Anslut till Sweden Connect
Du som är offentlig eller privat aktör kan ansluta dig till Sweden Connect för att få tillgång till inloggning med svenska och utländska e-legitimationer i dina e-tjänster. Här kan du läsa om hur du ansluter.
Så fungerar det
Både offentliga och privata aktörer kan ansluta sina e-tjänster till Sweden Connect. Genom Sweden Connect får du tillgång till inloggning med både svenska och utländska e-legitimationer i dina e-tjänster. De utländska e-legitimationer som ingår är de som anmälts av andra eIDAS-anslutna länder.
Innan du ansluter
Teckna avtal om anslutning
Innan du kan ansluta till Sweden Connects QA- eller produktionsmiljö behöver du teckna avtal med oss på DIGG. Du kan läsa mer och hitta avtal på vår webbplats digg.se.
Säkerställ förkunskaper
För att kunna integrera med Sweden Connect behöver du erfarenhet av att arbeta med SAML 2.0. Du behöver också ha läst DIGG:s tekniska ramverk för att förstå exakt hur SAML 2.0 används i Sweden Connect.
Om du planerar att ansluta din tjänst till utländska e-legitimationer via eIDAS behöver du ha en konceptuell förståelse för hur eIDAS fungerar, men du behöver inte förstå eller implementera eIDAS tekniska protokoll eftersom dessa hanteras av Sweden Connect i connector-tjänsten.
Testa metadata i sandbox-miljön
Sweden Connect finns som tre separata miljöer: test (sandbox), QA och produktion. Sandbox är öppen för alla och kräver inte avtal med oss, det betyder att du kan utveckla och testa samtidigt som du förbereder inför produktion.
Vi rekommenderar att du använder sandbox för att bekanta dig med och verifiera olika SAML-implementationer innan du går vidare med anslutningen.
Så ansluter du
1. Konfigurera e-tjänsten
Säkerheten i Sweden Connect är baserad på signerad SAML-metadata. Konfigurera e-tjänsten att läsa metadata från Sweden Connects metadataregister.
2. Skapa metadata för tjänsten
Metadata innehåller information som är viktig för att tjänster och e-legitimationsutfärdare ska kunna samverka inom Sweden Connect, till exempel de nycklar/certifikat som krävs för säker informationsutväxling. I metadata behöver du också bland annat ange vilken tillitsnivå tjänsten accepterar, och om du är ansluten till Valfrihetssystem eller den svenska eIDAS-noden, för att legitimeringsprocessen ska fungera.
Alla tjänster och e-legitimationsutfärdare som ansluts till Sweden Connect måste följa tekniskt ramverk. En viktig del av kraven i tekniskt ramverk handlar om hur SAML-metadata utformas och används. Det är därför viktigt att metadata är korrekt för att vi ska godkänna publicering i Sweden Connects produktionsmiljö.
Läs mer om hur metadata måste se ut:
3. Validera metadata
Validera e-tjänstens SAML-metadata med hjälp av Sweden Connects metadatavalidator, för att kontrollera att metadata uppfyller kraven i tekniskt ramverk. Detta är en förutsättning för att få ansluta till Sweden Connect.
Sweden Connects metadatavalidator
Länk till annan webbplats.
4. Registrera metadata
Registrera SAML-metadata för e-tjänsten, så att tjänsten kan kommunicera med andra tjänster i Sweden Connect. Vi rekommenderar att ni först testar anslutningen i Sweden Connects QA-miljö, innan ni skickar in metadata till produktion.
Du registrerar metadata i QA eller produktion genom att skicka en fil till oss via e-post. Det är viktigt att du anger vilken av miljöerna du vill att metadata ska registreras i. Tänk på att vi inte tillåter att samma tjänst används i både QA och produktion.
Vi registreringen kontrollerar vi:
- Att metadata uppfyller kraven i tekniskt ramverk. För att handläggningen ska gå så snabbt som möjligt är det därför viktigt att du har använt metadatavalidatorn enligt steg 3.
