Jämförda versioner

Gammal version 54

changes.mady.by.user Former user

Sparat den

jämfört med

Ny version 55

changes.mady.by.user Former user

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

...

I den realisering som Inera har gjort för out-of-band med nya autentiseringsmetoder, finns självklart användarens identitet med i biljetten. Dock är det en lös koppling mellan den identitet som finns på e-legitimationen och den identitet som levereras i biljetten då lösningen . Lösningen baseras på en prioriteringsordning för de identiteter som finns på e-legitimationen. Prioritetsordningen bestäms av Autentiseringstjänsten:

...

Förenklat kan man beskriva detta med följande sekvens, där e-tjänsten begär en inloggning via IdP:n som i sin tur anropar Autentiseringstjänsten när användaren har valt out-of-band:

e-tjänst → IdP → Autentiseringstjänst

IdP:n har också en koppling till HSA-katalogen för att hämta kompletterande information. På användarens klient måste det  det finnas klientprogramvaror, bl a en SITHS eID-app, men de har inget inflytande över prioritetsordningen, det styrs enbart av Autentiseringstjänsten.

E-tjänsten begär ett antal attribut från IdP:n, IdP:n i sin tur anropar Autentiseringstjänsten för att få fram certifikatinformation. Om användaren använder autentiseringsmetoden "SITHS eID på denna enhet" och sitter på en PC, kommer Autentiseringstjänsten i de flesta fall leverera ett personnummercertifikat.

Om e-tjänsten har begärt HSA-id som personidentitet, kommer IdP:n att använda det personnummer som den fick från autentiseringstjänsten för att slå mot katalogen för att få fram de HSA-id som motsvarar det framtagna personnumret. Finns det flera HSA-id knutna till personnumret, måste användaren välja ett av dem, via en tjänsteid-väljare, eller i bland via en uppdragsväljare.

 

Användardialog för tjänsteid-val då det finns flera HSA-id för samma personnummer.

...

Om användaren använder Mobilt SITHS eID som e-legitimation så kommer Autentiseringstjänsten alltid leverera personnummer ett personnummercertifikat till IdP:n, då det är det enda certifikat som finns på den e-legitimationen. Det i sin tur kan leda till ett användarval av HSA-id via IdP:n som ovan, då det kan finnas flera HSA-id knutna till samma personnummer.

Som framgår av beskrivningen så är den prioriterade personidentiteten i lösningen alltid personnummer, oavsett om det är SITHS eID på kort eller Mobilt SITHS eID, men e-tjänsten kan alltid styra vilken personidentitet som levereras i biljetten. En fördel med denna lösning är att samma princip gäller till för andra e-legitimationer som baseras på personnummer, om man väljer att lägga till dessa i lösningen.

...

Översikt över hur de olika tjänsterna i Ineras lösning samverkar. E-tjänsten begär inloggning via IdP, som i sin tur nyttjar Autentiseringstjänsten. Beroende på vilka attribut som e-tjänsten kräver, kommer IdP:n eventuellt att göra ett uppslag i katalogen. Resultatet levereras till e-tjänsten från IdP:n i form av en biljett eller ett identitetsintyg.

Påverkan på organisationens användarhantering avseende behörighet och åtkomst

...

  • En organisation A utfärdar en e-legitimation och ger e-legitimationens innehavare åtkomst till en e-tjänst via HSA-katalogen, enbart baserat på det HSA-id för användaren som för organisation A har utfärdat. Ingen annan information är nödvändig.
  • En organisation B utfärdar en e-legitimation för samma person.
  • Organisationen A revokerar e-legitimationen för sin organisation men gör ingen uppdatering i HSA-katalogen.
  • Användaren nyttjar SITHS eID på kort från organisation B, för att få åtkomst till en e-tjänst i organisation A.

...