'
| Info |
|---|
| Denna sida ger en överblick över lösningens förmågor och möjligheter. Längst ner på sidan finns hänvisningar till ytterligare detaljerad information och vilka möjligheter du som kund har att nyttja lösningen. |
Inera har tagit fram av DIGG godkända egodkända e-legitimationer, baserat på SITHS eID. Dessa e-legitimationer kan användas för att uppnå säker autentisering av användare när dessa använder en e-tjänst. Användarupplevelsen liknar användningen av BankID, då det finns möjlighet att autentisera sig via ett kort i datorn eller via en mobil enhet. Lösningen ger en rad fördelar, t ex:
- Som användare kan du använda mobilen för åtkomst till dina e-tjänster på datorn eller den mobila enheten.
- Den användarorganisation som ansluter sina e-tjänster till lösningen kommer ifrån det beroende till föråldrad teknik som finns idag.
- Leverantörer av verksamhetssystem gynnas av att lösningen bygger på standardiserade gränssnitt och kan lättare erbjuda sina kunder mobila lösningar, baserat på SITHS eID som e-legitimation.
Denna sida ger en överblick över tjänstens förmågor och möjligheter. Längst ner på sidan finns hänvisningar till ytterligare information.
Användarupplevelsen
Som användare kommer du att känna igen dig för hur det fungerar med mobilt BankID. Filmen nedan visar hur du kan använda mobilt Mobilt SITHS eID för inloggning, självklart fungerar det lika bra med ditt SITHS eID-kort, användarupplevelsen är i princip densamma. I exemplet så använder vi Testportalen som e-tjänst. Ställ gärna in upplösningen i filmen till HD 1080p för bästa kvalité genom att trycka på denna knapp 
i filmen. Tryck på CC-ikonen i fall du vill ha textning på filmenFilmen är textad på svenska.
Widget-anslutare url https://www.youtube.com/watch?v=
...
aO3wFUx9gRE
Autentisering via mobilt SITHS eID. Om inte filmen går igång, klicka på denna länk.
Teknik i lösningen
Den teknik som Inera använder i sin lösning innebär en separation av säkerhetskanalen (för inloggning) och informationskanalen (e-tjänsten). Tekniken brukar man kalla för OOB (out-of-band). Tack vare den tekniken kan du som användare ha en annan enhet för inloggning, t ex mobilen, för åtkomst till e-tjänsten.
...
Olika kanaler för inloggning och för den e-tjänst som du som användare loggar in på, via en IdP.
För att underlätta för dig som användare när du använder samma kanal för inloggning och information, dvs samma enhet, så sker en app-växling. Med det menas att SITHS eID-appen startar automatiskt när e-tjänsten begär en legitimering.
I Ineras lösning finns även stöd för autentiseringsmetoden mutual TLS (mTLS). Metoden bygger på äldre teknologi teknik som håller på att försvinna och den går inte att använda för mobil autentisering. För att du som kund ska kunna skilja på de olika metoderna så använder Inera genomgående olika symboler för OOB-tekniken och mTLS. T ex så kan du se dessa som ikoner vid inloggning, beroende på vilka metoder som är aktiverade för den e-tjänst som du vill komma åt.
OOB mTLS
...
Inera rekommenderar dig som kund att i första hand att ansluta din e-tjänst till Ineras IdP, vilket är det sätt som Ineras e-tjänster använder sig av. Läs mera om de olika alternativen under Att ansluta e-tjänster.
Nedan följer en översiktlig beskrivning av de olika sätten att ansluta din e-tjänst. Mera information finns i den detaljerade beskrivningen av tjänsten.
Anslut e-tjänst till Ineras IdP
Detta innebär att ansluta e-tjänsten som en Service Provider till Ineras IdP. Denna komponent har ett antal förmågor:
- Standardiserade protokoll i form av SAML2 eller OIDC som e-tjänsten använder i integrationen med IdP:n.
- Slutanvändaren väljer autentiseringsmetod i en dialog som IdP:n tillhandahåller. Detta inkluderar möjligheten att låta e-tjänsten nyttja mTLS som autentiseringsmetod.
- Resultatet av en gjord autentisering levereras till e-tjänsten i form av en biljett (identitetsintyg).
- E-tjänsten begär, eller får, en viss tillitsnivå (LoA, Level of Assurance) i biljetten men behöver inte ha någon kunskap om vilken autentiseringsmetod som används och får dessutom information om användarens behörighet i biljetten, om så önskas.
- Du som kund kan välja vilka autentiseringsmetoder som ska gälla per e-tjänst.
- Användarinformationen hämtar IdP:n från den centrala HSA-katalogen men informationen adminstreras lokalt.
