Diggs infrastruktur för e-legitimering

Digg tillhandahåller det svenska systemet för elektronisk identifiering som består av fyra hörnstenar. Tillsammans skapar hörnstenarna ett öppet ekosystem för e-legitimationsutfärdarna och aktörer som önskar nyttja dessa tjänster.

Som en del av ansvaret för att förvalta infrastrukturen kan organisationer som ufärdar e-legitimationer ansöka om att bli granskad av Digg enligt Tillitsramverket för Svensk e-legitimation.

Digg granskar utfärdarens:

  • tekniska arkitektur
  • finansiella stabilitet
  • informationssäkerhetsarbete och internkontroll
  • process för identifiering av personer som ansöker om att få en e-legitimation
  • utfärdande och tillhandahållande av e-legitimationer

Tillitsnivåer

Tillitsnivån anger e-legitimationens grad av säkerhet och tillförlitlighet. Ju högre tillitsnivå en e-legitimation har desto säkrare är den, både när det gäller teknisk och administrativ säkerhet. Digg granskar e-legitimationer på tillitsnivå 2, 3 och 4.

Bedömning av tillitsnivå för e-tjänsten

Aktörer med e-tjänster behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Kravet på tillitsnivå bestäms utifrån hur stor skadan riskerar att bli om fel person får tillgång till tjänsten.

Tillitsnivåer

För aktörer med e-tjänster

En aktör med en e-tjänst kan teckna avtal till något av Diggs e-legitimeringsavtal och erbjuda inloggning med de godkända e-legitimationerna som ingår. Fördelen att teckna Diggs avtal är att man inte behöver få tillgång till leverantörens tjänster genom upphandling. Diggs avtal riktar sig till offentliga aktörer men privata aktörer kan ansluta till avtal för att ansluta till Diggs infrastruktur för att erbjuda inloggningen över landsgränser.

E-legitimationsutfärdare

En e-legitimationsutfärdare får ingå avtal med Digg om tillhandahållande av e-legitimationstjänster inom ramen för det svenska e-legitimationssystemet. Både privata och offentliga organ som utfärdar e-legitimation är välkomna att ansöka som leverantörer.

För att undvika att offentliga aktörer ska behöva anpassa sig till flera grundläggande tekniska gränssnitt tillhandahåller Digg en standardiserad infrastruktur för e-legitimeringstjänster genom Sweden Connect för att förenkla för offentliga aktörer.

Både offentliga och privata aktörer kan ansluta sina e-tjänster till Sweden Connect. Genom infrastrukturen får e-tjänster tillgång till inloggning med både svenska och utländska e-legitimationer. De utländska e-legitimationer som ingår är de som anmälts av andra eIDAS-anslutna länder.

De centrala delarna av Sweden Connect är de tekniska specifikationerna och metadata som beskriver aktörerna och deras förmågor, i kombination med säkra rutiner för anslutning och incidenthantering.

Sweden Connect består av:

  • Ett tekniskt ramverk
  • Metadata och kontaktinformation om alla anslutna aktörer
  • Sveriges kontaktpunkt (Single Point of Contact) inom eIDAS. Digg företräder Sverige i eIDAS samarbetsnätverk.

Sweden Connect stödjer idag den tekniska standarden SAML 2.0.

För utvecklare

Webbplatsen swedenconnect.se ger stöd i utvecklingen av anslutningar mellan e-tjänster och lösningar för e-legitimering och e-underskrift.

Sweden Connect (swedenconnect.se) Länk till annan webbplats.

Digg har genom sin instruktion ansvaret för att:

  1. Ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift
  2. Tillhandahålla och administrera valfrihetssystem – kommande auktorisationssystem
  3. Främja den offentliga sektorns användning av elektronisk identifiering och-underskrift
  4. Ansvara för den svenska eIDAS-noden
  5. Anmäla svenska e-legitimationer enligt eIDAS. Digg ansvarar för eIDAS-noden för gränsöverskridande elektronisk identifiering i enlighet med eIDAS-förordningen.

Det finns regleringar både nationellt och inom EU som en del av den rättsliga ramen:

  • Lagen om valfrihetssystem - Lag (2013: 311) om valfrihet med avseende på tjänster för elektronisk identifiering.
  • EU-förordningen eIDAS (EU) 910/2014
  • Lag (2016: 561) om kompletterande bestämmelser till eIDAS-förordningen
  • Folkbokföringslagen (1991: 481)
  • Förordning (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering

Nyttan med en gemensam infrastruktur

Flera olika e-legitimationer på marknaden innebär utmaningar för myndigheterna. Brist på standardisering riskerar att leda till inlåsning av leverantörer och höga genomförandekostnader på grund av behovet av att anpassa sig till flera grundläggande tekniska gränssnitt.

