...
IdP:n har också en koppling till HSA-katalogen för att hämta kompletterande information. På användarens klient måste det också finnas klientprogramvaror, bl a en SITHS eID-app, men de har inget inflytande över prioritetsordningen, det styrs enbart av Autentiseringstjänsten.
E-tjänsten begär ett antal attribut från IdP:n, IdP:n i sin tur anropar Autentiseringstjänsten för att få fram certifikatinformation. Om användaren använder autentiseringsmetoden SITHS eID på denna enhet och sitter på en PC, kommer Autentiseringstjänsten i de flesta fall leverera Personnummer.
...
Är det så att användaren har flera HSA-id knutna till sitt personnummer, kommer användaren att behöva göra ett val, detta val överrider det HSA-id som finns på SITHS eID-kortet.
Användare med flera HSA-id måste välja ett av dem.
Om användaren använder Mobilt SITHS eID som e-legitimation så kommer Autentiseringstjänsten alltid använda personnummer, då det är det enda certifikat som finns på den e-legitimationen.
Översikt över hur de olika tjänsterna i Ineras lösning samverkar
Påverkan på organisationens användarhantering avseende behörighet och åtkomst
Som en konsekvens av out-of-band-lösningen som den är realiserad, räcker det inte med att revokera själva e-legitimationen för att användaren ska spärras ut från e-tjänsterna. Så länge användaren har en giltig e-legitimation och HSA-katalogen ger användaren behörighet får revokeringen av en e-legitimationen ingen effekt. Ett exempel;
Summering
Personidentiteringshanteringen i autentiseringsflödet för out-of-band baseras på en prioritering i ordningen personnummer, samordningsnummer och HSAID, vilket bestäms av Autentiseringstjänsten.
I praktiken innebär det att de IdP:er som har behov av att leverera personidentiteter i form av HSAid behöver i princip alltid göra ett kataloguppslag mot t ex HSA-katalogen. Det HSAid HSA-id som IdP:n levererar till eTjänsten behöver nödvändigtvis inte matcha det som finns på användarens SITHS-kort. Som en konsekvens av detta förhållande behöver den ansvariga organisationen administrera åtkomsträttigheterna i katalogen för att säkerställa att en specifik användare fråntas åtkomst om användareninte längre har uppdrag hos den organisationen. Om användaren har flera SITHS eID-legitimationer, räcker det inte med att revokera en av dessa.
...