Vägledning för införande av ny autentiseringslösning
Bakgrund
Inera lanserar nu en ytterligare autentiseringsmetod som har stöd för nyare versioner av Android och iOS samt Windows 10. Detta skapar förutsättningar för autentisering i fler tekniska plattformar än dagens lösning, till exempel mobila enheter som telefoner och surfplattor. Autentiseringsmetoden är godkänd av Myndigheten för digital utveckling (DIGG) och får bära kvalitetsmärket Svensk e-legitimation.
Inera har som ett övergripande mål att främja digital utveckling i samhället i allmänhet, och i den offentliga sektorn i synnerhet. En bärande idé i detta är att Inera ska bidra till att skapa förutsättningar för säker digital samverkan genom att tillhandahålla långsiktigt hållbara lösningar som kan accepteras och tillämpas inom hela den offentliga sektorn.
Inera levererar idag smarta kort till regioner, kommuner, privata utförare, tjänsteleverantörer och några myndigheter. Totalt finns det över 550.000 innehavare av SITHS-kort.
Om vägledningen
Syftet med denna vägledning är att stödja kommuner, regioner och andra organisationer som har tjänster som ska konsumera den nya autentiseringsmetoden. Vägledningen ska hjälpa beslutsfattare i sina strategiska val och guida i införandet.
Målgruppen för vägledningen är beslutsfattare, CIO, it-ansvarig eller motsvarande samt nyckelpersoner som arbetar med e-legitimationer och IAM i kommuner, regioner och andra SITHS-anslutna organisationer.
Vägledningen har samma disposition och upplägg som SKR:s vägledning om anslutning till eIDAS.
Målbild
Målbilden är att samtliga kommuner, regioner och andra SITHS-anslutna organisationer som har behov av en mobil autentiseringslösning adderar den nya autentiseringsmetoden i sin lösning för intygsutfärdande (Identity Provider, IdP). På längre sikt även använda samtliga funktioner som den nya autentiseringsmetoden erbjuder.
För att kunna införa den nya autentiseringsmetoden behöver ett förarbete göras. Strategiska och taktiska beslut behöver fattas innan man tekniskt implementerar den nya lösningen.
Inera stödjer kommuner och regioner genom att löpande ha direktkontakt med lokal införandeansvariga, publicera webinarier, förstärkt support, löpande uppdatera på publika webbsidor och nyhetsbrev.
Nya autentiseringsmetoden
Lösningen bygger på den gemensamma referensarkitekturen för identitet och åtkomst och ska verka för gemensam hållbar samverkan.
Figuren ovan visar arkitekturen på lösningen för separata kanaler mellan verksamhetsinformation och säkerhetsinformation.
Lösningen är byggd så att klienter på mobil och i datorn kommunicerar i säker, separat kanal vid autentisering.
Konsumtionsmöjligheter
Det finns flera olika konsumtionsmöjligheter för den nya lösningen . Den nya autentiseringsmetoden är tillgänglig via:
Ineras Säkerhetstjänster (IdP)
SAML i egen eller upphandlad intygsutfärdare (IdP)
Relying Party API i egen eller upphandlad intygsutfärdare (IdP)
Egna eller upphandlade e-tjänster (SP) konsumerar den nya autentiseringsmetoden via SAML eller OpenID Connect (OIDC) från den egna eller den upphandlade intygsutfärdaren (IdP).
Vägval
Alla kommuner, regioner och andra SITHS-anslutna organisationer har olika förutsättningar att konsumera autentiseringsmetoder. Förslagen väg fram tar utgångspunkt från idag vanligt förekommande lösningar för konsumtion av nationella och internationella e-legitimationer, e-tjänstelegitimationer och egna autentiseringslösningar.
I denna vägledning används begreppet e-legitimation oavsett vilken form av autentiseringslösning eller autentiseringsmetod som avses, oavsett också om e-legitimationen används i tjänsten eller privat. Gemensamt är att de autentiserar en fysisk person.
Det är inte ovanligt att en organisation av olika skäl har flera olika lösningar för att konsumera e-legitimationer varför det också kan bli aktuellt att resonera om en konsolidering av lösningar i samband med en vägvalsdiskussion. Det är sällan något självändamål att ha flera olika lösningar.
De scenarios som beskrivs i denna vägledning är:
Egen IdP - Egen konsumtion av e-legitimationer
Egen IdP - Konsumtion av e-leg via infratjänst
Intygsutfärdare (IdP) som tjänst
Ineras Säkerhetstjänster som IdP
Resonemangen i vägledningen är allmänt hållna och ska ses som just vägledande. I resonemangen finns det inte några hinder att exempelvis flera kommuner tillsammans hittar en gemensam väg fram för att lösa konsumtion av den nya autentiseringsmetoden.
I samtliga scenarios förutsätts att e-tjänsterna (SP) redan idag konsumerar e-legitimationer via en intygsutfärdare (IdP) med protokoll likt SAML eller OpenID Connect (OIDC). Tillägget av ytterligare en autentiseringsmetod, e-legitimation, påverkas inte av detta utan användaren får ytterligare ett val när denne ska välja e-legitimation vid inloggningstillfället.
Om e-tjänsterna har direktintegrationer med e-legitimationerna behöver dessa ses över. Det är även fortsatt ett möjligt scenario att konsumera alla e-legitimationer med en direktintegration i varje enskild e-tjänst, men det kan inte anses vara en långsiktigt hållbar väg fram varför denna vägledning avgränsas från det scenariot.
Single sign-on (SSO)
Det är fullt möjligt att etablera single sign-on för e-legitimationsinnehavarna i lösningarna som resoneras kring i denna vägledning. Det är dock viktigt att tänka på att en organisation kan ha flera olika lösningar för att konsumera e-legitimationer vilket tydliggörs i några av vägvalen. Det är heller inte ovanligt att en organisation har implementerat flera av lösningarna som presenteras i vägvalsdiskussionen. Det försvårar onekligen en övergripande användarupplevelse av single sign-on för e-legitimationsinnehavaren. Det tillhör dessutom ovanligheten att flera olika lösningar för att konsumera e-legitimationslösningar samverkar utan de uppträder oftast som enskilda öar, här beskrivet som domäner. Detta blir särskilt märkbart om det finns en önskan att etablera single sign-on i en lösning som inte är homogen vilket särskilt behöver beaktas. Inte minst i en vägvalsdiskussion.
I det exemplifierade scenariot återfinns samma e-legitimation bakom flera olika intygsutfärdare (IdP). För en användare som loggar in i en tjänst som använder en IdP och sedan i en annan tjänst som använder annan IdP är det långt från självklart att single sign-on inträffar. Det går att skapa en form av single sign-on på klientnivå, exempelvis genom att memorera pinkoden i den programvara som hanterar ett smart kort, men det är inte en önskvärd väg fram då det äventyrar säkerheten i lösningen.
Omfattning - arbetsinsats
Beroende på organisationens förutsättningar så är omfattningen av ett införande av en ytterligare autentiseringsmetod varierande.
Resonemangen här förutsätter att organisationens e-tjänster har förmåga att konsumera e-legitimationer via SAML och/eller OpenID Connect (OICD).
I de fall organisationen inte har den förmågan kan anpassningen bli omfattande, i vissa fall inte ens möjliga. I de fallen rekommenderas att utredning görs för att dels hitta alternativa vägar fram, dels för att säkerställa att organisationen inte hamnar i en liknande situation igen. Genom att följa referensarkitekturen för identitet och åtkomst säkras detta.
I scenario 1 och scenario 2 har organisationen sannolikt en