- Att den anslutande aktören har tecknat ett avtal med oss.
- När det gäller legitimeringstjänster kontrollerar vi också att de är granskade och godkända av oss.
5. Testa
Testa så att anslutningen fungerar som den ska.
6. Nu är ni anslutna!
Tänk på att:
- uppdatera er metadata vid förändringar
- ni som är anslutna till Sweden Connect för utländska e-legitimationer måste också rapportera incidenter till oss.
Lär dig mer
Frågor och svar
eIDAS är en EU-förordning som gäller som lag. eIDAS innehåller regler för gränsöverskridande elektronisk identifiering (e-legitimering) och betrodda tjänster.
Enligt eIDAS behöver varje medlemsland tillhandahålla en så kallad landsnod, en anslutningspunkt där e-legitimationstrafiken kontrolleras och ”översätts” till respektive lands identitetsmetod. I Sverige är landsnoden ansluten till Sweden Connect.
Syftet med eIDAS är att stödja den digitala inre marknaden inom EU. Exempel på användningsområden är att:
- en svensk medborgare som är bosatt utomlands ska kunna använda landets e-legitimation för att komma åt svenska myndigheters e-tjänster.
- en svensk medborgare ska kunna använda en svensk e-legitimation för att komma åt e-tjänster i ett annat EU-land.
- en medborgare i annat EU-land ska kunna komma åt vissa svenska myndigheters t-tjänster utan att behöva skaffa en svensk e-legitimation.
eIDAS står för Electronic Identification, Authentication and Trust Services.
EU-förordningen eIDAS (EU) 910/2014 (europa.eu)
Länk till annan webbplats.
Anslutningen är kostnadsfri för offentliga aktörer, medan privata aktörer får betala en avgift. Du kan läsa mer om avgiften på DIGG:s webbsida för privata aktörer.
E-legitimering för dig som privat aktör (digg.se)
Länk till annan webbplats.
Vi rekommenderar att man som tjänsteägare ställer krav på att de system som upphandlas är anslutna till Sweden Connect. Detta krav innebär att du kan vara säker på följande:
- Din tjänst kommer fungera ihop med Sweden Connect fullt ut och därmed också med eIDAS.
- Integratörens platform blir verifierat mot de funktionella kraven i tekniskt ramverk.
Genom att ställa krav på anslutning till Sweden Connect är man alltså både säker på att tekniskt ramverk är uppfyllt men även att kravuppfyllelse är baserat på mer än löften från en leverantör utan även på tester och verifiering som genomförs i samband med anslutningen till Sweden Connect.
Har du erfarenhet av att använda SAML 2.0 i så kallade SaaS eller enterprise-tjänster så behöver du vara medveten om några viktiga skillnader:
- Er programvara måste kunna hantera alla krav i tekniskt ramverk.
- Er programvara måste kunna använda metadata som innehåller mer än en IdP.
- Connector-tjänsten hos Sweden Connect fungerar som en IdP.
- Er programvara måste kunna hantera uppdatering av metadata kontinuerligt och utan att kräva omstarter.
Vi rekommenderar att man utgår ifrån en färdig SP-implementation för SAML 2.0 som kan anpassas för att uppfylla kraven i tekniskt ramverk. Vi avråder starkt ifrån att försöka implementera en SP endast med utgångspunkt från ett SAML-bibliotek (tex i Java eller .Net). Skillnaden mellan ett SAML-bibliotek och en SP-implementation motsvarar en stor arbetsinsats och representerar i de flesta fall mycket kunskap om hur SAML fungerar i federationer. Att avkoda SAML-meddelanden (vilket är vad ett SAML-bibliotek gör) och att ha en fungerande SP är två skilda saker.
Dokument och länkar
digg.se
- E-legitimering för offentlig aktör (digg.se) Länk till annan webbplats.
- E-legitimering för privat aktör (digg.se) Länk till annan webbplats.
- E-legitimering för leverantör (digg.se) Länk till annan webbplats.