...
Detta är en beskrivning på hur personidentifierare hanteras när Ineras tjänster samverkar vi en autentisering. Specifikt besvarar beskrivning på frågan om vilken personidentifierare som blir slutresultatet av en lyckad identifiering i den biljett som e-tjänsten får men även vilken inverkan det får vid livscykelhantering och åtkomst för användare.
Out-of-band autentisering med SITHS eID
Out-of-band autentiseringmetoder i Ineras lösning med SITHS eID som användaren kan välja emellan
Out-of-band som autentiseringsmetod går ut på att splittra informationskanal och säkerhetskanal, till skillnad från in-band där det bara finns en gemensam kanal för information och säkerhet. Med det uppnår man en rad fördelar, t ex är det relativt lätt att införa nya autentiseringsmetoder utan påverkan på e-tjänsterna. De senare har en standardiserad anslutning till en IdP där man via metadata och klientkonfiguration bestämmer vilka attribut som en e-tjänst behöver för säker autentisering och auktorisering av användarna. Resultatet levereras till e-tjänsten i form av en biljett eller ett identitetsintyg.
Ineras lösning för out-of-band med SITHS eID
I den realisering som Inera har gjort för out-of-band med nya autentiseringsmetoder för t ex Mobilt SITHS eID, finns självklart användarens identitet med i biljetten. Dock är det en lös koppling mellan den identitet som finns på e-legitimationen och den identitet som levereras i biljetten då lösningen baseras på en prioriteringsordning för de identiteter som normalt finns på SITHS eID på kort:
...
Autentiseringstjänsten:
- Personnummer
- Samordningsnummer
- HSA-id
Förenklat kan man beskriva detta med följande sekvens:
e-tjänst → IdP → Autentiseringstjänst
E-tjänsten begär ett antal attribut från IdP:n, IdP:n i sin tur anropar Autentiseringstjänsten för att få fram certifikatinformation. Om användaren använder autentiseringsmetoden SITHS eID på denna enhet och sitter på en PC, kommer Autentiseringstjänsten i de flesta fall leverera Personnummer.
Om e-tjänsten har begärt HSAI-id som personidentitet, kommer IdP:n att använda det personnummer som den fick från autentiseringstjänsten och slå mot katalogen för att få fram de HSA-id som motsvarar det framtagna personnumret.
Är det så att användaren har flera HSA-id knutna till sitt personnummer, kommer användaren att behöva göra ett val, detta val överrider det HSA-id som finns på SITHS eID-kortet
Summering
Personidentiteringshanteringen i autentiseringsflödet för out-of-band baseras på en prioritering i ordningen personnummer, samordningsnummer och HSAID, vilket bestäms av Autentiseringstjänsten.
...