Till innehållet

Entitetskategorier och tillitsnivåer

Här kan du läsa om regler och rutiner för hur tillitsnivåer och entitetskategorier ska hanteras inom Sweden Connect.

Identifierare för tillitsnivåer

En identifierare för en tillitsnivå (authentication context) används i SAML-intyg för att informera om enligt vilken tillitsnivå en en legitimering utförts. Baserat på intyget kan mottagande entitet avgöra "styrkan" på legitimeringen.

En legitimeringstjänst (Identity Provider) ska annonsera vilken eller vilka tillitsnivåer den kan leverera, och är godkänd för att leverera genom att inkludera entitetsattributet "urn:oasis:names:tc:SAML:attribute:assurance-certification" i sin metadata och där ange dessa identifierare.

Identifierare docs.swedenconnect.se för tillitsnivåer finns definierade i Tekniskt ramverk, under kapitel 3.1.1 i specifikationen Swedish eID Framework - Registry for identifiers.

Swedish eID Framework - Registry for identifiers

Regler för identifierare 

Här kan du läsa om vilka identifierare som för närvarande är aktuella inom Sweden Connect, och vilka regler som gäller för dess användning:

Tillitsnivå - identifierare

Rutin vid registering i QA och produktion

loa3

http://id.elegnamnden.se/loa/1.0/loa3

Vid registrering av metadata verifieras att legitimeringstjänsten är certifierad för tillitsnivå 3 enligt Tillitsramverket för Svensk e-legitimation.

loa3-sigmessage

http://id.elegnamnden.se/loa/1.0/loa3-sigmessage

Ska inte längre användas.

uncertified-loa3

http://id.swedenconnect.se/loa/1.0/uncertified-loa3

En legitimeringstjänst som inte certifierats för tillitsnivå 3 har inte rätt att annonsera loa3, och inte heller skapa SAML-intyg som innehåller identifieraren för loa3. De legitimeringstjänster som gör en självdeklaration att de uppfyller kraven för tillitsnivå 3, men ännu inte granskats och godkänts enligt Tillitsramverket för Svensk e-legitimation ska därför använda sig av uncertified-loa3.

uncertified-loa3-sigmessage

http://id.swedenconnect.se/loa/1.0/uncertified-loa3-sigmessage

Ska inte längre användas.

Tekniskt ramverk definierar också en rad identifierare för legitimering mot eIDAS (se kapitel 3.1.1 av specifikationen Swedish eID Framework - Registry for identifiers). Dessa kan endast deklareras av den officiella svenska eIDAS-noden.

Swedish eID Framework - Registry for identifiers

Detta innebär att de legitimeringstjänster i Sweden Connect som eventuellt vill erbjuda eIDAS som ett inloggningsalternativ (proxy-IdP:er) inte får använda de identifierare som definieras i kapitel 3.1.1 av Swedish eID Framework - Registry for identifiers.

Nedan följer en listning av de URI:er som kan användas i dessa fall:

  • http://id.swedenconnect.se/loa/1.0/uncertified-eidas-low - Används om proxytjänsten tar emot "http://id.elegnamnden.se/loa/1.0/eidas-low" eller "http://id.elegnamnden.se/loa/1.0/eidas-nf-low" från den svenska eIDAS-noden.

  • http://id.swedenconnect.se/loa/1.0/uncertified-eidas-sub - Används om proxytjänsten tar emot "http://id.elegnamnden.se/loa/1.0/eidas-sub" eller "http://id.elegnamnden.se/loa/1.0/eidas-nf-sub" från den svenska eIDAS-noden.

  • http://id.swedenconnect.se/loa/1.0/uncertified-eidas-high - Används om proxytjänsten tar emot "http://id.elegnamnden.se/loa/1.0/eidas-high" eller "http://id.elegnamnden.se/loa/1.0/eidas-nf-high" från den svenska eIDAS-noden.

Notera: Tabellen ovan diskuterar certifiering enligt Tillitsramverket för Svensk e-legitimation, och även de legitimeringstjänster som inte är certifierade har möjlighet att ansluta till Sweden Connect-federationen. Dock måste alla legitimeringstjänster som ansluts uppfylla Tekniskt ramverk. Detta ska styrkas genom interoperabilitetstester.

Entitetskategorier

Specifikationen Entity Categories for the Swedish eID Framework definierar fyra typer av SAML-entitetskategorier. Följande kapitel går igenom de olika typerna och vad som gäller för dess användande.

Entity Categories for the Swedish eID Framework

Ett av syftena med entitetskategorier är att kunna, baserat på en e-tjänst (SP), kunna avgöra vilka legitimeringstjänster (IdP:er) denna SP kan använda för att legitimera sina användare. Matchningslogik för skapande av en så kallad. Discovery Service (anvisningstjänst) finns beskrivet i kapitel 1.3 och 1.4 av Entity Categories for the Swedish eID Framework.

Även om en given e-tjänst (SP) inte nyttjar en central anvisningstjänst är det viktigt att rätt entitetskategorier deklareras i dess metadata. Entitetskategorier används nämligen också av legitimeringstjänster för att avgöra vilka attribut som ska släppas i ett SAML-intyg (Service Entity Categories), för att avgöra om ett anrop ska betjänas baserat på avtalsförhållanden (Service Contract Categories), eller som styrmekanismer (Service Type Categories).

Service Entity Categories

Entitetskategorier av typen "Service Entity Category" används av legitimeringstjänster (IdP) för att annonsera vilka typer av legitimering som levereras, och av e-tjänster (SP) för att deklarera vilken, eller vilka typer, av legitimering de önskar använda.

