Agenda förmiddag Presentation av närvarande samt våra roller Syfte med dagen Bakgrund till e-leg nämnden (Elisabeth) Bakgrund till testbädden Introduktion till identitetsfederationer Frågor / kommentarer / kontaktuppgifter Avslut Bensträckare ca 5 min var 45:e min!

Introduktion till federationer EID2.0 WS 2012-09-05 Valter Nordh Göteborgs universitet / SUNET

Presentation av närvarande SUNET E-legitimationsnämnden Övriga deltagare

Syfte med dagen Att få en insyn i hur olika element i en identitetsfederation samverkar Skapa en gemensam grund att stå på för kommande workshops inom EID2.0 arbetet Forum för teknikfrågor

Bakgrund till e-leg nämnden Kort bakgrund till E-legitimationsnämnden

Bakgrund till testbädden Testbädden för Eid 2.0 är en teknisk infrastruktur för test och utveckling av infrastrukturen för e-legitimationer, elektronisk identifiering och signeringstjänster i Sverige. SUNET och E-legitimationsnämnden har i samarbete tagit fram testmiljön https://docs.eid2.se/ SUNET har driftserfarenhet av SWAMID, den akademiska identitetsfederationen sedan 2007.

Introduktion till identitetsfederationer Varför id-federationer? Tillit kontra kostnad Olika typer av tillit Exempel på federationer Identitets utfärdare (IdP) Vad är tillitsnivåer för identiteter? Tillitsramverk Tjänsteleverantör (SP) Behov Attribut och identifierare Personlig E-legitimation kontra E-legitimering i tjänsten Attributsutfärdare (AA) Anvisningstjänst (DS) Single Sign On, SSO? Policy, det gemensamma regelverket Övrigt

Varför id-federationer? Bygger på att återanvända utfärdade identiteter Vad kostar en identitet per år? Utfärdande, användande, lösenordsförfrågningar, incidenthantering mm? Ekonomi samt skapar gemensam infrastruktur för alla aktörer att dra nytta av e-id. Skalekonomi!

Tillit kontra kostnad Ju mindre cirkel – dess större tillit. Hur skapar vi tillit till en identitet ”långt” borta? Gemensamma regelverk! Annat exempel – outsourcing kontra intern drift Vad är kostnaden att underhålla egna identiteter? Jmfr pass/körkort som stora internationella federationer som vi har tillit till idag. Hävstångseffekten

Olika typer av tillit Vilka olika typer av tillit har vi? Teknisk tillit (diskuteras i em) Policymässig tillit, förtroende Styrs genom det regelverk som e-legitimationsnämnden arbetar fram

Exempel på federationer Två exempel på federationer i drift idag: Eduroam (radius baserad, ger tillgång till trådlöst internet) SWAMID (Högre utbildning i Sverige, webb baserad SSO) Antal inloggningar per månad eduroam ca 2M SWAMID, ca 35 IdPer, ca 100SP

Identitets utfärdare (IdP) Vad är en Identitetsutfärdare? Idag – typiskt BankId Vad krävs av en Identitetsutfärdare? Ha avtal med federationsoperatören för deltagande i federationen. Att gå i god för utfärdade identiteter Ha en ”godkänd” process för utfärdande av identiteter Följa det uppsatt regelverk (policy) Vid en inloggning mot en SP släppa korrekt/efterfrågad information om användaren Relatera till den remiss om regelverk som är ute nu

Identitets utfärdare (IdP) Vad är tillitsnivåer för identiteter? Finns det olika nivåer på identiteter? Internationellt talas det om 4 nivåer (LoA, Level of Assurance) 1 2 3 4 Jmfr Skatteverket deklarera utan att ändra kontra K4 och / eller SEB, flytta pengar i appen / på webben

Identitets utfärdare (IdP) Vad är tillitsnivåer för identiteter? Kostnaden ökar med ökande tillitsnivå Arbetsinsatsen för att använda en identitet ökar också med ökande tillitsnivå. Bedömning – vad är rimligt att använda? Vilken / Vilka nivåer kommer Sverige att ha? Referera till förslaget som är ute på remiss igen.

