- 1.1 Förändrade LoA-nivåer
2 Introduktion
- 2.1 Ange begärd LoA-nivå i SAML AuthnRequest
- 2.2 Ange begärd LoA-nivå i OIDC Authentication Request
  - 2.2.1 Begär specifik LoA-nivå i OIDC
3 SITHS (SITHS Type 1 CA v1)
4 SITHS eID

Förändrade LoA-nivåer

Reservkort och ej distansuppgraderade gamla kort med certifikat från endast utgivaren SITHS Type 1 CA v1 rapporteras sedan Jan 18, 2021 korrekt som LoA 2 istället för LoA 3. Se Ny LoA-hantering för SITHS-kort 2020.

Introduktion

Utgivningsprocessen för ett certifikat (exempelvis på ett kort) avgör vilken tillitsnivå (Level of Assurance - LoA) certifikaten får. Vilken tillitsnivå som krävs för att logga in i en applikation (Service Provider - SP) bestäms av applikationen.

En SP kan välja att titta i biljetten, efter autentisering, vilken LoA-nivå använt certifikat har och behörighetsstyra därefter.
Ett annat alternativ är att SP:n skickar med de LoA-nivåer som applikationen kräver i sin autentiseringsförfrågan. Ifall använt certifikat inte matchar någon av de efterfrågade LoA-nivåerna kommer IdP att rapportera till SP:n att inloggningen misslyckades.

Ange begärd LoA-nivå i SAML AuthnRequest

Lista godkända LoA-nivåerna i fältet RequestedAuthnContext. Observera att ifall SP:n till exempel accepterar både LoA 2 och LoA 3 och vill ange detta i sitt AuthnRequest så måste båda skickas med då IdP endast har stöd för exakt jämförelse av tillitsnivå (detta då SAMBI ställer det som tekniskt krav).

Ange begärd LoA-nivå i OIDC Authentication Request

Begär specifik LoA-nivå i OIDC

claims = {
    "id_token" : {
        "acr" : {
            "value" : "http://id.sambi.se/loa/loa3",
            "essential" : true
        }
    }
}

SITHS (SITHS Type 1 CA v1)

Inera IdP avgör LoA (Level of Assurance, Tillitsnivå) på användarens SITHS-kort baserat på kortnummerserie (värdet på attributet 1.2.752.34.2.1 i certifikatet på kortet).

På grund av problem med att identifiera samtliga kortserier för utgivaren SITHS Type 1 CA v1 så beslutades i december 2019 att tillfälligt acceptera samtliga kort som börjar på:

9752 *
628083 *
2494 *

Detta kan sammanfattas i följande tabell:

Certifikatstyp	LoA	Kortnummerserie, 1.2.752.34.2.1	Kommentar

Certifikatstyp	LoA	Kortnummerserie, 1.2.752.34.2.1	Kommentar
SIS-kort, SITHS	2	9752 XXXX 357
Företagskort med eget utfärdarnummer	2	9752 XXXX 857
SITHS Reservkort	2	9752 XXXX 957
SITHS CA Crossborder	2
SITHS VGR-utfärdade kort	2	9752 XXXX 854
SITHS Skåne-utfärdade kort	2	6280 8335 54 *	Sep 26, 2019

SITHS eID

Stöd för SITHS e-id's olika utfärdare införs successivt enligt SITHS tidsplan med start i testmiljöer under september 2019.

Utgivare med prefixet "TEST" har endast aktiverad tillit i Ineras 2 publika testmiljöer (idp.ineratest.org respektive idp.ineraqa.org)

Läs mer om de nya certifikaten på Ineras SITHS Repository sidor

Utfärdare	LOA	OID-värde i Certifikatsprinciper	Kommentar

Utfärdare	LOA	OID-värde i Certifikatsprinciper	Kommentar
SITHS e-id Person HSA-id 3 CA v1 TEST SITHS e-id Person HSA-id 3 CA v1	3	1.2.752.74.8.502 1.2.752.74.8.503 1.2.752.74.8.506 1.2.752.74.8.507 1.2.752.74.8.509	Under 2019/2020 distansuppgraderas befintliga kort med certifikat från denna utgivare och med OID-värde 1.2.752.74.8.506 Resterande korttyper kommer i test under januari 2020 och produktion februari 2020. 502 - Ordinarie nyutgivet kort 503 - Reservkort LOA 3 506 - Distansuppgraderat kort 507 - Tilläggscertifikat 509 - Reservkort LoA 3, förlängt av användare via självservice. * *Reservkort med LoA 3 finns inte i skrivande stund utan är endast något som SITHS planerar för. Sedan 2020 finns även denna variant.
SITHS e-id Person ID Mobile CA v1 TEST SITHS e-id Person ID Mobile CA v1	3	1.2.752.74.8.504 1.2.752.74.8.512 1.2.752.74.8.513	Certifikat för mobil autentisering.
	2	1.2.752.74.8.510	Certifikat för mobil autentisering. Utfärdat från temporär produktionsmiljö.
SITHS e-id Person HSA-id 2 CA v1 TEST SITHS e-id Person HSA-id 2 CA v1	2	1.2.752.74.8.501 1.2.752.74.8.508 1.2.752.74.8.511	501 - Reservkort LOA 2 508 - Reservkort "Crossborder" 511 - Reservkort "Samordningsnummer"
SITHS e-id Person ID 3 CA v1 TEST SITHS e-id Person ID 3 CA v1	3	1.2.752.74.8.502 1.2.752.74.8.503 1.2.752.74.8.506	Används endast för autentisering via SITHS eID-klienterna. För mTLS-autentisering m.h.a. Net iD Enterprise kommer Inera IdP enligt rekommendation inte att använda certifikaten med personnummer på kort då det på korten alltid även kommer att ligga certifikat med HSA-id. Observera att det ändå går att få personnummer i sin token/biljett om man så önskat i sin anslutningsansökan.
SITHS e-id Person ID 2 CA v1 TEST SITHS e-id Person ID 2 CA v1	2	1.2.752.74.8.501 1.2.752.74.8.508	Används endast för autentisering via SITHS eID-klienterna. Se ovan.
TEST SITHS e-id Function CA v1	2	1.2.752.74.8.505	För att bl.a. möjliggöra automatiska, last- eller prestandatester hos e-tjänster har IdP:s testmiljöer tillit till denna utfärdare. Endast för autentisering via mTLS.

Inera - Identitet och åtkomst

Tillitsnivå (LoA)