Denna sida beskriver översiktligt olika varianter på hur din organisations e-tjänster kan anslutas till autentiseringsmetoderna. Längst ner på sidan hittar du en sammanställning av för- och nackdelar med respektive variant.
Inera rekommenderar i första hand att ansluta e-tjänsten till Ineras IdP.
Anslut e-tjänst till Ineras IdP
Detta innebär att ansluta e-tjänsten som en Service Provider till Ineras IdP. Denna komponent har ett antal förmågor:
- Standardiserade protokoll i form av SAML2 eller OIDC som e-tjänsten använder i integrationen med IdP:n.
- Slutanvändaren väljer autentiseringsmetod i en dialog som IdP:n tillhandahåller. Detta inkluderar möjligheten att låta e-tjänsten nyttja mTLS som autentiseringsmetod.
- Resultatet av en gjord autentisering levereras till e-tjänsten i form av en biljett (identitetsintyg).
- E-tjänsten begär, eller får, en viss tillitsnivå (LoA, Level of Assurance) i biljetten men behöver inte ha någon kunskap om vilken autentiseringsmetod som används och får dessutom information om användarens behörighet i biljetten, om så önskas.
- Du som kund kan välja vilka autentiseringsmetoder som ska gälla per e-tjänst.
- Användarinformationen hämtar IdP:n från den centrala HSA-katalogen men informationen adminstreras lokalt.
Kundens e-tjänst ansluter till Ineras IdP som Service Provider
Anslut kundens IdP till Autentiseringstjänsten från Inera
I det här fallet så kan kunden ansluta sin egen IdP till Autentiseringstjänsten från Inera via det proprietära protokoll som Inera har utvecklat. Kundens e-tjänster måste då ansluta till kundens egna IdP för att via denna väg få tillgång till de autentiseringsmetoder som finns för SITHS eID. Kunden måste själv utveckla motsvarande funktionalitet i sin IdP som återfinns i Ineras IdP. T ex
- Integration mot Ineras Autentiseringstjänst med presentation av användarens val av autentiseringsmetod
- QR-kodhantering för säkrad autentisering
- Tolkning av tillitsnivå (LoA)
- Integration mot katalogtjänsten
- App-växling
- Uppdragsval
Kundens IdP ansluter till Autentiseringstjänsten
Anslut kundens IdP som IdP-proxy mot Ineras IdP
Kunden ansluter sin IdP som en Service Provder till Ineras IdP. På så sätt kan man ha en egen IdP, anpassad för specifika lokala behov men ändå ansluta till Ineras lösning via standardiserade gränssnitt. Kunden slipper de nackdelar och kostnader som det medför att utveckla och underhålla IdP-funktionalitet som redan finns i Ineras IdP men måste agera IdP-proxy. Med det menas att gentemot Ineras IdP uppträder den som en Service Provider men mot de anslutna e-tjänsterna agerar den IdP. Kunden behöver utveckla den lokala IdP:n så att den stödjer denna förmåga.
Om kunden använder den egna IdP:n för andra e-tjänster så kommer användarna att kunna få SSO, Single Sign-On. Du som användare behöver bara autentisera sig en gång för åtkomst till alla e-tjänster som är anslutna till samma IdP.
Kundens IdP kan visserligen få all behörighetsstyrande information (attribut) om användaren via det identitetsintyg (biljett) som levereras från Ineras IdP men tanken är att den informationen ska hämtas från den lokala katalogtjänsten. Ineras IdP svarar i huvudsak för e-legitimeringen. Kundens IdP ansvarar för att tillverka ett nytt identitetsintyg, med attribut, baserat på biljettinformation från Ineras IdP och den lokala katalogtjänsten.
Kundens IdP ansluter till Ineras IdP som Service Provider och uppträder som IdP mot de anslutna e-tjänsterna, dsv som IdP-proxy.
För- och nackdelar med de olika anslutningssätten
Varje anslutningssätt har sina möjligheter och begränsningar. Här är en sammanställning.
Förmåga/Anslutningssätt | E-tjänst till Ineras IdP | Kundens IdP till Autentiseringstjänsten | Kundens IdP som IdP-proxy |
---|---|---|---|
Enbart standardiserade API:er | JA | NEJ | JA |
Hantering av LoA, m h a av komponenter i Ineras miljö | JA | NEJ | JA |
Utforma användardialogen för metodval enligt kundens UX-standard | NEJ | JA | NEJ |
Tolkning av LoA kan vara en annan än Ineras | NEJ | JA | JA |
Kunden kan välja katalog för användarinformation | NEJ | JA | JA |
Använda andra e-legitimationer än SITHS eID | NEJ | JA | JA |
Tillgång till mTLS (äldre autentiseringsmetod) utan integration | JA | NEJ | JA |
SSO för alla e-tjänster, lokala och Ineras | JA (om alla e-tjänster ansluts till Ineras IdP) | NEJ | NEJ |
SSO för lokala e-tjänster | JA (om alla e-tjänster ansluts till Ineras IdP) | JA (om alla e-tjänster ansluts till den lokala IdP:n) | JA (om alla e-tjänster ansluts till den lokala IdP:n) |