataloger
• att stäva mot att all gränsöverskridande kommunikation skall vara möjlig både över Sjunet och Internet. Det är den egna organisationen som beslutar vilken tillgänglighet som är tillräcklig för anslutningen
• att sträva efter att möjliggöra kontroll av trafik till och från den egna infrastrukturen i en eller få kontrollpunkter
• att utgå från att kommunikation över Internet och Sjunet har ett likvärdigt skyddsbehov

Engagemangsindex erbjuder inte ett användargränssnitt och har därför heller inget behov av att identifiera användare i en SSO-federation.