...
Eftersom normalfallet för en mTSL autentisering ger en identitet baserat på HSA-id så uppstår inte det användningsfall som finns beskrivet för out-of-band autentisering. Dvs det blir aldrig någon id-växling växling från personnummer till HSA-id så att det går att använda en annan organisations SITHS eID-kort för att komma in i e-tjänsten. En revokering av SITHS-kortet får omedelbar verkan om e-tjänsten bara stödjer mTLS.
...
- Personidentiteringshanteringen i autentiseringsflödet för out-of-band baseras på en prioritering i ordningen personnummer, samordningsnummer och HSA-id, vilket bestäms av Autentiseringstjänsten.
- I praktiken innebär det att de IdP:er som har behov av att leverera personidentiteter i form av HSA-id behöver i princip alltid göra ett kataloguppslag mot t ex HSA-katalogen. Det HSA-id som IdP:n levererar till eTjänsten behöver nödvändigtvis inte matcha det som finns på användarens SITHS eID-kort. Som en konsekvens av detta förhållande behöver den ansvariga organisationen administrera åtkomsträttigheterna i katalogen sina katalogdata för att säkerställa att en specifik användare fråntas åtkomst om användaren inte längre har uppdrag hos den organisationen. Om användaren har flera SITHS eID-legitimationer, räcker det inte med att revokera en av dessa.
- Andra e-legitimationer än SITHS som bara innehåller personnummer, kommer att kunna hanteras på samma sätt av Ineras infrastruktur och kommer att kräva samma behörighetshantering katalogdatahantering av användarorganisationerna.
- För mTLS (in-band) gäller att backend-lösningen ska lita på de certifikat som man vill att användaren ska använda. På så sätt kan man styra till t ex HSA-id-certifikatet, om man så önskar.
- I bägge fallen, out-of-band och mTLS, har klienterna inte någon inverkan på vilket certifikat som väljs. För en organisation som går över från NetID till Ineras klientprogramvara i sin mTLS-lösning så kommer lösningen att fungera som tidigare, dvs användaren styrs till det certifikat som backend har bestämt, i de flesta fall till HSA-id-certifikatet.
- Ineras IdP fungerar både med out-of-band och mTLS enligt ovan. För out-of-band kommer i första hand personnummercertifikatet att väljas, för mTLS blir det HSA-idcertifikatet.
...