Diggs infrastruktur för e-legitimering
Digg tillhandahåller det svenska systemet för elektronisk identifiering som består av fyra hörnstenar. Tillsammans skapar hörnstenarna ett öppet ekosystem för e-legitimationsutfärdarna och aktörer som önskar nyttja dessa tjänster.
Som en del av ansvaret för att förvalta infrastrukturen kan organisationer som ufärdar e-legitimationer ansöka om att bli granskad av Digg enligt Tillitsramverket för Svensk e-legitimation.
Digg granskar utfärdarens:
- tekniska arkitektur
- finansiella stabilitet
- informationssäkerhetsarbete och internkontroll
- process för identifiering av personer som ansöker om att få en e-legitimation
- utfärdande och tillhandahållande av e-legitimationer
Tillitsnivåer
Tillitsnivån anger e-legitimationens grad av säkerhet och tillförlitlighet. Ju högre tillitsnivå en e-legitimation har desto säkrare är den, både när det gäller teknisk och administrativ säkerhet. Digg granskar e-legitimationer på tillitsnivå 2, 3 och 4.
Bedömning av tillitsnivå för e-tjänsten
Aktörer med e-tjänster behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Kravet på tillitsnivå bestäms utifrån hur stor skadan riskerar att bli om fel person får tillgång till tjänsten.
För aktörer med e-tjänster
En aktör med en e-tjänst kan teckna avtal till något av Diggs e-legitimeringsavtal och erbjuda inloggning med de godkända e-legitimationerna som ingår. Fördelen att teckna Diggs avtal är att man inte behöver få tillgång till leverantörens tjänster genom upphandling. Diggs avtal riktar sig till offentliga aktörer men privata aktörer kan ansluta till avtal för att ansluta till Diggs infrastruktur för att erbjuda inloggningen över landsgränser.
E-legitimationsutfärdare
En e-legitimationsutfärdare får ingå avtal med Digg om tillhandahållande av e-legitimationstjänster inom ramen för det svenska e-legitimationssystemet. Både privata och offentliga organ som utfärdar e-legitimation är välkomna att ansöka som leverantörer.
För att undvika att offentliga aktörer ska behöva anpassa sig till flera grundläggande tekniska gränssnitt tillhandahåller Digg en standardiserad infrastruktur för e-legitimeringstjänster genom Sweden Connect för att förenkla för offentliga aktörer.
Både offentliga och privata aktörer kan ansluta sina e-tjänster till Sweden Connect. Genom infrastrukturen får e-tjänster tillgång till inloggning med både svenska och utländska e-legitimationer. De utländska e-legitimationer som ingår är de som anmälts av andra eIDAS-anslutna länder.
De centrala delarna av Sweden Connect är de tekniska specifikationerna och metadata som beskriver aktörerna och deras förmågor, i kombination med säkra rutiner för anslutning och incidenthantering.
Sweden Connect består av:
- Ett tekniskt ramverk
- Metadata och kontaktinformation om alla anslutna aktörer
- Sveriges kontaktpunkt (Single Point of Contact) inom eIDAS. Digg företräder Sverige i eIDAS samarbetsnätverk.
Sweden Connect stödjer idag den tekniska standarden SAML 2.0.
För utvecklare
Webbplatsen swedenconnect.se ger stöd i utvecklingen av anslutningar mellan e-tjänster och lösningar för e-legitimering och e-underskrift.
Sweden Connect (swedenconnect.se) Länk till annan webbplats.
Digg har genom sin instruktion ansvaret för att:
- Ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift
- Tillhandahålla och administrera valfrihetssystem – kommande auktorisationssystem
- Främja den offentliga sektorns användning av elektronisk identifiering och-underskrift
- Ansvara för den svenska eIDAS-noden
- Anmäla svenska e-legitimationer enligt eIDAS. Digg ansvarar för eIDAS-noden för gränsöverskridande elektronisk identifiering i enlighet med eIDAS-förordningen.
Det finns regleringar både nationellt och inom EU som en del av den rättsliga ramen:
- Lagen om valfrihetssystem - Lag (2013: 311) om valfrihet med avseende på tjänster för elektronisk identifiering.
