Förändrade LoA-nivåer

Reservkort och ej distansuppgraderade gamla kort med certifikat från endast utgivaren SITHS Type 1 CA v1 rapporteras sedan  korrekt som LoA 2 istället för LoA 3. Se Ny LoA-hantering för SITHS-kort 2020.

1. Introduktion

Utgivningsprocessen för ett certifikat (exempelvis på ett kort) avgör vilken tillitsnivå (Level of Assurance - LoA) certifikaten får. Vilken tillitsnivå som krävs för att logga in i en applikation (Service Provider - SP) bestäms av applikationen. 

En SP kan välja att titta i biljetten, efter autentisering, vilken LoA-nivå använt certifikat har och behörighetsstyra därefter.
Ett annat alternativ är att SP:n skickar med de LoA-nivåer som applikationen kräver i sin autentiseringsförfrågan. Ifall använt certifikat inte matchar någon av de efterfrågade LoA-nivåerna kommer IdP att rapportera till SP:n att inloggningen misslyckades.

1.1. Ange begärd LoA-nivå i SAML AuthnRequest

Lista godkända LoA-nivåerna i fältet RequestedAuthnContext. Observera att ifall SP:n till exempel accepterar både LoA 2 och LoA 3 och vill ange detta i sitt AuthnRequest så måste båda skickas med då IdP endast har stöd för exakt jämförelse av tillitsnivå (detta då SAMBI ställer det som tekniskt krav).

1.2. Ange begärd LoA-nivå i OIDC Authentication Request

Begär specifik LoA-nivå i OIDC
claims = {
    "id_token" : {
        "acr" : {
            "value" : "http://id.sambi.se/loa/loa3",
            "essential" : true
        }
    }
}

2. SITHS (SITHS Type 1 CA v1)

Inera IdP avgör LoA (Level of Assurance, Tillitsnivå) på användarens SITHS-kort baserat på kortnummerserie (värdet på attributet 1.2.752.34.2.1 i certifikatet på kortet).

(warning) På grund av problem med att identifiera samtliga kortserier för utgivaren SITHS Type 1 CA v1 så beslutades i december 2019 att tillfälligt acceptera samtliga kort som börjar på:

  • 9752 *
  • 628083 *
  • 2494 *


Detta kan sammanfattas i följande tabell:

CertifikatstypLoAKortnummerserie, 1.2.752.34.2.1 Kommentar
SIS-kort, SITHS2

9752 XXXX 357


Företagskort med eget utfärdarnummer29752 XXXX 857
SITHS Reservkort29752 XXXX 957
SITHS CA Crossborder2

SITHS VGR-utfärdade kort29752 XXXX 854
SITHS Skåne-utfärdade kort26280 8335 54 * 

 


3. SITHS eID

Stöd för SITHS e-id's olika utfärdare införs successivt enligt SITHS tidsplan med start i testmiljöer under september 2019.

Utgivare med prefixet "TEST" har endast aktiverad tillit i Ineras 2 publika testmiljöer (idp.ineratest.org respektive idp.ineraqa.org)


Läs mer om de nya certifikaten på Ineras SITHS Repository sidor

UtfärdareLOAOID-värde i CertifikatsprinciperKommentar

SITHS e-id Person HSA-id 3 CA v1

TEST SITHS e-id Person HSA-id 3 CA v1

3

1.2.752.74.8.502
1.2.752.74.8.503
1.2.752.74.8.506
1.2.752.74.8.507
1.2.752.74.8.509

Under 2019/2020 distansuppgraderas befintliga kort med certifikat från denna utgivare och med OID-värde 1.2.752.74.8.506

Resterande korttyper kommer i test under januari 2020 och produktion februari 2020.

502 - Ordinarie nyutgivet kort
503 - Reservkort LOA 3
506 - Distansuppgraderat kort
507 - Tilläggscertifikat
509 - Reservkort LoA 3, förlängt av användare via självservice. *

*Reservkort med LoA 3 finns inte i skrivande stund utan är endast något som SITHS planerar för. Sedan 2020 finns även denna variant.

SITHS e-id Person ID Mobile CA v1

TEST SITHS e-id Person ID Mobile CA v1

3

1.2.752.74.8.504
1.2.752.74.8.512
1.2.752.74.8.513

Certifikat för mobil autentisering.

21.2.752.74.8.510Certifikat för mobil autentisering. Utfärdat från temporär produktionsmiljö.

SITHS e-id Person HSA-id 2 CA v1

TEST SITHS e-id Person HSA-id 2 CA v1

2

1.2.752.74.8.501
1.2.752.74.8.508
1.2.752.74.8.511

501 - Reservkort LOA 2
508 - Reservkort "Crossborder"
511 - Reservkort "Samordningsnummer"

SITHS e-id Person ID 3 CA v1

TEST SITHS e-id Person ID 3 CA v1

31.2.752.74.8.502
1.2.752.74.8.503
1.2.752.74.8.506		Används endast för autentisering via SITHS eID-klienterna.

För mTLS-autentisering m.h.a. Net iD Enterprise kommer Inera IdP enligt rekommendation inte att använda certifikaten med personnummer på kort då det på korten alltid även kommer att ligga certifikat med HSA-id. Observera att det ändå går att få personnummer i sin token/biljett om man så önskat i sin anslutningsansökan.

SITHS e-id Person ID 2 CA v1

TEST SITHS e-id Person ID 2 CA v1

21.2.752.74.8.501
1.2.752.74.8.508

Används endast för autentisering via SITHS eID-klienterna.

Se ovan.

TEST SITHS e-id Function CA v121.2.752.74.8.505För att bl.a. möjliggöra automatiska, last- eller prestandatester hos e-tjänster har IdP:s testmiljöer tillit till denna utfärdare. Endast för autentisering via mTLS.




  • No labels

Publik Information