Tekniska anslutningsregler för Sweden Connect-federationen

2024-05-13

Specifikation gällande aktörer som ansluter till Diggs identitetsfederation Sweden Connect.


Innehållsförteckning

  1. Introduktion

    1.1. Avtal

    1.1.1. Valfrihetssystem 2017

    1.1.2. Internationell legitimering - eIDAS

    1.1.3. eID för medarbetare

    1.1.4. Bilaterala avtal om legitimering

    1.2. Tillitsnivåer och identifierare för legitimering

    1.2.1. Svenska tillitsnivåer

    1.2.2. Tillitsnivåer enligt eIDAS

    1.2.3. Identifierare för tillitsnivåer

    1.3. Legitimeringstjänster inom Sweden Connect

    1.3.1. Granskning avseende uppfyllnad av Tekniskt ramverk

    1.3.2. Publicering av instanser till Sweden Connect-miljöer

    1.3.3. Specifika krav för aktörsspecifika legitimeringstjänster

    1.3.4. Uppfyllnad av Tekniskt ramverk över tid

  2. Legitimering och leverans av identitetsintyg

    2.1. Användargränssnitt

    2.1.1. Felhantering och rapportering

    2.1.2. Information om identitetsattribut

    2.2. Krav rörande Single-sign-on

    2.3. Krav på attributleverans

    2.3.1. Leverans av intyg till den svenska eIDAS-noden

    2.3.2. Övriga attribut

    2.4. Specifika krav rörande Tillitsnivå 4

  3. Metadata

    3.1. Registrering av organisationsinformation

    3.2. Registrering av visningsnamn och logotyp

    3.3. Registrering av tillitsnivåer

    3.4. Registrering av Service Entity Category-värden

    3.4.1. loa3-pnr

    3.4.2. loa4-pnr

    3.4.3. loa3-orgid

    3.4.4. loa4-orgid

    3.4.5. loa3-name

    3.4.6. loa4-name

    3.4.7. eidas-naturalperson

    3.4.8. eidas-pnr-delivery

    3.5. Registrering av typ av förlitande part - Service Type Category

    3.5.1. Indikator för underskriftstjänst

    3.5.2. Indikator för offentlig eller privat sektor

    3.6. Registrering av tecknade avtal

    3.6.1. Sweden Connect-avtal

    3.6.2. Bilaterala avtal

    3.6.3. Valfrihetssystem 2017

    3.6.4. eID för medarbetare

    3.7. Metadataregler gällande organisationsidentiteter

    3.8. Metadataregler gällande samordningsnummer

    3.9. Metadataregler gällande tillitsnivå 4 (LoA 4)

  4. Versioner av detta dokument

1. Introduktion

Detta dokument är en normativt styrande specifikation gällande aktörer som ansluter till Diggs identitetsfederation Sweden Connect.

Givet de olika avtalen för leverantörer och deltagare inom federationen definieras specifika krav baserat på avtalens utformning och de tekniska kraven i Sweden Connect - Tekniskt ramverk.

1.1. Avtal

Deltagare inom Sweden Connect-federationen har tecknat ett, eller flera, anslutningsavtal. Dessa avtal definierar vilken typ av legitimering som levereras/efterfrågas, samt områden såsom avgifter och ansvarsfrågor. Denna specifikation berör endast de tekniska aspekterna av de olika avtalen, d.v.s., hur legitimering går till och vilka krav som ställs på en viss aktör rörande registrering etc.

1.1.1. Valfrihetssystem 2017

Valfrihetssystem 2017 är ett avtal som ger förlitande parter tillgång till godkända, och granskade, legitimeringstjänst(er) som levererar identitetsintyg utställda enligt tillitsnivå 3 (eller 4), och innehållande person- eller samordningsnummer.

Endast offentliga förlitande parter kan teckna detta avtal.

Legitimeringstjänster som levererar enligt Valfrihetssystem 2017 har tecknat Anslutningsavtal för leverantör avseende Valfrihetssystem 2017 e-legitimering.

1.1.2. Internationell legitimering - eIDAS

För att en svensk förlitande part ska få tillgång till eIDAS-legitimering tecknas avtalet Avtal med förlitande part beträffande funktioner för elektronisk identifiering - Sweden Connect.

