2.2 SAD - IdP - Elektronisk underskrift

Introduktion

IdP:n har stöd för anslutning till Underskriftstjänst [P4] som följer SwedenConnects SAML-profil för underskrift [S11]. Detta innebär att kunder kan ansluta mot integrerande Underskriftstjänst och utnyttja IdP:n för autentisering mot denna.
Underskrifter kan endast ske via autentiseringsmetoderna som nyttjar SITHS eID via Autentiseringstjänsten [P3].

Relevanta skillnader mot inloggningsflödet

Flödet för underskrift är i stort identiskt med flödet för Autentisering med SITHS eID. Följande listar relevanta skillnader:

  • Enbart SAML stöds vid underskrift.
  • Underskriftsfunktionaliteten förlitar sig på Autentiseringstjänsten och SITHS eID-klienterna, och funkar alltså inte med mTLS-inloggning via Net iD Enterprise.
  • Metadata för underskriftsintegration publiceras separat och innehåller en delmängd av attributen som IdP:n kan producera.
  • Underskrift följer standarden för Sweden Connect [S10] istället för Sambi [S7] .
  • Det publiceras flera endpoints för underskrifts SAML-anrop, en för varje autentiseringsmetod. Detta för att kunna välja autentiseringsmetod redan vid anropet då det inte är önskvärt att användaren får val vid just underskrift.
  • Vid anropet till IdP skickas en personidentifierare med som måste matcha identiteten som sedan autentiseras. Denna identifierare skickas vidare till Autentiseringstjänsten och efter autentisering valideras den i IdP.
  • Vid anropet skickas ett meddelande om vad som ska undertecknas med, detta MÅSTE visas upp för användaren. Detta meddelande skickas vidare till Autentiseringstjänsten för vidare förmedling till autentiseringsklienterna.

 Anvisning om vilken individ som skall utföra underskriften, via PrincipalSelection

Vid anrop till IdP kan filtrering av data skickas med i enlighet med SwedenConnects SAML-profil för underskrift [S11]. Detta sker i fältet <PrincipalSelection> i Autentiseringsbegäran.
Dessa attribut används för att redan i autentiseringsbegäran specificera vilken tjänsteidentitet som skall användas för autentiseringen, för att undvika användarinteraktioner i underskriftsflödet.

De attribut som avläses i IdP:n för PrincipalSelection är:

AttributAnvänds för
http://sambi.se/attributes/1/personalIdentityNumberPersonidentifierare
http://sambi.se/attributes/1/employeeHsaIdPersonidentifierare
urn:orgAffiliationFiltrering av Medarbetaruppdrag
http://sambi.se/attributes/1/organizationIdentifierFiltrering av Medarbetaruppdrag

Övriga attribut kommer att ignoreras.

Attributet SAML Subject kan användas för att förmedla Personidentifierare med samma påföljder som om PrincipalSelection används.

Endas ETT sätt ska användas för att förmedla Personidentifierare.
Endast ETT sätt ska användas för att förmedla OrganisationsIdentifierare.

 Funktioner som inte stöds

Saml2 Scoping stöds inte.

<saml2p:Scoping>
	<saml2p:RequesterID>http://www.origsp.com/sp</saml2:RequesterID>
</saml2p:Scoping>

 SignMessage

Attributet SignMessage kommer visas för användaren. Ingen formatering av meddelandet stöds, enbart plain text.


Publik Information