Inledning
Nomenklatur
Begrepp | Definition |
---|---|
Autentisering | Kontroll av uppgiven identitet, t.ex. vid inloggning, vid kommunikation mellan två system eller vid utväxling av meddelande mellan användare |
Auktorisation / Behörighetskontroll | Kontroll av att en Autentiserad entitet (person eller system) är behörig att komma åt en begärd resurs. |
e-legitimation, e-identitet, e-id | Elektronisk legitimation. Används för att identifiera en person eller ett system. T.ex. ett användarcertifikat på ett smartkort. |
SITHS | Identifieringstjänst SITHS, en säkerhetslösning som används för att utfärda elektroniska identitetshandlingar (e-identiteter) till både personer och system. |
SITHS eID | Den nya generationen SITHS e-identiteter, kan finnas både på smartkort och på mobila enheter. |
Mobilt SITHS eID | SITHS eID på mobila enheter. |
SITHS eID-klienter | SITHS eID Windowsklient och SITHS eID Mobilklient. Användarklienter på dator repektive mobila enheter som låter användare använda SITHS eID på kort eller i en mobil enhet för legitimation och underskrift. |
CA (Certification Authority) | Certifikatutfärdare. System som utfärdar certifikat för användare och system. |
OCSP/CRL | Protokoll för revokeringskontroll av certifikat. |
PKCS#11 | Kryptografisk standard som definierar ett gränssnitt för hantering av kryptografiska nycklar. |
LoA, Tillitsnivå | Level of Assurance. Grad av säkerhet och tillförlitlighet för en given e-legitimation. Ju högre tillitsnivå en e-legitimation har desto säkrare är den, både när det gäller teknisk och administrativ säkerhet. |
E-tjänst | System som erbjuder en funktionalitet för användare eller andra system. |
IdP (Identity Provider) | Infrastrukturkomponent som använder olika metoder för att autentisera användare och förmedla ett identitetsintyg till e-tjänster som använder IdP för autentisering av användare. Ur Autentiseringstjänstens perspektiv agerar IdP en RP. |
RP (Relying Party) | Ett system som förlitar sig på ett annat system för någon funktionalitet. Som exempel så kan en e-tjänst agera RP mot en IdP om e-tjänsten använder sig av IdP för autentisering av användare. Men IdP:n kan också i sin tur agera RP mot Autentiseringstjänsten. |
SP (Service Provider) | Se begreppet e-tjänst ovan. |
AT (Autentiseringstjänsten) | Infrastrukturkomponent som förmedlar autentiseringsbegäran mellan IdP och SITHS eID-klienter, samt förmedlar begäran om certifikatsutfärdande mellan SITHS eID Mobilklient och Utfärdandeportalen. |
Utfärdandeportalen | Infrastrukturkomponent som låter användare utfärda Mobilt SITHS eID, och som förmedlar certifikatsbegäran och certifikat till och från CA. |
Katalogtjänst HSA | Användarkatalog. Datakälla för information om vårdpersonal, inklusive behörighetsinformation. |
...
- Användaren efterfrågar tillgång till en Tjänst (t.ex. klickar på webblänk).
- Användaren blir omdirigerad mot IdP/RP som startar uppdraget och triggar en appväxling.
- Beroende på hur Tjänsten konfigurerats får antingen Avnändaren Användaren välja eller så väljer IdP:n automatiskt mellan inloggning med SITHS eID på samma eller annan enhet
- Samma enhet - autostart-token förmedlas via appväxling.
- OBS! För SITHS eID Windowsklient fungerar endast denna metod
- Annan enhet - autostart-token förmedlas via inskanning av QR-kod
- Samma enhet - autostart-token förmedlas via appväxling.
- Klienten måste öppnas, vilket kan ske olika beroende på vilken metod som väljs
- Samma enhet - Automatisk via appväxling
- Om flera kort finns anslutna till datorn vid användning av SITHS eID Windowsklient väljs ett av dessa som aktivt, annars används det kort som är valt sedan tidigare - användaren kan själv välja aktivt SITHS eID
- Annan enhet - Manuellt av Användaren
- Samma enhet - Automatisk via appväxling
- Användaren uppmanas att ange sin legitimeringskod för att låsa upp certifikatet när:
- klienten är startad
- har en autostart-token dvs. en begäran om legitimering/underskrift som hämtats från någon AutentiseringstjänstAutentiseringstjänsten,
- har ett godkänt och giltigt certifikat för aktuell autostart-token. Begäran via autostart-token kan filtreras på:
- Godkända certifikatsutfärdare för att styra accepterad tilltsnivå
- Person-ID
- Valet av godkänt certifikat görs av Autentiseringstjänsten
- Användaren matar in legitimeringskod och klienten utför legitimering.
- Legitimeringsflödet fortsätter och användaren får tillgång till Tjänsten.
...