Detta avtal ger en förlitande part rätt att nyttja den svenska eIDAS-noden för legitimering av personer som innehar ett utländskt eID.

Både offentliga och privata aktörer kan teckna detta avtal. Notera dock att eIDAS-legitimering för "private sector" i dagsläget har dåligt, eller inget, stöd bland de anslutna länderna.

1.1.3. eID för medarbetare

Förlitandeavtal - Förbetald e-legitimering ger en förlitande part rätt att nyttja de legitimeringstjänster inom Sweden Connect som levererar identitetsintyg baserat på legitimering utförd med e-tjänstelegitimation. För dessa legitimeringstjänster krävs även en godkänd tillitsgranskning enligt nivå 2, 3 eller 4 och att de levererar enligt Anslutningsavtal för utfärdare av e-tjänstelegitimationer - Förbetald e-legitimering.

Både offentliga och privata förlitande parter kan teckna Förlitandeavtal - Förbetald e-legitimering.

Se vidare:

1.1.4. Bilaterala avtal om legitimering

En förlitande part som har tecknat Avtal med förlitande part beträffande funktioner för elektronisk identifiering - Sweden Connect kan också teckna bilaterala avtal med leverantörer angående legitimeringstjänster som inte erbjuds via de befintliga Digg-avtalen. Detta kan till exempel vara en tredjeparts-legitimeringstjänst för BankID (som inte finns som officiell legitimeringstjänst i Sweden Connect).

Aktören har i dessa fall rätt att begära av federationsoperatören (Digg) att dessa "aktörsspecifika" legitimeringstjänster publicerar sin metadata i Sweden Connect-federationen (under aktörens ansvar). Se kapitel 1.3.3 nedan.

Notera: Leverantörer som levererar t.ex. BankID-tjänster inom Sweden Connect kan ha avtal med flera olika förlitande parter. Leverantören kan då ha en instans av en legitimeringstjänst i Sweden Connect som delas mellan de olika förlitande parterna. Federationsoperatörens (Digg) krav är att samtliga förlitande parter som nyttjar denna instans meddelar Digg om detta.

1.2. Tillitsnivåer och identifierare för legitimering

Detta kapitel går igenom de tillitsnivåer som används inom Sweden Connect-federationen samt de olika identifierare som används för att representera olika typer av legitimering.

1.2.1. Svenska tillitsnivåer

Tillitsramverket för Svensk e-legitimation, definierar tre tillitsnivåer; 2, 3 or 4, varav tillitsnivå 3 och 4 för närvarande används inom Sweden Connect.

För att en legitimeringstjänst skall ha tillåtelse att legitimera och utfärda intyg enligt någon av dessa nivåer måste eID-utfärdaren och legitimeringstjänsten ha granskats och godkänts av Digg.

Se https://www.digg.se/digitala-tjanster/e-legitimering/bli-granskad-idp-leverantor för mer information angående ansökan om granskning.

1.2.2. Tillitsnivåer enligt eIDAS

EU-förordningen eIDAS, nr 910/2014, definierar tre olika tillitsnivåer: "low", "substantial" och "high". Dessa motsvarar i princip de svenska nivåerna 2, 3 och 4, men det finns vissa skillnader vilket gör att en översättning mellan nivåerna inte låter sig göras.

Svenska förlitande parter som legitimerar individer genom eIDAS-legitimering, via den svenska eIDAS-noden, måste därför kunna hantera tillitsidentifierare för eIDAS (se nedan).

1.2.3. Identifierare för tillitsnivåer

Inom Sweden Connect representeras en legitimeringoperation genom s.k. "Authentication Context URI:er". Dessa beskrivs i kapitel 3.1.1 av Swedish eID Framework - Registry for identifiers.

Detta kapitel går igenom dessa och redogör för vilka regler som gäller för dess användning.

[*]: För närvarande har den svenska eIDAS-noden ingen koppling mot annat än anmälda eID (eng. notified) enligt EU:s eIDAS-förordning.