För att åtgärda detta har en standardiserad infrastruktur för tillhandahållande av e-legitimeringstjänster och e-underskrifter utvecklats för att samordna och förenkla för de offentliga myndigheterna, och för att främja ytterligare utveckling av digitala tjänster. Utöver de e-legitimeringsavtal som Digg tillhandahåller och Tillitsramverket för Svensk e-legitimation ingår också en nationell identitetsfederation, Sweden Connect, i infrastrukturen.

eIDAS

eIDAS-förordningen är en EU-förordning som är uppdelad i två delar, elektronisk identifiering och betrodda tjänster. Digg ansvarar för den del som hanterar elektronisk identifiering.

Elektronisk identifiering över gränserna

Enligt eIDAS-förordningen ska användare från europeiska länder kunna använda sina nationella e-legitimationer även vid inloggning till e-tjänster hos offentliga aktörer i Sverige. En användare med en svensk e-legitimation som är anmäld till eIDAS ska också kunna använda sin svenska e-legitimation vid inloggning hos offentliga aktörer inom EU. Digg ansvarar för den svenska eIDAS-noden som möjliggör denna gränsöverskridande e-legitimering. Infrastrukturen kan även användas av privata aktörer.

För att kunna logga in med en svensk e-legitimation i utländska e-tjänster behöver e-legitimationen först anmälas till eIDAS och genomgå en granskning. Det är Digg som för Sveriges räkning anmäler e-legitimationer till eIDAS.

Erbjud inloggning med utländska e-legitimationer

Leverera e-legitimering inom eIDAS

Betrodda tjänster

Post- och Telestyrelsen (PTS) ansvarar för den del som handlar om betrodda tjänster i eIDAS-förordningen.

Betrodda tjänster (pts.se) Länk till annan webbplats.

Granskade och godkända e-legitimationer

Aktörer med e-tjänster som kräver e-legitimation kan lita på e-legitimationer som har granskats och godkänts av Digg, och användare kan känna sig trygga med att det är en säker identitetshandling.


Godkända e-legitimationer på tillitsnivå 2

E-legitimation

Utfärdare

Anskaffas

Sunet

eduID

Privat



Godkända e-legitimationer på tillitsnivå 3

E-legitimation

Utfärdare

Anskaffas

AB Svenska Pass

AB Svenska pass

Privat

BankID på fil

Finansiell ID-Teknik BID AB

Privat

BankID på kort

Finansiell ID-Teknik BID AB

Privat

Mobilt BankID

Finansiell ID-Teknik BID AB

Privat

Freja+

Freja eID Group AB

Privat

Freja (för icke-bofasta)

Freja eID Group AB

Privat

Freja OrganisationsID

Freja eID Group AB

Via arbetsgivare

EFOS (Tidigare MCA)

Försäkringskassan

Via arbetsgivare

Mobilt EFOS

Försäkringskassan

Via arbetsgivare

Mobilt SITHS

Inera AB

Via arbetsgivare

RS eID

Region Stockholm

Via arbetsgivare

SITHS

Inera AB

Via arbetsgivare

Net iD

Pointsharp AB

Via arbetsgivare

Mobilt Net iD

Pointsharp AB

Via arbetsgivare



Godkända e-legitimationer på tillitsnivå 4

E-legitimation

Utfärdare

Anskaffas

AB Svenska Pass

AB Svenska pass

Privat

EFOS (Tidigare MCA)

Försäkringskassan

Via arbetsgivare



Godkända e-legitimationer för användning i utländska e-tjänster (eIDAS)

E-legitimation

Utfärdare

Tillitsnivå

Anskaffas

Freja+ anskaffat via ATG-ombud

Freja eID Group AB

Substantial

Privat


Så fungerar e-legitimering

När en person använder sin e-legitimation för att visa vem hen är kallas det för e-legitimering. Under e-legitimeringen behöver flera olika funktioner och system samarbeta för att identifiera personen. Här kan du läsa mer om hur det fungerar.

