...
Som en konsekvens av out-of-band-lösningen som den är realiserad, räcker det inte med att revokera själva e-legitimationen för att användaren ska spärras ut från e-tjänsterna. Så länge användaren har en giltig e-legitimation och HSA-katalogen ger användaren behörighet innehåller behörighetsgrundande information får revokeringen av en e-legitimation ingen effekt. I det här exemplet så gäller följande förutsättningar;
- En organisation A utfärdar en e-legitimation och ger e-legitimationens innehavare åtkomst till en e-tjänst via HSA-katalogen, enbart baserat på det HSA-id för användaren för som gäller för att användaren tillhör organisation A. Ingen annan information är nödvändig.
- En organisation B utfärdar en e-legitimation för samma person.
- Organisationen A revokerar e-legitimationen för användaren för sin organisation men gör ingen uppdatering i HSA-katalogen, där finns fortfarande en personpost med ett HSA-id från organisation A, kopplat till personnummer och organisation A..
- Användaren nyttjar SITHS eID på kort från organisation B, för att få åtkomst till en e-tjänst i organisation A.
...
- Användaren vill använda e-tjänsten från organisation A men är inte autentiserad så e-tjänsten begär att få en biljett med HSA-id från IdP:n.
- IdP:n frågar Autentiseringstjänsten efter användarens certifikat, användaren använder organisation B:s SITHS eID-kort.
- Autentiseringstjänsten returnerar personnummercertifikatet, hämtat från SITHS eID-kortet från organisation B, till IdP:n, enligt den prioriteringsordning som gäller .
- IdP:n avtolkar certifikatinformationen från Autentiseringstjänsten och använder personnummer i sin ingång mot katalogtjänsten för att få fram HSA-id och organisation för användaren.
- Katalogtjänsten svarar med de HSA-id organisationer som är knutna till personnumret och de HSA-id som gäller för användaren. Då katalogen har ett HSA-id för organisation A för det givna personnumret kommer organisation A:s HSA-id för användaren att returneras till IdP:n, med ytterligare HSA-id:n, t ex det som finns för organisation B. , med vilken organisation som användaren tillhör Varje unikt HSA-id representeras av en personpost i katalogen, kopplat till samma personnummer. Då det finns flera HSA-id för användaren låter IdP:n användaren välja vilket HSA-id som ska gälla via ett val av tjänste-id, användaren väljer HSA-id från Denna personpost är knuten till en organisation.
- Eftersom e-tjänsten efterfråga organisation så kommer detta att leda till ett uppdragsval, där användaren väljer ett uppdrag för organisation A.
- IdP:n skapar en biljett med organisation A:s HSA-id för användaren, med tillhörande organisation och skickar biljetten till e-tjänsten. E-tjänsten kontrollerar att det HSA-id som den får från IdP finns med som behörig användaregör en åtkomstkontroll för att se om användaren tillhör organisation A och ger behörighet till användaren.
I det här fallet så möjliggör det användarens tillgång till e-tjänsten i organisation A, med en e-legitimation från organisation B.
...