Tillitsramverket för Svensk e-legitimation kräver att en individ som erhåller ett eID innehar ett svenskt personnummer (eller styrkt samordningsnummer). Då tjänstelegitimationer anskaffas av arbetsgivare enligt E-legitimering för medarbetare, och intygsleverans sker av legitimeringstjänst som leverarer enligt Anslutningsavtal för utfärdare av e-tjänstelegitimationer - Förbetald e-legitimering kan det förekomma att individer som inte innehar ett svenskt personnummer eller samordningsnummer tilldelas ett eID. Då dessa eID:n används för legitimering inom Sweden Connect får inte de ordinarie tillitsnivåerna för nivå 2 eller 3 användas. En legitimeringstjänst som är godkänd för nivå 2 eller 3, och som utfärdar intyg för dessa typer av eID:n skall då använda följande identifierare:

I båda ovanstående fall krävs att utfärdandet av e-legitimationen följer tillitsramverket med undantag av kravet på personnummer/samordningsnummer och med tilläggskraven för "non-resident".

Kapitel 1.1.4 och 1.3.3 redogör för hur icke-tillitsgranskade legitimeringstjänster kan användas inom Sweden Connect-federationen. Eftersom dessa legitimeringstjänster inte är godkända enligt tillitsramverket får de inte inkludera någon av de ovanstående identifierarna i identitetsintyg. Det står en tredjeparts-legitimeringstjänst fritt att definiera egna identifierare, men för att upprätthålla möjligheter för god interoperabilitet definieras ett antal identifierare i kapitel 3.1.1.2 av Swedish eID Framework - Registry for identifiers. Dessa är:

Notera att de inte finns möjlighet att begära granskning av en proxy-tjänst så att den kan leverera de officiella identifierarna för eIDAS. Detta kan endast den officiella svenska eIDAS-noden göra.

1.3. Legitimeringstjänster inom Sweden Connect

Kommande kapitel redogör för krav och regler gällande legitimering och metadataregistrering för legitimeringstjänster och förlitande parter inom Sweden Connect-federationen. Detta kapitel går igenom specifika regler som gäller för att en legitimeringstjänst skall få ansluta till Sweden Connect.

1.3.1. Granskning avseende uppfyllnad av Tekniskt ramverk

Gemensamt för alla legitimeringstjänster, oavsett om de har genomgått en tillitsgranskning eller inte, är att de måste granskas och godkännas med avseende på uppfyllnad av Sweden Connect - Tekniskt ramverk innan anslutning kan ske.

Begäran om en sådan granskning görs genom en dialog med Digg.

Följande steg ska genomföras:

När granskningen har slutförts och resultaten är godkända kan leverantören gå vidare för publicering av sin IdP-instans i Sweden Connect QA (se nedan).

1.3.2. Publicering av instanser till Sweden Connect-miljöer

Sweden Connect har tre olika miljöer:

En legitimeringstjänst som ansluter sig till Sweden Connect-federationen förbinder sig till att publicera en instans i Sweden Connect QA-federationen. Denna instans ska erbjuda samma funktionalitet som motsvarande instans i produktionsfederationen, med undantaget att endast testidentiteter får användas.

Det är alltså inte tillåtet att testa "nästa version av IdP:n" i Sweden Connect QA. Funktionaliteten måste motsvara produktionsfederationen. Testing av kommande versioner kan däremot med fördel utföras i Sweden Connect Sandbox.

Först när en lyckosam publicering av tjänsten utförts i Sweden Connect QA tillåts leverantören ansluta till Sweden Connect produktion.

1.3.3. Specifika krav för aktörsspecifika legitimeringstjänster

Med en "aktörsspecifik" legitimeringstjänst avses en tjänst som inte ingår som leverantör enligt något av de avtal som Digg tillhandahåller, utan är en legitimeringstjänst som läggs in i Sweden Connect under en förlitande parts ansvar (och avtal).

Även dessa legitimeringstjänster måste uppfylla Sweden Connect - Tekniskt ramverk och övriga regler som gäller för legitimeringstjänster inom federationen.

Tredjeparts-legitimeringstjänster som levererar BankID-legitimering måste uppfylla de krav som anges i Implementation Profile for BankID Identity Providers within the Swedish eID Framework.

1.3.4. Uppfyllnad av Tekniskt ramverk över tid

Nya versioner av de specifikationer som ingår i Sweden Connect - Tekniskt ramverk publiceras periodiskt av Digg. En legitimeringstjänst inom Sweden Connect måste stödja senast publicerade version senast 180 dagar efter versionen publicerats.

