null

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 90 Next »

Inera har tagit fram av DIGG godkända e-legitimationer, baserat på SITHS eID. Dessa e-legitimationer kan användas för att uppnå säker autentisering av användare när dessa använder en e-tjänst. Användarupplevelsen liknar användningen av BankID, då det finns möjlighet att autentisera sig via ett kort på datorn eller via en mobil enhet. Lösningen ger en rad fördelar, t ex:

  • Som användare kan du använda mobilen för åtkomst till dina e-tjänster på datorn eller den mobila enheten.
  • Den användarorganisation som ansluter sina e-tjänster till lösningen kommer ifrån det beroende till föråldrad teknik som finns idag.
  • Leverantörer av verksamhetssystem gynnas av att lösningen bygger på standardiserade gränssnitt och kan lättare erbjuda sina kunder mobila lösningar, baserat på SITHS eID som e-legitimation.

Användarupplevelsen

Som användare kommer du att känna igen dig för hur det fungerar med mobilt BankID. Filmen nedan visar hur du kan använda mobilt SITHS eID för inloggning, självklart fungerar det lika bra med ditt SITHS-kort, användarupplevelsen är i princip densamma. I exemplet så använder vi Testportalen som e-tjänst. Ställ gärna in upplösningen  i filmen till HD 1080p för bästa kvalité genom att trycka på denna knapp i filmen.

Autentisering via mobilt SITHS eID

Teknik i lösningen

Den teknik som Inera använder i sin lösning innebär en separation av säkerhetskanalen (för inloggning) och informationskanalen (e-tjänsten). Tekniken brukar man kalla för OOB (out-of-band). Tack vare den tekniken kan du som användare ha en annan enhet för inloggning, t ex mobilen, för åtkomst till e-tjänsten.

De komponenter som svarar för inloggningen är separerade från e-tjänsten i en gemensam IT-infrastruktur. E-tjänsterna kopplas till IdPn i den infrastrukturen som svarar för den direkta interaktionen med autentiseringen. Det innebär bl a att det går att lägga till nya autentiseringsmetoder i lösningen utan att påverka e-tjänsterna.

Olika kanaler för inloggning och för den e-tjänst som du som användare loggar in på via en IdP.


I Ineras lösning finns även stöd för autentiseringsmetoden Mutual TLS (MTLS). Metoden bygger på äldre teknologi som håller på att försvinna. För att du som kund ska kunna skilja på de olika metoderna så använder Inera genomgående olika symboler för OOB-tekniken och MTLS. T ex så kan du se dessa som ikoner vid inloggning, beroende på vilka metoder som är aktiverade för den e-tjänst som du vill komma åt.

                                               

                     OOB                                                                                      MTLS

Olika sätt att ansluta e-tjänster

Inera erbjuder flera sätt att låta e-tjänster nyttja SITHS eID för autentisering av användare. Alla dessa sätt möjliggör för användaren autentisering med kort eller mobilt SITHS eID.  Alla metoderna förutsätter att användarna har en giltig SITHS eID e-legitimation och tillgång till en autentiseringsapp, antingen i mobilen eller på datorn.

Anslut e-tjänst till Ineras IdP

I det första fallet så ansluter e-tjänsten som en Service Provider till Ineras IdP. Denna komponent har ett antal förmågor:

  • E-tjänsten använder standardiserade protokoll i form av SAML eller OIDC i integrationen med IdP:n.
  • Slutanvändaren väljer autentiseringsmetod i en dialog som IdP:n tillhandahåller.
  • Resultatet av en gjord autentisering levereras till e-tjänsten i form av en biljett (identitetsintyg).
  • E-tjänsten begär en viss tillitsnivå (LoA, Level of Assurance) men behöver inte  ha någon kunskap om vilken autentiseringsmetod som används och får dessutom information om användarens behörighet i biljetten, om så önskas.
  • Du som kund kan välja vilka autentiseringsmetoder som ska gälla per e-tjänst.
  • Användarinformationen hämtas från den centrala HSA-katalogen.