Kundens e-tjänst ansluter till Ineras IdP som Service Provider
Anslut kundens IdP till Autentiseringstjänsten från Inera
I det här fallet så kan kunden ansluta sin egen IdP till Autentiseringstjänsten från Inera via det proprietära protokoll som Inera har utvecklat. Kundens e-tjänster måste då ansluta till kundens egna IdP för att via denna väg få tillgång till de autentiseringsmetoder som finns för SITHS eID. Kunden måste själv utveckla motsvarande funktionalitet i sin IdP som återfinns i Ineras IdP. T ex
- Integration mot Ineras Autentiseringstjänst med presentation av användarens val av autentiseringsmetod
- QR-kodhantering för säkrad autentisering
- Tolkning av tillitsnivå (LoA)
- Integration mot katalogtjänsten
- App-växling
- Uppdragsval
Kundens IdP ansluter till Autentiseringstjänsten
Anslut kundens IdP som IdP-proxy mot Ineras IdP
Kunden ansluter sin IdP som en Service Provder till Ineras IdP. På så sätt kan man ha en egen IdP, anpassad för specifika lokala behov men ändå ansluta till Ineras lösning via standardiserade gränssnitt. Kunden slipper de nackdelar och kostnader som det medför att utveckla och underhålla IdP-funktionalitet som redan finns i Ineras IdP men måste agera IdP-proxy. Med det menas att gentemot Ineras IdP uppträder den som en Service Provider men mot de anslutna e-tjänsterna agerar den IdP. Kunden behöver utveckla den lokala IdP:n så att den stödjer denna förmåga.
Om kunden använder den egna IdP:n för andra e-tjänster så kommer användarna att kunna få SSO, Single Sign-On. Du som användare behöver bara autentisera sig en gång för åtkomst till alla e-tjänster som är anslutna till samma IdP.
Kundens IdP kan visserligen få all behörighetsstyrande information (attribut) om användaren via det identitetsintyg (biljett) som levereras från Ineras IdP men tanken är att den informationen ska hämtas från den lokala katalogtjänsten. Ineras IdP svarar i huvudsak för e-legitimeringen. Kundens IdP ansvarar för att tillverka ett nytt identitetsintyg, med attribut, baserat på biljettinformation från Ineras IdP och den lokala katalogtjänsten.
Kundens IdP ansluter till Ineras IdP som Service Provider och uppträder som IdP mot de anslutna e-tjänsterna, dsv som IdP-proxy.
För- och nackdelar med de olika anslutningssätten
Varje anslutningssätt har sina möjligheter och begränsningar. Här är en sammanställning.
...
Ineras e-tjänster
Ineras e-tjänster Om din organisation redan har anslutit en eller flera e-tjänster, räcker det med att fylla i och skicka in en förstudie för att aktivera autentiseringsmetoderna för dessa e-tjänster. All information om detta går att läsa under Detaljerad information - IdP.
Läs mera om de olika alternativa anslutningsmetoderna under Att ansluta e-tjänster.
Ineras e-tjänster
Ineras e-tjänster använder uteslutande anslutning till Ineras IdP som Service Providers. Initialt kommer enbart den traditionella autentiseringsmetoden mTLS användas av Ineras e-tjänster, gradvis kommer de att även stödja de nya metoderna. Om din organisations användare vill kunna använda den nya tekniken för inloggning till Ineras e-tjänster som har stöd för det, så krävs det att organisationen inför detta genom klientinstallation och instruktioner till sina användare hur de kan få tillgång till mobilt Mobilt SITHS eID.
Stöd för elektronisk underskrift
Underskriftstjänsten från Inera, för elektronisk underskrift, använder SITHS eID i sin lösning . Det innebär att det går att använda Mobilt SITHS och SITHS eID-kort vid legitimering i underskriftsflödet. Det finns fördelar med att ansluta din organisations e-tjänst både till Underskriftstjänsten och Ineras IdP om din organisation tänker använda elektronisk underskrift. T ex behöver inte användaren välja metod autentiseringsmetod en gång till vid underskriftstillfället.
...
- Autentisering via SITHS eID övergripande presentation
- Filmer
- Identifieringstjänst SITHS.
- DIGG.OIDC
- Referensarkitekturen för Identitet och Åtkomst.
- SAML
- Testportalen
- Tolkning av tillitsnivå
- Underskriftstjänsten
- Utfärdande Säkerhetstjänster, bl a vilka funktioner som är tillgängliga för kunderna
- Testportalen
- /wiki/spaces/UST/pages/3475212609 (Begränsad tillgång till all information)
- Utgivning och användning av SITHS eID
Detaljerad information
| Underordnade sidor (visning av underordnade) |
|---|