Digg kan komma att begära omgranskning av en legitimeringstjänst efter att en ny version av en specifikation i det Tekniska ramverket publicerats (om specifikationen är relevant för legitimeringstjänstens anslutningsavtal).

2. Legitimering och leverans av identitetsintyg

Deployment Profile for the Swedish eID Framework definierar hur en legitimeringsbegäran ("authentication request") ska byggas upp och hur leverans av identitetsintyg ska ske. Detta avsnitt kompletterar och förtydligar denna specifikation.

2.1. Användargränssnitt

Legitimeringstjänstens användargränssnitt måste utformas på ett sådant sätt att det tydligt framgår vilken förlitande part som har begärt legitimering. Visningsnamn och logotyp för den förlitande parten skall hämtas från den förlitande partens metadatapost, se kapitel 3.2 nedan.

2.1.1. Felhantering och rapportering

Eventuella fel som uppkommer under en legitimeringsprocess ska beskrivas tydligt för användaren, och användaren ska alltid ha en möjlighet att bekräfta att denne har tagit del av felmeddelandet. Då användaren bekräftar, d.v.s., klickar på “OK”, eller “Jag förstår”-knappen, skall ett SAML-responsmeddelande som indikerar felaktig autentisering postas tillbaka till den förlitande parten. Se vidare kapitel 6.4 av Deployment Profile for the Swedish eID Framework.

2.1.2. Information om identitetsattribut

En legitimeringstjänst bör i dess användargränssnitt upplysa användaren om vilka identitetsattribut som levereras för en given legitimering. Då legitimering sker enligt avtalet Valfrihetssystem 2017, eller motsvarande bilateralt avral, är detta inte ett strikt krav eftersom användaren i dessa fall förväntas förstå att personnummer levereras.

Om legitimeringstjänsten levererar enligt Anslutningsavtal för utfärdare av e-tjänstelegitimationer - Förbetald e-legitimering, d.v.s., e-legitimationenen som används är anskaffad via arbetsgivare, skall däremot legitimeringstjänsten alltid informera användaren om vilka identitetsinformation som levereras i ett intyg innan detta skickas tillbaka till den förlitande parten. Legitimeringstjänsten skall också erbjuda användaren ett sätt att avbryta legitimeringen efter denna information har visats.

Anledningen för detta krav är att beroende på den förlitande partens krav kring attributleverans kan intyget innehålla endast organisationsidentitet, både organisationsidentitet och personnummerinformation, eller enbart personnummerinformation. Eftersom vissa användare kan vara ovilliga att använda sitt personnummer i sin tjänsteutövning skall legitimeringstjänsten därför informera om vilka attribut som efterfrågas och inkluderas i intyget.

Legitimeringstjänsten är tillåten att “komma ihåg” eventuella svar kring tillåten attributleverans och inte visa upp denna information om användaren tidigare har godkänt attributleverans. Dock måste detta implementeras per förlitande part, d.v.s., per e-tjänst som användaren loggar in till.

2.2. Krav rörande Single-sign-on

En legitimeringstjänst i Sweden Connect kan välja att stödja Single-sign-on, d.v.s., utställande av intyg baserat på en tidigare utförd legitimering. Detta får ske om en legitimeringsbegäran inkommer inom 60 minuter sedan den ursprungliga legitimeringen utfördes. En legitimeringstjänst kan välja att ha en kortare sessionstid, men gränsen på 60 minuter får inte överskridas.

Varje gång en användare utför en fullständig legitimering hos legitimeringstjänsten flyttas tiden för den s.k. "ursprungslegitimeringen".

Kapitel 5.4.5 av Deployment Profile for the Swedish eID Framework redogör för krav rörande återanvänd legitimering. Detta kapitel utökar dessa krav med följande:

Om krav på visning av vilka identitetsattribut som levereras (se 2.1.2 ovan) gäller för en viss legitimeringsbegäran, så gäller detta även om intyget som ställs ut baseras på en tidigare utförd legitimering, d.v.s., användaren måste informeras angående levererade identitetsattribut även om ingen egentlig legitimering utförs.

2.3. Krav på attributleverans

Specifikationen Attribute Specification for the Swedish eID Framework deklarerar ett antal "attribute sets", eller attributuppsättningar. Attributen som refereras i dessa uppsättningar har en koppling också till den tillitsnivå som en legitimeringstjänst är granskad och godkänd enligt. Utöver dessa attribut definieras också ett antal övriga attribut i Attribute Specification for the Swedish eID Framework. Hur dessa kan användas inom Sweden Connect-federationen redogörs för i kapitel 2.3.2 nedan.

Kraven på attributleverans baserat på Diggs leveransavtal är enligt följande:

Anslutningsavtal för leverantör avseende Valfrihetssystem 2017 e-legitimering

En legitimeringstjänst som levererar legitimering för förlitande parter som tecknat Valfrihetssystem 2017 skall stödja följande attributuppsättningar:

Anslutningsavtal för utfärdare av e-tjänstelegitimationer - Förbetald e-legitimering

En legitimeringstjänst som levererar legitimering för förlitande parter som tecknat Förlitandeavtal - Förbetald e-legitimering skall stödja följande attributuppsättningar:

Den svenska eIDAS-connectorn

Den svenska eIDAS-connectorn (eIDAS-noden) levererar enligt följande attributuppsättning:

2.3.1. Leverans av intyg till den svenska eIDAS-noden

De legitimeringstjänster som har ett tillägsavtal med Digg om att kunna leverera identitetsintyg till den svenska eIDAS Proxy Service-noden (d.v.s., den eIDAS-nod som legitimerar innehavare av svenska e-legitimationer för inloggning i utländska e-tjänster) skall leverera enligt attributuppsättningen Natural Personal Identity with Civic Registration Number med det tillägg att också födelsedatum krävs.

Legitimeringstjänsten kan välja att även upplysa användaren om att identitetsuppgifter kommer att skickas till det land och den e-tjänst som begär legitimering samt inhämta användarens medgivande till att så sker. Huruvida en legitimeringstjänst implementerar ovanstående "consent"-dialog eller inte ska regleras med Digg.

En legitimeringstjänst som levererar intyg till den svenska eIDAS-noden kan välja mellan att acceptera begäran om legitimering från andra länder som begärts av privat aktör, eller välja att vägra sådana anrop. Om legitimeringstjänsten väljer att stödja legitimering från privata aktörer från andra länder så åligger det legitimeringstjänsten att avgöra vilka privata aktörer som accepteras och hur ersättning för utförd legitimering ska hanteras. Legitimeringstjänstens val att acceptera begäran från privat aktör regleras direkt med Digg då det inte specificeras genom legitimeringstjänstens metadata.

2.3.2. Övriga attribut

Kapitel 3 i Attribute Specification for the Swedish eID Framework definierar fler attribut än vad som pekas ut i de attributuppsättningar som refereras tidigare i detta kapitel. En legitimeringstjänst i Sweden Connect har rätt att leverera andra attribut än de som ingår i de attributuppsättningar som refereras ovan under följande förutsättningar:

<md:AttributeConsumingService index="0" isDefault="true">
  ...
  <md:RequestedAttribute Name="urn:oid:0.9.2342.19200300.100.1.3" isRequired="false" />
  <md:RequestedAttribute Name="urn:oid:2.5.4.20" isRequired="false" />
</md:AttributeConsumingService>

Exempel på hur en förlitande part begär leverans av attributen mail and telephoneNumber. Notera att isRequired är satt till false vilket innebär att den förlitande parten även accepterar intyg vilka inte inkluderar de önskade attributen.

2.4. Specifika krav rörande Tillitsnivå 4

En legitimeringstjänst som är godkänd för legitimering och intygsleverans på tillitsnivå 4 enligt tillitsramverket för Svensk e-legitimation bör stödja SAML-profilen SAML V2.0 Holder-of-key Web Browser SSO Profile. Användandet av "Holder-of-key" enligt Sweden Connect Tekniskt Ramverk specificeras i Deployment Profile for the Swedish eID Framework.

En legitimeringstjänst som är godkänd för legitimering och intygsleverans enligt tillitsnivå 4 som stödjer "Holder-of-key"-profilen skall också godkänna legitimeringsbegäran enligt ordinarie WebSSO-profil (d.v.s, ett anrop enligt Deployment Profile for the Swedish eID Framework som inte nyttjar "Holder-of-key").