Kundens e-tjänst ansluter till Ineras IdP som Service Provider


Anslut kundens IdP till autentiseringstjänsten från Inera

I det andra fallet så kan kunden ansluta sin egen IdP till autentiseringstjänsten från Inera via det proprietära protokoll som Inera har utvecklat. Kundens e-tjänster måste då ansluta till kundens egna IdP för att via denna väg få tillgång till de autentiseringsmetoder som finns för SITHS eID. Kunden måste själv utveckla motsvarande funktionalitet i sin IdP som återfinns i Ineras IdP. T ex

  • Integration mot Ineras Autentiseringstjänst med presentation av användarens val av autentiseringsmetod
  • QR-kodhantering för säkrad autentisering
  • Tolkning av tillitsnivå
  • Integration mot den lokala katalogtjänsten
  • Uppdragsval

Kundens IdP ansluter till autentiseringstjänsten

Kundens IdP ansluter till autentiseringstjänsten


Anslut kundens IdP som IdP-proxy mot Ineras IdP

Det finns en variant av det första sättet: Kunden ansluter sin IdP som en Service Provder till Ineras IdP. På så sätt kan man ha en egen IdP, anpassad för specifika lokala behov men ändå ansluta till Ineras lösning via standardiserade gränssnitt. Kunden slipper de nackdelar och kostnader som det medför att utveckla och underhålla IdP-funktionalitet som redan finns i Ineras IdP men måste agera IdP-proxy. Med det menas att gentemot Ineras IdP uppträder den som en Service Provider men mot de anslutna e-tjänsterna agerar den IdP.

Om kunden använder den egna IdP:n för andra e-tjänster så kommer användarna att kunna få SSO, Single Sign-On. Med det menas att användaren behöver bara autentisera sig en gång för åtkomst till alla e-tjänster som är anslutna till samma IdP.

Kundens IdP kan visserligen få all behörighetsstyrande information om användaren via det identitetsintyg (biljett) som levereras från Ineras IdP men tanken är att den informationen ska hämtas från den lokala katalogtjänsten. 


Kundens IdP ansluter till Ineras IdP som Service Provider och uppträder som IdP mot de anslutna e-tjänsterna


För- och nackdelar med de olika anslutningssätten

Varje anslutningssätt har sina möjligheter och begränsningar. Här är en sammanställning.


Förmåga/AnslutningssättE-tjänst till Ineras IdPKundens IdP till Ineras AutentiseringstjänstKundens IdP som IdP-proxy
Enbart standardiserade API:erJANEJJA
Hantering av LoA, mm av komponenter i Ineras miljöJANEJJA
Tolkning av LoA kan vara en annan än InerasNEJJAJA
Kunden kan välja katalog för användarinformationNEJJAJA
Använda andra e-identiteter än SITHS eIDNEJJAJA

Ineras e-tjänster

Ineras e-tjänster använder uteslutande anslutning till Ineras IdP som Service Providers. Initialt kommer enbart den traditionella autentiseringsmetoden MTLS användas av Ineras e-tjänster, gradvis kommer de att även stödja de nya metoderna. Om din organisations användare vill kunna använda den nya tekniken för inloggning så krävs det att organisationen inför detta genom klientinstallation och instruktioner till sina användare hur de kan få tillgång till mobilt SITHS eID. 

Referenser och vidare läsning

Lösningen följer Referensarkitekturen för Identitet och Åtkomst.

De finns filmer som översiktligt beskriver referensarkitekturen och hur Inera har realiserat den.

Identifieringstjänst SITHS.

DIGG.

OIDC

SAML

Testportalen

Tolkning av tillitsnivå

Utfärdande av SITHS eID

Detaljerad information om IdP och autentiseringstjänsten samt hur man ansluter till dessa tjänster

  • No labels

Publik Information