Jämförda versioner

Gammal version 76

changes.mady.by.user Former user

Sparat den

jämfört med

Ny version 77

changes.mady.by.user Former user

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

...

  1. Användaren vill använda e-tjänsten från organisation A men är inte autentiserad så e-tjänsten begär att få en biljett med HSA-id och organisation från IdP:n.
  2. IdP:n frågar begär användarens HSA-id-certifikat, användaren använder organisation B:s SITHS eID-kort.
  3. IdP:n tar emot certifikatet
  4. IdP:n avtolkar certifikatinformationen  och använder HSA-idi id i sin ingång mot katalogtjänsten för att få fram HSA-id och organisation för användaren.
  5. Katalogtjänsten svarar med de organisationer som är knutna till det  HSA-id som gäller för användaren. Då katalogen endast har ett HSA-id för organisation B för det givna HSA-id:et kommer organisation B:s HSA-id för användaren att returneras till IdP:n, tillsammans med organisation. Eftersom e-tjänsten efterfråga organisation så kommer detta att leda till ett uppdragsval, där användaren väljer ett uppdrag för organisation ANågot uppdragsval behövs inte då det bara finns ett uppdrag att välja på.
  6. IdP:n skapar en biljett med organisation AB:s HSA-id för användaren, med tillhörande organisation och skickar biljetten till e-tjänsten. E-tjänsten gör en åtkomstkontroll för att se om användaren tillhör organisation A och ger behörighet till användaren. Då så inte är fallet, nekas användare åtkomst.

I det här fallet så möjliggör det användarens tillgång till medförde revokeringen av e-tjänsten legitimationen i organisation A, med en e-legitimation från organisation Borgansisation A att användaren nekades åtkomst till e-tjänsten.

Sammanfattning

  • Personidentiteringshanteringen i autentiseringsflödet för out-of-band baseras på en prioritering i ordningen personnummer, samordningsnummer och HSA-id, vilket bestäms av Autentiseringstjänsten.
  • I praktiken innebär det att de IdP:er som har behov av att leverera personidentiteter i form av HSA-id behöver i princip alltid göra ett kataloguppslag mot t ex HSA-katalogen. Det HSA-id som IdP:n levererar till eTjänsten behöver nödvändigtvis inte matcha det som finns på användarens SITHS eID-kort. Som en konsekvens av detta förhållande behöver den ansvariga organisationen administrera sina katalogdata för att säkerställa att en specifik användare fråntas åtkomst om användaren inte längre har uppdrag hos den organisationen. Om användaren har flera SITHS eID-legitimationer, räcker det inte med att revokera en av dessa. Processen brukar kallas off-boarding.
  • Andra e-legitimationer än SITHS som bara innehåller personnummer, kommer att kunna hanteras på samma sätt av Ineras infrastruktur och kommer att kräva samma katalogdatahantering av användarorganisationerna.
  • För mTLS (in-band) gäller att backend-lösningen ska lita på de certifikat som man vill att användaren ska använda. På så sätt kan man styra till t ex HSA-id-certifikatet, om man så önskar.
  • I bägge fallen, out-of-band och mTLS, har klienterna inte någon inverkan på vilket certifikat som väljs. För en organisation som går över från NetID till Ineras klientprogramvara i sin mTLS-lösning så kommer lösningen att fungera som tidigare, dvs användaren styrs till det certifikat som backend har bestämt, i de flesta fall till HSA-id-certifikatet.
  • Ineras IdP fungerar både med out-of-band och mTLS enligt ovan. För out-of-band kommer i första hand personnummercertifikatet att väljas, för mTLS blir det HSA-idcertifikatet.

...