En förlitande part kan välja att kräva legitimering enligt "Holder-of-key"-profilen för legitimeringstjänster som har annonserat stöd för detta.

För att den höjda säkerheten med användandet av "Holder-of-key" ska bibehållas är det viktigt att både legitimeringstjänsten (vid begäran) och den förlitande parten (vid intygsleverans) kräver att ett TLS-klientcertifikat presenteras. Se kapitel 3.9 nedan.

3. Metadata

Detta kapitel redogör för regler gällande registrering av SAML metadata samt hur de olika elementen ska tolkas.

Relevanta specifikationer:

3.1. Registrering av organisationsinformation

Alla aktörer, d.v.s., både legitimeringstjänster och förlitande parter, skall inkludera organisationsinformation i varje metadatapost som registreras.

En sådant element ser ut enligt följande:

<md:Organization>
  <md:OrganizationName xml:lang="sv">Myndigheten för digital förvaltning</md:OrganizationName>
  <md:OrganizationName xml:lang="en">Agency for digital government</md:OrganizationName>
  <md:OrganizationDisplayName xml:lang="sv">Myndigheten för digital förvaltning - Digg</md:OrganizationDisplayName>
  <md:OrganizationDisplayName xml:lang="en">Agency for digital government - Digg</md:OrganizationDisplayName>
  <md:OrganizationURL xml:lang="sv">https://www.digg.se/</md:OrganizationURL>
  <md:OrganizationURL xml:lang="en">https://www.digg.se/en</md:OrganizationURL>  
</md:Organization>

Exempel på hur organisationen Digg har registrerat organisationsinformation i metadata.

Regler och rutiner vid registrering av metadata:

3.2. Registrering av visningsnamn och logotyp

Alla aktörer, d.v.s., både legitimeringstjänster och förlitande parter, skall inkludera tjänstens visningsnamn och logotyp i varje metadatapost som registreras. Detta visningsnamn skall anges på svenska och bör också anges på engelska.

Notera att den logotyp som anges bör vara på ett sådant format och utformning att den kan användas på de flesta webbsidor. Till exempel är det inte lämpligt att förutsätta att logotypen ska visas upp enligt ett specifikt färgschema.

En förlitande parts logotyp kommer att visas upp i användargränssnittet hos en legitimeringstjänst och logotypen för en legitimeringstjänst kan komma att visas upp på "välj sätt att logga in"-sidor hos förlitande parter.

Exempel:

<mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
  <mdui:DisplayName xml:lang="sv">Testa ditt eID</mdui:DisplayName>
  <mdui:DisplayName xml:lang="en">Test your eID</mdui:DisplayName>
  <mdui:Description xml:lang="sv">Applikation för att testa ditt eID</mdui:Description>
  <mdui:Description xml:lang="en">Application for testing your eID</mdui:Description>
  <mdui:Logo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" height="80" width="228">
    https://test.swedenconnect.se/images/sc-logo.svg
  </mdui:Logo>
</mdui:UIInfo>

Exempel på hur Diggs tjänst "Testa ditt eID" registrerar visningsinformation.

Regler och rutiner vid registrering av metadata:

3.3. Registrering av tillitsnivåer

För legitimeringstjänster så skall alla tillitsnivåer, och varianter därav (se 1.2 ovan), som stöds deklareras i metadata. Detta görs via "assurance certification"-attributet.

Exempel:

<md:Extensions>
  <mdattr:EntityAttributes>
    <saml:Attribute Name="urn:oasis:names:tc:SAML:attribute:assurance-certification"
                    NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
      <saml:AttributeValue>http://id.elegnamnden.se/loa/1.0/loa3</saml:AttributeValue>
      <saml:AttributeValue>http://id.elegnamnden.se/loa/1.0/loa4</saml:AttributeValue>
    </saml:Attribute>
    ...

Metadataexempel för en legitimeringstjänst som är godkänd att leverera intyg enligt tillitsnivå 3 och 4.

Regler och rutiner vid registrering av metadata:

3.4. Registrering av Service Entity Category-värden

En entitetskategori (Entity Category) är ett attributvärde som deklareras i metadata i syfte att beskriva en viss egenskap hos en aktör inom federationen. En s.k. "Service Entity Category" används av både förlitande parter (SP) och legitimeringstjänster (IdP) för att deklarera vilka kombinationer av tillitsnivåer och attribut som stöds alterativt krävs.