- EU-förordningen eIDAS (EU) 910/2014
- Lag (2016: 561) om kompletterande bestämmelser till eIDAS-förordningen
- Folkbokföringslagen (1991: 481)
- Förordning (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering
Nyttan med en gemensam infrastruktur
Flera olika e-legitimationer på marknaden innebär utmaningar för myndigheterna. Brist på standardisering riskerar att leda till inlåsning av leverantörer och höga genomförandekostnader på grund av behovet av att anpassa sig till flera grundläggande tekniska gränssnitt.
För att åtgärda detta har en standardiserad infrastruktur för tillhandahållande av e-legitimeringstjänster och e-underskrifter utvecklats för att samordna och förenkla för de offentliga myndigheterna, och för att främja ytterligare utveckling av digitala tjänster. Utöver de e-legitimeringsavtal som Digg tillhandahåller och Tillitsramverket för Svensk e-legitimation ingår också en nationell identitetsfederation, Sweden Connect, i infrastrukturen.
eIDAS
eIDAS-förordningen är en EU-förordning som är uppdelad i två delar, elektronisk identifiering och betrodda tjänster. Digg ansvarar för den del som hanterar elektronisk identifiering.
Elektronisk identifiering över gränserna
Enligt eIDAS-förordningen ska användare från europeiska länder kunna använda sina nationella e-legitimationer även vid inloggning till e-tjänster hos offentliga aktörer i Sverige. En användare med en svensk e-legitimation som är anmäld till eIDAS ska också kunna använda sin svenska e-legitimation vid inloggning hos offentliga aktörer inom EU. Digg ansvarar för den svenska eIDAS-noden som möjliggör denna gränsöverskridande e-legitimering. Infrastrukturen kan även användas av privata aktörer.
För att kunna logga in med en svensk e-legitimation i utländska e-tjänster behöver e-legitimationen först anmälas till eIDAS och genomgå en granskning. Det är Digg som för Sveriges räkning anmäler e-legitimationer till eIDAS.
Erbjud inloggning med utländska e-legitimationer
Leverera e-legitimering inom eIDAS
Betrodda tjänster
Post- och Telestyrelsen (PTS) ansvarar för den del som handlar om betrodda tjänster i eIDAS-förordningen.
E-legitimation | Utfärdare | Anskaffas |
---|---|---|
Sunet | eduID | Privat |
E-legitimation | Utfärdare | Anskaffas |
---|---|---|
AB Svenska Pass | AB Svenska pass | Privat |
BankID på fil | Finansiell ID-Teknik BID AB | Privat |
BankID på kort | Finansiell ID-Teknik BID AB | Privat |
Mobilt BankID | Finansiell ID-Teknik BID AB | Privat |
Freja+ | Freja eID Group AB | Privat |
Freja (för icke-bofasta) | Freja eID Group AB | Privat |
Freja OrganisationsID | Freja eID Group AB | Via arbetsgivare |
EFOS (Tidigare MCA) | Försäkringskassan | Via arbetsgivare |
Mobilt EFOS | Försäkringskassan | Via arbetsgivare |
Mobilt SITHS | Inera AB | Via arbetsgivare |
RS eID | Region Stockholm | Via arbetsgivare |
SITHS | Inera AB | Via arbetsgivare |
Net iD | Pointsharp AB | Via arbetsgivare |
Mobilt Net iD | Pointsharp AB | Via arbetsgivare |
E-legitimation | Utfärdare | Anskaffas |
---|---|---|
AB Svenska Pass | AB Svenska pass | Privat |
EFOS (Tidigare MCA) | Försäkringskassan | Via arbetsgivare |
E-legitimation | Utfärdare | Tillitsnivå | Anskaffas |
---|---|---|---|
Freja+ anskaffat via ATG-ombud | Freja eID Group AB | Substantial | Privat |
Så fungerar e-legitimering
När en person använder sin e-legitimation för att visa vem hen är kallas det för e-legitimering. Under e-legitimeringen behöver flera olika funktioner och system samarbeta för att identifiera personen. Här kan du läsa mer om hur det fungerar.
Funktioner i e-legitimeringsprocessen
- Användare: Har en e-legitimation för att legitimera sig elektroniskt mot en tjänst.
- E-legitimationsutfärdare: Förser användaren med en e-legitimation och tillhandahåller de stödfunktioner som krävs.
- Leverantör av identitetsintyg: Utför en elektronisk identifiering av användaren, det vill säga kontrollerar att användaren är den som hen utger sig för att vara. För de e-legitimationsutfärdare som har kvalitetsmärket Svensk e-legitimation faller denna funktion inom utfärdarens ansvar. Kallas också för "identity provider" eller IdP.
- Tillhandahållare av e-tjänst: Är den som litar på det identitetsintyg som ställs ut, och kan vara såväl en privat som offentlig aktör. Kallas också för "service provider" eller SP.
Det är viktigt att det finns en fullständig avtalskedja som reglerar alla ansvarsförhållanden, hela vägen från tillhandahållaren av e-tjänsten till användaren.
Så går e-legitimering till
Så här kan det gå till bakom kulisserna när en användare loggar in i en e-tjänst som kräver e-legitimering.
- Användaren väljer vilken e-legitimeringslösning hen vill använda i e-tjänsten.
- E-tjänsten skickar användaren vidare till leverantören av identitetsintyg.
- Användaren aktiverar sin e-legitimation och bevisar sin identitet för leverantören av identitetsintyget. Det kallas för att användaren autentiserar sig mot leverantören.
- Leverantören av identitetsintyg gör flera olika kontroller av användarens e-legitimation, till exempel att e-legitimationen är giltig och att den inte har spärrats.
- Leverantören av identitetsintyg ställer ut ett identitetsintyg till e-tjänsten. Intyget förmedlas vanligen via användarens webbläsare.
- E-tjänsten kontrollerar att intyget är äkta och kommer från en leverantör som e-tjänsten litar på. Intyget innehåller den information som behövs för att släppa in användaren i e-tjänsten, till exempel personnummer. I samband med detta steg ger e-tjänsten också användaren rätt behörigheter, det kallas för auktorisation.
E-legitimationer har olika tillitsnivåer
Tillitsnivåer används för att beskriva hur säker och tillförlitlig en e-legitimation är. Ju högre tillitsnivå, desto säkrare är e-legitimeringen, både när det gäller teknisk och administrativ säkerhet.
En leverantör som vill bli godkänd enligt Tillitsramverket för Svensk e-legitimation granskas av Digg för att säkerställa att e-legitimationen håller den tillitsnivå som leverantören har angett i sin ansökan. Tillitsnivån bestäms bland annat av hur leverantören säkerställer att rätt person hämtar ut sin e-legitimation.
Offentliga aktörer med e-tjänster behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Tillitsnivån bedöms utifrån hur stor skadan riskerar att bli om fel person får tillgång till tjänsten. Valet av tillitsnivå påverkar tjänstens inloggningsalternativ, till exempel om användaren kan logga in i tjänsten med en personlig kod eller om det krävs en viss typ av e-legitimation.
Id-handling i app för legitimering vid personligt besök
En id-handling i app är till skillnad från e-legitimationen tänkt att användas vid personligt besök precis som ett traditionellt id-kort. En e-legitimation används för att legitimera sig på distans oftast via en e-tjänst.
De organisationer som avser förlita sig på id-handlingar i en app behöver själva avgöra om id-handling i app är godtagbart eller inte. I Sverige finns det ingen generell lagstiftning som anger vilka sätt att legitimera sig som är godtagbara eller vilka legitimationssätt som måste accepteras. Som fullgod svensk id-handling räknas allmänt nationellt id-kort, Skatteverkets id-kort, körkort, svenskt pass i vinröd pärm och SIS-märkt id-kort. En verksamhetsutövare kan dock även godta andra former av id-handlingar, men är också fri att neka dessa.
Digg granskar och godkänner e-legitimationer enligt reglerna i Tillitsramverket för svensk e-legitimation. Reglerna omfattar utgivning av e-legitimationerna och användning av dem i e-tjänster på distans.
Tillitsramverket innehåller dock inga regler kring hur en identitet kan kontrolleras elektroniskt vid ett personligt besök. För att sådan kontroll ska kunna ske säkert kan det krävas vissa digitala verktyg av olika slag som läser av och verifierar id-handlingen. Granskning av dessa verktyg ingår inte i Diggs granskning.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: