Om e-legitimering

När en person använder sin e-legitimation för att visa vem hen är kallas det för e-legitimering. Under e-legitimeringen behöver flera olika funktioner och system samarbeta för att identifiera personen. Här kan du läsa mer om hur det fungerar.

E-legitimation för dig som privatperson

På webbplatsen elegitimation.se kan du som privatperson läsa om vilka e-legitimationer som finns, hur du skaffar en e-legitimation och hur du skyddar den.

elegitimation.se Länk till annan webbplats.

En ordlista som stöd

Det finns många begrepp inom detta område, begrepp som kanske inte alla bekanta med. Dessa begrepp används också på olika sätt av olika organisationer. Här kommer en lista på några av de vanligaste begreppen och vad vi på Digg menar med dem:

  • E-legitimationsutfärdare – en leverantör av en e-legitimation
  • Förlitande part/förlitande aktör – en aktör med en eller flera e-tjänster som förlitar sig på de intyg som skapas av e-legitimationsutfärdaren när en legitimering görs
  • SP Service provider – en e-tjänst
  • IdP - Identity provider - Utför en elektronisk identifiering av användaren, det vill säga kontrollerar att användaren är den som hen utger sig för att vara vid legitimering i en e-tjänst, och utfärdar ett identitetsintyg till e-tjänsten. En IdP kallas också för legitimeringstjänst.
  • Användare – en person som loggar in i en e-tjänst.
  • E-tjänstelegitimationer – e-legitimationer som skaffas av arbetsgivaren till sina medarbetare
  • E-legitimationer för privatpersoner – e-legitimationer som skaffas av privatpersoner
  • Utländska e-legitimationer – e-legitimationer från EU-länder
  • Leverantör av identitetsintyg: Utför en elektronisk identifiering av användaren, det vill säga kontrollerar att användaren är den som hen utger sig för att vara. För de e-legitimationsutfärdare som har kvalitetsmärket Svensk e-legitimation faller denna funktion inom utfärdarens ansvar. Kallas också för "identity provider" eller IdP.
  • Tillhandahållare av e-tjänst: Är den som litar på det identitetsintyg som ställs ut, och kan vara såväl en privat som offentlig aktör. Kallas också för "service provider" eller SP.

Så går e-legitimering till

Så här kan det gå till bakom kulisserna när en användare loggar in i en e-tjänst som kräver e-legitimering.

  1. Användaren väljer vilken e-legitimeringslösning hen vill använda i e-tjänsten.
  2. E-tjänsten skickar användaren vidare till leverantören av identitetsintyg.
  3. Användaren aktiverar sin e-legitimation och bevisar sin identitet för leverantören av identitetsintyget. Det kallas för att användaren autentiserar sig mot leverantören.
  4. Leverantören av identitetsintyg gör flera olika kontroller av användarens e-legitimation, till exempel att e-legitimationen är giltig och att den inte har spärrats.
  5. Leverantören av identitetsintyg ställer ut ett identitetsintyg till e-tjänsten. Intyget förmedlas vanligen via användarens webbläsare.
  6. E-tjänsten kontrollerar att intyget är äkta och kommer från en leverantör som e-tjänsten litar på. Intyget innehåller den information som behövs för att släppa in användaren i e-tjänsten, till exempel personnummer. I samband med detta steg ger e-tjänsten också användaren rätt behörigheter, det kallas för auktorisation.

E-legitimationer har olika tillitsnivåer

Tillitsnivåer används för att beskriva hur säker och tillförlitlig en e-legitimation är. Ju högre tillitsnivå, desto säkrare är e-legitimeringen, både när det gäller teknisk och administrativ säkerhet.

En leverantör som vill bli godkänd enligt Tillitsramverket för Svensk e-legitimation granskas av Digg för att säkerställa att e-legitimationen håller den tillitsnivå som leverantören har angett i sin ansökan. Tillitsnivån bestäms bland annat av hur leverantören säkerställer att rätt person hämtar ut sin e-legitimation.

Offentliga aktörer med e-tjänster behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Tillitsnivån bedöms utifrån hur stor skadan riskerar att bli om fel person får tillgång till tjänsten. Valet av tillitsnivå påverkar tjänstens inloggningsalternativ, till exempel om användaren kan logga in i tjänsten med en personlig kod eller om det krävs en viss typ av e-legitimation.

Tillitsnivåer för e-legitimering

Id-handling i app för legitimering vid personligt besök

En id-handling i app är till skillnad från e-legitimationen tänkt att användas vid personligt besök precis som ett traditionellt id-kort. En e-legitimation används för att legitimera sig på distans oftast via en e-tjänst.

De organisationer som avser förlita sig på id-handlingar i en app behöver själva avgöra om id-handling i app är godtagbart eller inte. I Sverige finns det ingen generell lagstiftning som anger vilka sätt att legitimera sig som är godtagbara eller vilka legitimationssätt som måste accepteras. Som fullgod svensk id-handling räknas allmänt nationellt id-kort, Skatteverkets id-kort, körkort, svenskt pass i vinröd pärm och SIS-märkt id-kort. En verksamhetsutövare kan dock även godta andra former av id-handlingar, men är också fri att neka dessa.

Digg granskar och godkänner e-legitimationer enligt reglerna i Tillitsramverket för svensk e-legitimation. Reglerna omfattar utgivning av e-legitimationerna och användning av dem i e-tjänster på distans.
Tillitsramverket innehåller dock inga regler kring hur en identitet kan kontrolleras elektroniskt vid ett personligt besök. För att sådan kontroll ska kunna ske säkert kan det krävas vissa digitala verktyg av olika slag som läser av och verifierar id-handlingen. Granskning av dessa verktyg ingår inte i Diggs granskning.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: