Jämförda versioner

Gammal version 77

changes.mady.by.user Former user

Sparat den

jämfört med

Ny version 78

changes.mady.by.user Former user

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

...

Autentisering med organisation A:s HSA-id, med en e-legitimatin legitimation från organisation B.

Ett vanligt användningsfall när det gäller revokering av en e-legitimation är att användaren har tappat sitt SITHS eID-kort. Det betyder inte att användarorganisationen vill ta bort alla rättigheter som användaren har men man vill spärra e-legitimationen så inget missbruk kan ske. I ett sådant fall så finns användarens HSA-id kvar i katalogen.

...

I det här fallet så medförde revokeringen av e-legitimationen i organsisation A att användaren nekades åtkomst till e-tjänsten.

Image Added

Misslyckad autentisering med en e-legitimatin från organisation B.

Sammanfattning

  • Personidentiteringshanteringen i autentiseringsflödet för out-of-band baseras på en prioritering i ordningen personnummer, samordningsnummer och HSA-id, vilket bestäms av Autentiseringstjänsten.
  • I praktiken innebär det att de IdP:er som har behov av att leverera personidentiteter i form av HSA-id behöver i princip alltid göra ett kataloguppslag mot t ex HSA-katalogen. Det HSA-id som IdP:n levererar till eTjänsten behöver nödvändigtvis inte matcha det som finns på användarens SITHS eID-kort. Som en konsekvens av detta förhållande behöver den ansvariga organisationen administrera sina katalogdata för att säkerställa att en specifik användare fråntas åtkomst om användaren inte längre har uppdrag hos den organisationen. Om användaren har flera SITHS eID-legitimationer, räcker det inte med att revokera en av dessa. Processen brukar kallas off-boarding.
  • Andra e-legitimationer än SITHS som bara innehåller personnummer, kommer att kunna hanteras på samma sätt av Ineras infrastruktur och kommer att kräva samma katalogdatahantering av användarorganisationerna.
  • För mTLS (in-band) gäller att backend-lösningen ska lita på de certifikat som man vill att användaren ska använda. På så sätt kan man styra till t ex HSA-id-certifikatet, om man så önskar.
  • I bägge fallen, out-of-band och mTLS, har klienterna inte någon inverkan på vilket certifikat som väljs. För en organisation som går över från NetID till Ineras klientprogramvara i sin mTLS-lösning så kommer lösningen att fungera som tidigare, dvs användaren styrs till det certifikat som backend har bestämt, i de flesta fall till HSA-id-certifikatet.
  • Ineras IdP fungerar både med out-of-band och mTLS enligt ovan. För out-of-band kommer i första hand personnummercertifikatet att väljas, för mTLS blir det HSA-idcertifikatet.

...