...
Out-of-band autentiseringmetoder i Ineras lösning med SITHS eID som användaren kan välja emellanser det vid inloggning.
Out-of-band som autentiseringsmetod går ut på att splittra informationskanal och säkerhetskanal, till skillnad från in-band där det bara finns en gemensam kanal för information och säkerhet. Med det uppnår man en rad fördelar, t ex är det relativt lätt att införa nya autentiseringsmetoder utan påverkan på e-tjänsterna. De senare har en standardiserad anslutning till en IdP där man via metadata och klientkonfiguration bestämmer vilka attribut som en e-tjänst behöver för säker autentisering och auktorisering av användarna. Resultatet levereras till e-tjänsten i form av en biljett eller ett identitetsintyg.
...
I den realisering som Inera har gjort för out-of-band med nya autentiseringsmetoder, finns självklart användarens identitet med i biljetten. Dock är det en lös koppling mellan den identitet som finns på e-legitimationen och den identitet som levereras i biljetten då lösningen baseras på en prioriteringsordning för de identiteter som finns på e-legitimationen. Prioritetsordningen bestäms av Autentiseringstjänsten:
- Personnummer
- Samordningsnummer
- HSA-id
...
IdP:n har också en koppling till HSA-katalogen för att hämta kompletterande information. På användarens klient måste det också det finnas klientprogramvaror, bl a en SITHS eID-app, men de har inget inflytande över prioritetsordningen, det styrs enbart av Autentiseringstjänsten.
...
Om e-tjänsten har begärt HSA-id som personidentitet, kommer IdP:n att använda det personnummer som den fick från autentiseringstjänsten för att slå mot katalogen för att få fram de HSA-id som motsvarar det framtagna personnumret. Finns det flera HSA-id knutna till personnumret, måste användaren välja ett av dem, via en tjänsteid-väljare.
Det är valet av HSA-id som avgör vilket HSA-id som levereras till e-tjänsten i biljetten, vilket kan skilja sig från det som finns på SITHS eID-kortet.
...
Som framgår av beskrivningen så är den prioriterade personidentiteten i lösningen alltid personnummer, oavsett om det är SITHS eID på kort eller Mobilt SITHS eID, men e-tjänsten kan alltid styra vilken personidentitet som levereras i biljetten.
Info |
---|
Vill e-tjänsten ha personnummer som identitet krävs inget uppslag i HSA. |
Översikt över hur de olika tjänsterna i Ineras lösning samverkar
...
Som en konsekvens av out-of-band-lösningen som den är realiserad, räcker det inte med att revokera själva e-legitimationen för att användaren ska spärras ut från e-tjänsterna. Så länge användaren har en giltig e-legitimation och HSA-katalogen ger användaren behörighet får revokeringen av en e-legitimationen legitimation ingen effekt. Ett exempel;
- En organisation A utfärdar en e-legitimation och ger e-legitimationens innehavare åtkomst till en e-tjänst via HSA-katalogen.
- En organisation B utfärdar en e-legitimation för samma person.
- Organisationen A revokerar e-legitimationen men gör ingen uppdatering i HSA-katalogen.
- Personen använder sin e-legitimation från organisation B för att autentisera sig i organisation A:s e-tjänst.
- IdP:n kommer att utfärda en biljett med ett HSA-id från organisation A till e-tjänsten, personen kommer att få åtkomst till A:s e-tjänst.
Ett vanligt användningsfall när det gäller revokering av en e-legitimation är att användaren har tappat sitt SITHS eID-kort. Det betyder inte att användarorganisationen vill ta bort alla rättigheter som användaren har men man vill spärra e-legitimationen så inget missbruk kan ske.
För att säkerställa en användares korrekta behörighet till e-tjänsterna behöver användarorganisationen uppdatera sina katalogdata.
mTLS (dubbelriktad TLS, in-band)
Summering
Personidentiteringshanteringen i autentiseringsflödet för out-of-band baseras på en prioritering i ordningen personnummer, samordningsnummer och HSAID, vilket bestäms av Autentiseringstjänsten.
...