Se kapitel 2 i specifikationen Entity Categories for the Swedish eID Framework för detaljer.

Ursprungligen infördes "Service Entity Category"-typen för att kunna härleda vilka legitimeringstjänster inom federationen som kunde leverera intyg till en viss förlitande part. Tanken var att dynamiskt kunna bygga upp en anvisningssida där alla legitimeringstjänster som erbjuder legitimering som kan nyttjas av den förlitande parten visades. Det finns i dagsläget ingen central anvisningstjänst (Discovery Service), och användningsområdet för denna typ av entitetskategorier är primärt att en legitimeringstjänst ska kunna härleda vilka attribut en viss förlitande part efterfrågar i samband med legitimering.

En förlitande part kan deklarera en eller flera "Service Entity Category"-värden i dess metadata. Baserat på deklarerade värden försöker en legitimeringstjänst härleda vilka attribut som ska ingå i ett utfärdat identitetsintyg. Denna enkla regel kan dock ställa till med problem. SAML erbjuder inget standardiserat sätt för en förlitande part att dynamiskt (d.v.s., per begäran) tala om för en legitimeringstjänst vilka attribut som efterfrågas, utan de verktyg som finns att tillgå är den data som deklarerats i den förlitande partens metadata.

Ponera att en förlitande part önskar personnummer och organisationsidentiet i intyg. Den kan då t.ex. deklarera både loa3-pnr och loa3-orgid (se nedan) i sin metadata. Men vad händer om den i vissa fall är intresserad av att erhålla personnummer, och i andra fall organisationsidentitet, men inte både attributen i samma intyg?

Lösningen i detta fall behöver vara så att den givna organisationen skapar två förlitande parter (SAML SP) och deklarerar loa3-pnr i metadata för den ena SP:n och loa3-orgid i metadata för den andra. Baserat på vilken typ av identitetsintyg som önskas i olika fall används korrekt SP.

Detta är långt ifrån en perfekt lösning, men tyvärr en nödvändighet. I och med införandet av OpenID Connect så kommer detta problem att försvinna eftersom denna teknik har ett större mått av dynamik, och varje enskild begäran kan innehålla information om önskade attribut.

Nedan följer beskrivningar och regler gällande både legitimeringstjänster och förlitande parter för relevanta "Service Entity Category"-värden definierade i kapitel 2 av specifikationen Entity Categories for the Swedish eID Framework:

3.4.1. loa3-pnr

Definition: Kapitel 2.1.2 i specifikationen Entity Categories for the Swedish eID Framework.

En deklaration av entitetskategorin http://id.elegnamnden.se/ec/1.0/loa3-pnr innebär följande:

För en legitimeringstjänst:

Legitimeringstjänsten deklarerar att den kan legitimera användare enligt tillitsnivå 3* och leverera intyg med attribut från attributuppsättningen Natural Personal Identity with Civic Registration Number.

För en förlitande part:

Den förlitande parten deklarerar att den kommer att begära legitimering enligt tillitsnivå 3* och att den begär leverans av attribut enligt uppsättningen Natural Personal Identity with Civic Registration Number.

[*]: Tidigare användes entitetskategorin http://id.swedenconnect.se/ec/sc/uncertified-loa3-pnr för leverans av personnummer efter en "loa3-uncertified" legitimering (se kapitel 1.2 ovan). I den senaste versionen av tekniskt ramverk är denna kategori "deprecated", och den officiella "loa3-pnr" kategorin täcker in även dessa fall.

Regler och rutiner vid registrering av metadata:

3.4.2. loa4-pnr

Definition: Kapitel 2.1.3 i specifikationen Entity Categories for the Swedish eID Framework.

En deklaration av entitetskategorin http://id.elegnamnden.se/ec/1.0/loa4-pnr innebär följande:

För en legitimeringstjänst:

Legitimeringstjänsten deklarerar att den kan legitimera användare enligt tillitsnivå 4 och leverera intyg med attribut från attributuppsättningen Natural Personal Identity with Civic Registration Number.

För en förlitande part:

Den förlitande parten deklarerar att den kommer att begära legitimering enligt tillitsnivå 4 och att den begär leverans av attribut enligt uppsättningen Natural Personal Identity with Civic Registration Number.

