2.1 Profilhantering - Underskriftstjänsten

Dokumenthistorik

 Visa dokumenthistorik

Version

Datum

Utförare

Kommentar

0.9

 

Upprättad
1.0

 

Fastställd
2.0

 

Stefan Eriksson

Uppdaterat med privata e-legitimationer och eIDAS
2..1

 

Stefan Eriksson

Tagit bort vissa attribut
2.2

 

Stefan Eriksson

Fotnot för eIDAS profilen
2.3

 

Tomas Fransson

Godkänd

Innehållsförteckning

 Visa innehållsförteckning


Underskriftsprofiler

Underskriftsprofiler styr vilka användarattribut som ska ingå i det slutgiltiga underskriftscertifikatet .

Tillgängliggjorda underskriftsprofiler utgår ifrån Digitaliseringsmyndighetens attribute sets. 

Underskriftsprofildn i underskriftscertifikat, exempelDIGGs attributset som ligger till grund för underskriftsprofilen

Utgivande CA för underskriftscertifikat

Signaturalgoritm

Signaturtyp

eln_ap_pnr_01

cn=Elin Svensson

serialNumber=199101192384

sn=Svensson

givenName=Elin

ELN-AP-Pnr-01 - Natural Personal Identity with Civic Registration Number (Personnummer)

För LOA2: CGI Sverige AB Low DSS End User CA

För LOA3: CGI Sverige AB Substantial DSS End User CA

ECDSA P256


XAdES-BASELINE-B, Enveloped

PAdES-BASELINE-B, Enveloped

digg_ap_hsaid_01

cn=Elin Svensson

serialNumber= TST5565594230-12R7

sn=Svensson

givenName=Elin

DIGG-AP-HSAid-01 - Natural Person Identity with HSA-ID
eln_ap_orgperson_01

cn=Elin Svensson

serialNumber= TST5565594230-12R7@5565594230

sn=Svensson

givenName=Elin

0=Inera AB

ELN-AP-OrgPerson-01 - Organizational Identity for Natural Persons
eln_ap_pnr_01_orgid

cn=Elin Svensson

serialNumber= 199101192384

sn=Svensson

givenName=Elin

2.5.4.97=5590858584

Kombination av ELN-AP-Pnr-01 och ELN-AP-OrgPerson-01
eln_ap_eidas_natper_01

cn=Elin Svensson

serialNumber= xx:yy:199101192384

sn=Svensson

givenName=Elin


ELN-AP-eIDAS-NatPer-01

För LOW: CGI Sverige AB Low DSS End User CA

För SUB: CGI Sverige AB Substantial DSS End User CA

För HIGH: CGI Sverige AB HIGH DSS End User CA

ECDSA P256

XAdES-BASELINE-B, Enveloped

PAdES-BASELINE-B, Enveloped

Namngivningen av dessa profiler är i praktiken ändringsbara per logisk instans (varje ansluten e-tjänst).

Styrning av underskriftsprofil

E-tjänsten anger i fältet <csig:AuthnProfile> i SignRequest vilken underskriftsprofil som önskas.

Styrande användarattribut inkommer i SignRequest från e-tjänsten till Underskriftstjänsten, i elementet <csig:Signer>. Underskriftstjänsten skickar dessa attribut vidare i AuthnRequest till IdP, i fältet <psc:PrincipalSelection>. IdP returnerar sedan användarattribut från autentiseringen i SAMLResponse, i fältet <saml2:AttributeStatement>. Dessa attributvärden valideras mot de som angavs i SignRequest, och används sedan för att skapa underskriftscertifikatet enligt önskad underskriftsprofil. Exempel-requests återfinns i /wiki/spaces/UTJ/pages/3501785100.

Användarattribut

Följande SAML-attribut från Ineras IdP används för att populera användarattributen i underskriftscertifikatet:

Fält i dn i underskriftcertifikatet

Attribut från IdPAttribut från IdP för  e-legitimationer som stödjer DIGG's SAML Profil
cn=Elin Svenssonurn:name

urn:oid:2.16.840.1.113730.3.1.241

givenName=Elinhttp://sambi.se/attributes/1/givenName

urn:oid:2.5.4.42

sn=Svenssonhttp://sambi.se/attributes/1/surnameurn:oid:2.5.4.4
0=Inera ABhttp://sambi.se/attributes/1/organizationNameurn:oid:2.5.4.10
2.5.4.97=5590858584http://sambi.se/attributes/1/organizationIdentifierurn:oid:2.5.4.97

serialNumber baseras på olika attribut från IdP beroende på underskriftsprofil:

UnderskriftsprofilserialNumber, exempelAttribut från IdP (Inera's IdP)Attribut från IdP för e-legitimationer som stödjer DIGG's SAML profil
eln_ap_pnr_01

serialNumber=199101192384

http://sambi.se/attributes/1/personalIdentityNumberurn:oid:1.2.752.29.4.13
digg_ap_hsaid_01

serialNumber= TST5565594230-12R7

http://sambi.se/attributes/1/employeeHsaId
eln_ap_orgperson_01

serialNumber= TST5565594230-12R7@5565594230

urn:orgAffiliation


eln_ap_pnr_01_orgid

serialNumber= 199101192384

http://sambi.se/attributes/1/personalIdentityNumber
eln_ap_eidas_natper_01

serialNumber= xx:yy:199101192384

N/A
urn:oid:1.2.752.201.3.4 

Vid användning av IDP:er för t ex BankID eller Freja eID+ så mappas attributen till X509 certifikatet baserat på DIGG's SAML profil: ELN-AP-Pnr-01 - Natural Personal Identity with Civic Registration Number (Personnummer) samt att det är den enda profilen som fungerar med dessa typer av e-legitimationer.

Stödtjänstprofil

Stödtjänsten kombinerar Underskriftstjänstens underskriftsprofiler och önskad tillitsnivå (LoA) i s.k. stödtjänstprofiler.

UnderskriftsprofilGodkänd tillitsnivåStödtjänstprofil
eln_ap_pnr_01

LoA 2 eller LoA 3

eln_ap_pnr_01_loa2_loa3

LoA 3eln_ap_pnr_01_loa3
digg_ap_hsaid_01

LoA 2 eller LoA 3

digg_ap_hsaid_01_loa2_loa3

LoA 3

digg_ap_hsaid_01_loa3

eln_ap_orgperson_01LoA 2 eller LoA 3

eln_ap_orgperson_01_loa2_loa3

LoA 3

eln_ap_orgperson_01_loa3

eln_ap_pnr_01_orgidLoA 2 eller LoA 3

eln_ap_pnr_01_orgid_loa2_loa3

LoA 3

eln_ap_pnr_01_orgid_loa3

eln_ap_eidas_natper_011eidas-sub eller eidas-high

eln_ap_eidas_natper_eidas_sub_eidas_high


1 Profilen eln_ap_eidas_natper_01 för eIDAS stöds ej av Underskriftstjänsten - Bas.



Publik Information