Följande, för Sweden Connect-federationen, relevanta kategorier definieras av Tekniskt ramverk:

Identifierare
Beskrivning
Rutin vid registrering i QA och produktion
Legitimering enligt loa3 med attributsläpp enligt Natural Personal Identity with Civic Registration Number.
Vid registrering av legitimeringstjänst (IdP) i metadata verifieras av denna är certifierad enligt tillitsnivå 3 (se loa3 ovan). För en e-tjänst (SP) som deklarerar denna identifierare görs ingen vidare kontroll.
Legitimering enligt någon av de definierade eIDAS-nivåerna (se kapitel 3.1.1 av Swedish eID Framework - Registry for identifiers) och attributsläpp enligt eIDAS Natural Person Attribute Set.
Endast den svenska eIDAS-noden har som legitimeringstjänst (IdP) rätt att deklarera denna identifierare. För en e-tjänst (SP) så skall den deklareras för att kunna erhålla korrekt uppsättning attribut vid legitimering mot den svenska eIDAS-noden. En SP måste också deklarera Service Contract-identifieraren sweden-connect (se nedan) för att kunna skicka legitimeringsbegäran till den svenska eIDAS-noden.
Kategori som används för att markera legitimering av svenska medborgare mot eIDAS.
Får endast tilldelas den svenska eIDAS Proxy Service-noden samt den, eller de, legitimeringstjänster som har avtal och är godkända för att leverera legitimering mot eIDAS.

Utöver de ovan beskrivna kategorierna definierar Sweden Connect följande entitetskategori av typen "Service Entity Category":

Entitetskategori

Beskrivning

uncertified-loa3-pnr

http://id.swedenconnect.se/ec/sc/uncertified-loa3-pnr

Motsvarigheten till loa3-pnr för legitimeringstjänster som inte certifierats enligt loa3 men som gör en självdeklaration att dessa uppfyller kraven för tillitsnivå 3.
Intyg som utfärdas av legitimeringstjänster som erbjuder tjänster enligt uncertified-loa3-pnr innehåller sålunda uncertified-loa3 istället för loa3.
De e-tjänster (SP) som deklarerar denna identifierare gör en utfästelse att de accepterar dessa typer av legitimeringstjänster.

Service Property Categories

Entitetskategorier av typen "Service Property" används för att definiera en viss egenskap för en tjänst (service property).

Följande definitioner finns:

Identifierare
Beskrivning
Rutin vid registering i QA och produktion
Egenskap som indikerar att en tjänst är anpassad för mobila enheter. För en legitimeringstjänst (IdP) innebär det att om denna identifierare är deklarerad så kan en mobil enhet användas för legitimering samt att användargränssnittet är mobilanpassat.
Ingen kontroll utförs gällande denna entitetskategori.
Indikerar att en tjänst är anpassad för, och stödjer, "Sole Control Assurance Level 2 (SCAL2)" enligt Signature Activation Protocol for Federated Signing.
För en legitimeringstjänst krävs bevis på fullgott stöd för att inkludera SAD-attribut i SAML-intyg. Detta valideras i samband med testning för uppfyllande av Tekniskt ramverk.

Service Type Categories

Entitetskategorier av typen "Service Type" används för att definiera olika typer av tjänster inom federationen.

Följande definitioner finns:

Identifierare
Beskrivning
Rutin vid registering i QA och produktion
Indikerar att tjänst som deklarerar denna identifierare är en underskriftstjänst (signature service SP).
Ingen kontroll utförs gällande denna entitetskategori annat än att skapande organisation uttryckligen skall notifiera federationsoperatören om att aktuell tjänst är en underskriftstjänst.
En e-tjänst som deklarerar denna identifierare är en tjänst i offentlig sektor. Den svenska eIDAS-noden kräver att en tjänst antingen deklarerar public-sector-sp eller private-sector-sp.
En kontroll utförs för att säkerställa att aktuell tjänst är en tjänst för offentlig sektor.
En e-tjänst som deklarerar denna identifierare är en tjänst i private sektor. Den svenska eIDAS-noden kräver att en tjänst antingen deklarerar public-sector-sp eller private-sector-sp.

En kontroll utförs för att säkerställa att aktuell tjänst är en tjänst för privat sektor.

Notera: För närvarande är det endast möjligt för tjänster för offentlig sektor att anslutas för eIDAS-trafik.

Service Contract Categories

Entitetskategorier av typen "Service Contract" används för att deklarera avtalsrelationer mellan parter inom federationen.

Sweden Connect definierar följande identifierare för "Service Contract":

Identifierare
Beskrivning
Rutin vid registering i QA och produktion

sweden-connect

 

http://id.swedenconnect.se/contract/sc/sweden-connect

Identifierare som indikerar att part har skrivit på "Avtal med förlitande part beträffande funktioner för elektronisk identifiering Sweden Connect".

Endast parter som skrivit på detta avtal har rätt att anslutas till Sweden Connect-federationen.

Kontroll utförs för att säkerställa att organisationen som registrerar entitet för metadata har tecknat Sweden Connect-avtalet.
eid-choice-2017

http://id.swedenconnect.se/contract/sc/eid-choice-2017

Identifierare som indikerar att part har tecknat avtal om Valfrihetssystem 2017 E-legitimering.

Endast e-tjänster som tecknat detta avtal har rätt att skicka legitimeringsbegäran till legitimeringstjänster inom valfrihetssystem 2017.

Kontroll utförs för att säkerställa att organisationen som registrerar entitet för metadata ingår i "Valfrihetssystem 2017 E-legitimering".

Beskrivning av ovanstående avtal finns på www.digg.se.