Identitets utfärdare (IdP) Tillitsramverk Tillitsramverk erbjuder ett standardiserat sätt att bla beskriva tidigare nämnda tillitsnivåer. Vad krävs för att en identitet skall vara nivå X? Vad krävs av en IdP för att få lov att utfärda identiteter på nivå Y? Kan en IdP utfärda biljetter på olika tillitsnivåer?

Tjänsteleverantör (SP) En tjänsteleverantör (SP) konsumerar Identitetsintyg från en Identitetsutfärdare. Typiska tjänsteleverantörer är myndigheter som interagerar med medborgare där vi har behov av att identifiera oss. Vilka behov av tillitsnivåer behöver vi som myndigheter för våra respektive tjänster?

Tjänsteleverantör (SP) Vilka behov har en tjänsteleverantör? Identifiering av användare Attribut / Information om användaren Hur styrs behörigheten hos en tjänsteleverantör när autentiseringen sker via en Identitetsutfärdare? Två modeller Genom tillit till externa attribut Genom upprätthållande av intern behörighetsstruktur, kopplad till en identifierare En kombination av ovan

Attribut och identifierare Attribut är information om användaren. Attribut kan innehålla i princip vad som helst. De vanligaste attributen kan vara: Namn Adress Personnummer E-post Identifierare E-legitimationsnämnden tar fram en lista på ”standard” attribut Dema https://sp.swamid.se samt https://sp.edi2.se

Attribut och identifierare Attribut ger ett stort extra mervärde till federationen. Hur fastställs vem som är auktoritativ för vissa attribut? Personnummer? Vill vi använda personnummer i alla lägen – vi har en unik identifierare som kan användas istället. Vad ställer det för krav på oss som myndigheter? Har vi eptid i edi2.0? Referens id. Vi skall vara lyckliga i Sverige som har personnummer – mycket i våra liv är enklare tack vare detta!

Attribut och identifierare Personlig E-legitimation kontra E-legitimering i tjänsten Den personliga e-legitimationen används kompletterad med ett attribut som auktoriserar användaren att agera för berörd organisation i viss roll. Berörd organisation utfärdar tjänste-e-legitimationer som innehåller information om vem som agerar å organisationens vägnar. För och nackdelar. Kolla detta med Elisabeth om vägval redan gjorts.

Attributsutfärdare (AA) Exempel på när vi önskar mer information om en användare är tex bolagsverket och firmatecknare Se tavlan Rita upp flödet på tavlan

Anvisningstjänst (DS) Hur vet en Tjänsteleverantör vilken Identitetsutfärdare som en slutanvändaren använder sig av? Någon gång måste en användare peka ut/välja vilken Identitetsutfärdare som slutanvändaren använder. Denna tjänst kallas anvisningstjänst (DS) Tar en lista på IdP:er och presenterar för användaren. Demonstrera tre olika alternativ https://foodl.org/ https://sp.swamid.se/ https://portal.nordu.net/pages/viewpage.action?pageId=31201485

Anvisningstjänst (DS) Tar en lista på IdP:er och presenterar för användaren. Demo: https://sp.eid2.se/ Demonstrera tre olika alternativ https://foodl.org/ https://sp.swamid.se/ https://portal.nordu.net/pages/viewpage.action?pageId=31201485

Single Sign On, SSO? Vad händer efter att en användare loggat in mot en Tjänsteleverantör och sedan vill nyttja en annan tjänst? Alt 1: Användaren loggas in ”automatiskt”, så kallad Single Sign On (SSO) Alt 2: Användaren behöver logga in på nytt Konfigurerbart! För / Nackdelar med dessa Nämna Single Sign Out också

Policy, det gemensamma regelverket Viktiga pusselbitar i en Identitetsfederation: Identitetsutfärdare Tjänsteleverantörer Attributleverantörer Anvisningstjänst Tillitsnivåer Sammanknytningen av hur dessa interagerar regleras i federationspolicyn (regelverket) som nu är ute på remiss Hearing 13 sep, se e-leg nämndens hemsida!

Övrigt Alla övriga frågor

Frågor / kommentarer / kontaktuppgifter Kontaktuppgifter: E-legitimationsnämnden, se http://www.elegnamnden.se/ Tekniska testbädden, https://docs.eid2.se/

Tack för att ni lyssnat! Valter Nordh