Comment:
Updated the numberedheadings macro with the following parameter(s): []
toc
Table of Contents
Section
Note
title
Förändrade LoA-nivåer
Reservkort och ej distansuppgraderade gamla kort med certifikat från endast utgivaren SITHS Type 1 CA v1 rapporteras sedan korrekt som LoA 2 istället för LoA 3. Se Ny LoA-hantering för SITHS-kort 2020.
Introduktion
Utgivningsprocessen för ett certifikat (exempelvis på ett kort) avgör vilken tillitsnivå (Level of Assurance - LoA) certifikaten får. Vilken tillitsnivå som krävs för att logga in i en applikation (Service Provider - SP) bestäms av applikationen.
En SP kan välja att titta i biljetten, efter autentisering, vilken LoA-nivå använt certifikat har och behörighetsstyra därefter. Ett annat alternativ är att SP:n skickar med de LoA-nivåer som applikationen kräver i sin autentiseringsförfrågan. Ifall använt certifikat inte matchar någon av de efterfrågade LoA-nivåerna kommer IdP att rapportera till SP:n att inloggningen misslyckades.
Ange begärd LoA-nivå i SAML AuthnRequest
Lista godkända LoA-nivåerna i fältet RequestedAuthnContext. Observera att ifall SP:n till exempel accepterar både LoA 2 och LoA 3 och vill ange detta i sitt AuthnRequest så måste båda skickas med då IdP endast har stöd för exakt jämförelse av tillitsnivå (detta då SAMBI ställer det som tekniskt krav).
Image Added
Ange begärd LoA-nivå i OIDC Authentication Request
Inera IdP avgör LoA (Level of Assurance, Tillitsnivå) på användarens SITHS-kort baserat på kortnummerserie (värdet på attributet 1.2.752.34.2.1 i certifikatet på kortet).
På grund av problem med att identifiera samtliga kortserier för utgivaren SITHS Type 1 CA v1 så beslutades i december 2019 att tillfälligt acceptera samtliga kort som börjar på:
9752 *
628083 *
2494 *
Detta kan sammanfattas i följande tabell:
Certifikatstyp
LoA
Kortnummerserie, 1.2.752.34.2.1
Kommentar
SIS-kort, SITHS
2
9752 XXXX 357
Företagskort med eget utfärdarnummer
2
9752 XXXX 857
SITHS Reservkort
2
9752 XXXX 957
SITHS CA Crossborder
2
SITHS VGR-utfärdade kort
2
9752 XXXX 854
SITHS Skåne-utfärdade kort
2
6280 8335 54 *
SITHS eID
Stöd för SITHS e-id's olika utfärdare införs successivt enligt SITHS tidsplan med start i testmiljöer under september 2019.
Utgivare med prefixet "TEST" har endast aktiverad tillit i Ineras 2 publika testmiljöer (idp.ineratest.org respektive idp.ineraqa.org)
Under 2019/2020 distansuppgraderas befintliga kort med certifikat från denna utgivare och med OID-värde 1.2.752.74.8.506
Resterande korttyper kommer i test under januari 2020 och produktion februari 2020.
502 - Ordinarie nyutgivet kort 503 - Reservkort LOA 3 506 - Distansuppgraderat kort 507 - Tilläggscertifikat 509 - Reservkort LoA 3, förlängt av användare via självservice. *
*Reservkort med LoA 3 finns inte i skrivande stund utan är endast något som SITHS planerar för. Sedan 2020 finns även denna variant.
Används endast för autentisering via SITHS eID-klienterna.
För mTLS-autentisering m.h.a. Net iD Enterprise kommer Inera IdP enligt rekommendation inte att använda certifikaten med personnummer på kort då det på korten alltid även kommer att ligga certifikat med HSA-id. Observera att det ändå går att få personnummer i sin token/biljett om man så önskat i sin anslutningsansökan.
SITHS e-id Person ID 2 CA v1
TEST SITHS e-id Person ID 2 CA v1
2
1.2.752.74.8.501 1.2.752.74.8.508
Används endast för autentisering via SITHS eID-klienterna.
Se ovan.
TEST SITHS e-id Function CA v1
2
1.2.752.74.8.505
För att bl.a. möjliggöra automatiska, last- eller prestandatester hos e-tjänster har IdP:s testmiljöer tillit till denna utfärdare. Endast för autentisering via mTLS.