...
Detta är en beskrivning på hur personidentifierare hanteras när Ineras tjänster samverkar vi en autentisering. Specifikt besvarar beskrivning på frågan om vilken personidentifierare som blir slutresultatet av en lyckad identifiering i den biljett som e-tjänsten får men även vilken inverkan det får vid livscykelhantering och åtkomst för användare.
Out-of-band autentisering
Out-of-band som autentiseringsmetod går ut på att splittra informationskanal och säkerhetskanal, till skillnad från in-band där det bara finns en gemensam kanal för information och säkerhet. Med det uppnår man en rad fördelar, t ex är det relativt lätt att införa nya autentiseringsmetoder utan påverkan på e-tjänsterna. De senare har en standardiserad anslutning till en IdP där man via metadata och klientkonfiguration bestämmer vilka attribut som en e-tjänst behöver för säker autentisering och auktorisering av användarna. Resultatet levereras till e-tjänsten i form av en biljett eller ett identitetsintyg.
I den realisering som Inera har gjort för out-of-band med nya autentiseringsmetoder för t ex Mobilt SITHS eID, finns självklart användarens identitet med i biljetten. Dock är det en lös koppling mellan den identitet som finns på e-legitimationen och den identitet som levereras i biljetten då lösningen baseras på en prioriteringsordning för de identiteter som normalt finns på SITHS eID på kort:
- Personnummer
- Samordningsnummer
- HSA-id
Summering
Personidentiteringshanteringen i autentiseringsflödet för out-of-band baseras på en prioritering i ordningen personnummer, samordningsnummer och HSAID, vilket bestäms av Autentiseringstjänsten.
I praktiken innebär det att de IdP:er som har behov av att leverera personidentiteter i form av HSAid behöver i princip alltid göra ett kataloguppslag mot t ex HSA-katalogen. Det HSAid som IdP:n levererar till eTjänsten behöver nödvändigtvis inte matcha det som finns på användarens SITHS-kort. Som en konsekvens av detta förhållande behöver den ansvariga organisationen administrera åtkomsträttigheterna i katalogen för att säkerställa att en specifik användare fråntas åtkomst om användareninte längre har uppdrag hos den organisationen. Om användaren har flera SITHS eID-legitimationer, räcker det inte med att revokera en av dessa.
För mTLS (in-band) gäller att backend-lösningen ska lita på de certifikat som man vill att användaren ska använda. På så sätt kan man styra till t ex HSA-id-certifikatet.
I bägge fallen, out-of-band och mTLS, har klienterna inte någon inverkan på vilket certifikat som väljs. För en organisation som går över från NetID till Ineras klientprogramvara i sin mTLS-lösning så kommer lösningen att fungera som tidigare, dvs användaren styrs till det certifikat som backend har bestämt, i de flesta fall till HSA-id-certifikatet.
Ineras IdP fungerar både med out-of-band och mTLS enligt ovan.