...
Out-of-band som autentiseringsmetod går ut på att splittra informationskanal och säkerhetskanal, till skillnad från in-band där det bara finns en gemensam kanal för information och säkerhet. Med det uppnår man en rad fördelar, t ex är det relativt lätt att införa nya autentiseringsmetoder utan påverkan på e-tjänsterna. De senare har en standardiserad anslutning till en IdP där man via metadata och klientkonfiguration bestämmer vilka attribut som en e-tjänst behöver för säker autentisering och auktorisering av användarna. Resultatet levereras till e-tjänsten i form av en biljett eller ett identitetsintyg, med begärada attribut. Källan till attributen kan vara e-legitimationen, metadata eller en katalog.
Ineras lösning för out-of-band med SITHS eID
...
E-tjänsten begär ett antal attribut från IdP:n, IdP:n i sin tur anropar Autentiseringstjänsten för att få fram certifikatinformation. Om användaren använder autentiseringsmetoden "SITHS eID på denna enhet" och sitter på en PC, kommer Autentiseringstjänsten i de flesta fall leverera ett personnummercertifikat.
Om e-tjänsten har begärt HSA-id som personidentitet, kommer IdP:n att använda det personnummer som den fick från autentiseringstjänsten för att slå mot katalogen för att få fram de HSA-id som motsvarar det framtagna personnumret. Finns det flera HSA-id knutna till personnumret, måste användaren välja ett av dem, via en tjänsteid-väljare, eller i bland via en uppdragsväljare. I HSA-katalogen representeras varje instans av ett unikt HSA-id som en personpost. Förutom personnummer finns ytterligare attribut som kan levereras som är knutna till personposten i HSA-katalogen. Om e-tjänsten vill ha attribut som är relaterade till ett medarbetaruppdrag och användaren har flera uppdrag, kommer det att leda till ett uppdragsval. En förteckning över attributen och vilka som leder till de olika valen finns beskrivna i Anslutningsguiden och Attributlistan.
Användardialog för tjänsteidval av tjänste-id-val då det finns flera HSA-id för samma personnummer.
...