Funktioner i e-legitimeringsprocessen

  • Användare: Har en e-legitimation för att legitimera sig elektroniskt mot en tjänst.
  • E-legitimationsutfärdare: Förser användaren med en e-legitimation och tillhandahåller de stödfunktioner som krävs.
  • Leverantör av identitetsintyg: Utför en elektronisk identifiering av användaren, det vill säga kontrollerar att användaren är den som hen utger sig för att vara. För de e-legitimationsutfärdare som har kvalitetsmärket Svensk e-legitimation faller denna funktion inom utfärdarens ansvar. Kallas också för "identity provider" eller IdP.
  • Tillhandahållare av e-tjänst: Är den som litar på det identitetsintyg som ställs ut, och kan vara såväl en privat som offentlig aktör. Kallas också för "service provider" eller SP.

Det är viktigt att det finns en fullständig avtalskedja som reglerar alla ansvarsförhållanden, hela vägen från tillhandahållaren av e-tjänsten till användaren.

Så går e-legitimering till

Så här kan det gå till bakom kulisserna när en användare loggar in i en e-tjänst som kräver e-legitimering.

  1. Användaren väljer vilken e-legitimeringslösning hen vill använda i e-tjänsten.
  2. E-tjänsten skickar användaren vidare till leverantören av identitetsintyg.
  3. Användaren aktiverar sin e-legitimation och bevisar sin identitet för leverantören av identitetsintyget. Det kallas för att användaren autentiserar sig mot leverantören.
  4. Leverantören av identitetsintyg gör flera olika kontroller av användarens e-legitimation, till exempel att e-legitimationen är giltig och att den inte har spärrats.
  5. Leverantören av identitetsintyg ställer ut ett identitetsintyg till e-tjänsten. Intyget förmedlas vanligen via användarens webbläsare.
  6. E-tjänsten kontrollerar att intyget är äkta och kommer från en leverantör som e-tjänsten litar på. Intyget innehåller den information som behövs för att släppa in användaren i e-tjänsten, till exempel personnummer. I samband med detta steg ger e-tjänsten också användaren rätt behörigheter, det kallas för auktorisation.

E-legitimationer har olika tillitsnivåer

Tillitsnivåer används för att beskriva hur säker och tillförlitlig en e-legitimation är. Ju högre tillitsnivå, desto säkrare är e-legitimeringen, både när det gäller teknisk och administrativ säkerhet.

En leverantör som vill bli godkänd enligt Tillitsramverket för Svensk e-legitimation granskas av Digg för att säkerställa att e-legitimationen håller den tillitsnivå som leverantören har angett i sin ansökan. Tillitsnivån bestäms bland annat av hur leverantören säkerställer att rätt person hämtar ut sin e-legitimation.

Offentliga aktörer med e-tjänster behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Tillitsnivån bedöms utifrån hur stor skadan riskerar att bli om fel person får tillgång till tjänsten. Valet av tillitsnivå påverkar tjänstens inloggningsalternativ, till exempel om användaren kan logga in i tjänsten med en personlig kod eller om det krävs en viss typ av e-legitimation.

Tillitsnivåer för e-legitimering

Id-handling i app för legitimering vid personligt besök

En id-handling i app är till skillnad från e-legitimationen tänkt att användas vid personligt besök precis som ett traditionellt id-kort. En e-legitimation används för att legitimera sig på distans oftast via en e-tjänst.

De organisationer som avser förlita sig på id-handlingar i en app behöver själva avgöra om id-handling i app är godtagbart eller inte. I Sverige finns det ingen generell lagstiftning som anger vilka sätt att legitimera sig som är godtagbara eller vilka legitimationssätt som måste accepteras. Som fullgod svensk id-handling räknas allmänt nationellt id-kort, Skatteverkets id-kort, körkort, svenskt pass i vinröd pärm och SIS-märkt id-kort. En verksamhetsutövare kan dock även godta andra former av id-handlingar, men är också fri att neka dessa.

Digg granskar och godkänner e-legitimationer enligt reglerna i Tillitsramverket för svensk e-legitimation. Reglerna omfattar utgivning av e-legitimationerna och användning av dem i e-tjänster på distans.
Tillitsramverket innehåller dock inga regler kring hur en identitet kan kontrolleras elektroniskt vid ett personligt besök. För att sådan kontroll ska kunna ske säkert kan det krävas vissa digitala verktyg av olika slag som läser av och verifierar id-handlingen. Granskning av dessa verktyg ingår inte i Diggs granskning.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: