Innehåll:
Viktigt
Viktig information till alla e-tjänster anslutna till IdP
Bakgrund
All SITHS-kortinloggning med hjälp av både gamla och nya IdP:n har hittills efter dispens från Sambi setts som likvärdiga oavsett utgivningssätt. Sättet ett SITHS-kort är utgivet på styr vilken tillitsnivå det anses ha. Nivåerna kallas Level of Assurance (LoA) och kommer härefter kallas LoA-nivå.
Med lanseringen av SITHS e-id har LoA-nivån på SITHS-korten förtydligats genom att denna ingår i namnet på kortets certifikat. Till exempel är ett SITHS e-id-kort med certifikatet SITHS e-id Person HSA-id 3 CA v1 är ett kort utgivet med högsta använda tillitsnivå LoA 3 medan SITHS e-id Person HSA-id 2 CA v1 är utgivet med lägre tillitsnivå LoA 2 utgivet med rutiner för utlämnande av reserv- och crossborder-kort.
Förändringen när dispensen löper ut betyder att IdP kommer att börja rapportera SITHS-kortets verkliga tillitsnivå i bland annat den utställda SAML-biljetten. Notera att gamla, ej uppgraderade SITHS-kort kommer att betraktas som LoA 2.
Tidsplan för förändringen
Datum | Miljö |
---|---|
| TEST/QA |
| PRODUKTION |
Vad behöver e-tjänsterna göra?
Den första frågan förvaltningen av en e-tjänst måste reda ut är vilka krav på LoA-nivå som gäller för inloggning i den aktuella e-tjänsten. Får man logga in med reserv/crossborder-kort LoA 2 eller krävs den högsta använda LoA-nivån 3?
Den andra frågan är hur e-tjänsten vill kontrollera att inloggningen sker med ett SITHS-kort med tillräckligt hög tillitsnivå. Gör man det genom att evaluera utställd biljett och därmed sköta behörighetsstyrningen själv eller vill man att IdP:n ska rapportera misslyckad inloggning genom att i anropet till IdP:n (AuthRequest→ RequestedAuthnContext) ange vilken/vilka LoA-nivåer som e-tjänsten kräver för en lyckad inloggning?
Varje förvaltning av en e-tjänst ansluten till IdP ombeds att se över ifall de anger LoA-nivå i sitt AuthRequest och fundera på om detta fungerar med e-tjänstens krav på LoA-nivå när reservkort och gamla SITHS-kort börjar att rapporteras som LoA 2 enligt tabellen nedan.
Observera att ifall en SP till exempel accepterar både LoA 2 och LoA 3 och vill ange detta i sitt AuthnRequest så måste båda skickas med då IdP endast har stöd för exakt jämförelse av tillitsnivå (detta då SAMBI ställer det som tekniskt krav).
Se även avsnittet om Tillitsnivå (LoA) i Guide till IdP
SITHS-kort och eventuell ny LoA-nivå
Följande tabell visar på vilka typer av kort/certifikat IdP stödjer och vilken LoA-nivå som kommer att rapporteras i och med förändringen.
Utfärdare | LOA | OID-värde i Certifikatsprinciper | Kommentar |
---|---|---|---|
SITHS e-id Person HSA-id 3 CA v1 (TEST) SITHS e-id Person HSA-id 3 CA v1 | 3 | 1.2.752.74.8.502 1.2.752.74.8.503 1.2.752.74.8.506 1.2.752.74.8.507 | 502 - Ordinarie nyutgivet kort *Reservkort med LoA 3 finns inte i skrivande stund utan är endast något som SITHS planerar för. |
SITHS e-id Person ID Mobile CA v1 (TEST) SITHS e-id Person ID Mobile CA v1 | 3 | 1.2.752.74.8.504 | Certifikat som kommer att användas i framtida mobil autentisering. |
SITHS e-id Person HSA-id 2 CA v1 (TEST) SITHS e-id Person HSA-id 2 CA v1 | 2 | 1.2.752.74.8.501 1.2.752.74.8.508 | 501 - Reservkort LOA 2 |
SITHS CA Crossborder SITHS CA CrossBorder TEST v3 | 2 | NA | Gamla SITHS "Crossborder" |
SITHS Type 1 CA v1 SITHS Type 1 CA v1 PP | 2 | NA | Gamla, ej e-id-uppgraderade SITHS-kort oavsett utgivare (SIS, SITHS, lokalt utgivna, företagskort e.t.c). Kända typer och dess kortnummerserie: SITHS - SIS: 9752 XXXX 357 |
För frågor kontakta Ineras Kundservice