Regler och rutiner vid registrering av metadata:

3.4.3. loa3-orgid

Definition: Kapitel 2.3.2 i specifikationen Entity Categories for the Swedish eID Framework.

En deklaration av entitetskategorin http://id.swedenconnect.se/ec/1.0/loa3-orgid innebär följande:

För en legitimeringstjänst:

Legitimeringstjänsten deklarerar att den kan legitimera användare enligt tillitsnivå 3* och leverera intyg med attribut från attributuppsättningen Organizational Identity for Natural Persons.

För en förlitande part:

Den förlitande parten deklarerar att den kommer att begära legitimering enligt tillitsnivå 3* och att den begär leverans av attribut enligt uppsättningen Organizational Identity for Natural Persons.

[*]: Denna entitetskategori gäller för legitimering enligt http://id.elegnamnden.se/loa/1.0/loa3, http://id.swedenconnect.se/loa/1.0/loa3-nonresident eller http://id.swedenconnect.se/loa/1.0/uncertified-loa3.

Regler och rutiner vid registrering av metadata:

3.4.4. loa4-orgid

Definition: Kapitel 2.3.3 i specifikationen Entity Categories for the Swedish eID Framework.

En deklaration av entitetskategorin http://id.swedenconnect.se/ec/1.0/loa4-orgid innebär följande:

För en legitimeringstjänst:

Legitimeringstjänsten deklarerar att den kan legitimera användare enligt tillitsnivå 4 och leverera intyg med attribut från attributuppsättningen Organizational Identity for Natural Persons.

För en förlitande part:

Den förlitande parten deklarerar att den kommer att begära legitimering enligt tillitsnivå 4* och att den begär leverans av attribut enligt uppsättningen Organizational Identity for Natural Persons.

Regler och rutiner vid registrering av metadata:

3.4.5. loa3-name

Definition: Kapitel 2.4.2 i specifikationen Entity Categories for the Swedish eID Framework.

Entitetskategorin http://id.swedenconnect.se/ec/1.0/loa3-name är primärt avsedd för att komplettera http://id.swedenconnect.se/ec/1.0/loa3-orgid (se kapitel 3.4.3 ovan) med möjligheten att också erhålla för- och efternamn på legitimerad användare. I dessa fall deklarerar en förlitande part både loa3-orgid och loa3-name.

En deklaration av entitetskategorin innebär följande:

För en legitimeringstjänst:

Legitimeringstjänsten deklarerar att den kan legitimera användare enligt tillitsnivå 3* och leverera intyg med attribut från attributuppsättningen Natural Personal Identity without Civic Registration Number.

För en förlitande part:

Den förlitande parten deklarerar att den kommer att begära legitimering enligt tillitsnivå 3* och att den begär leverans av attribut enligt uppsättningen Natural Personal Identity without Civic Registration Number.

[*]: Denna entitetskategori gäller för legitimering enligt http://id.elegnamnden.se/loa/1.0/loa3, http://id.swedenconnect.se/loa/1.0/loa3-nonresident eller http://id.swedenconnect.se/loa/1.0/uncertified-loa3.

Regler och rutiner vid registrering av metadata:

3.4.6. loa4-name

Definition: Kapitel 2.4.3 i specifikationen Entity Categories for the Swedish eID Framework.

Entitetskategorin http://id.swedenconnect.se/ec/1.0/loa4-name är primärt avsedd för att komplettera http://id.swedenconnect.se/ec/1.0/loa4-orgid (se kapitel 3.4.4 ovan) med möjligheten att också erhålla för- och efternamn på legitimerad användare. I dessa fall deklarerar en förlitande part både loa4-orgid och loa4-name.

En deklaration av entitetskategorin innebär följande:

För en legitimeringstjänst:

Legitimeringstjänsten deklarerar att den kan legitimera användare enligt tillitsnivå 4* och leverera intyg med attribut från attributuppsättningen Natural Personal Identity without Civic Registration Number.

För en förlitande part:

Den förlitande parten deklarerar att den kommer att begära legitimering enligt tillitsnivå 4* och att den begär leverans av attribut enligt uppsättningen Natural Personal Identity without Civic Registration Number.

[*]: Denna entitetskategori gäller för legitimering enligt http://id.elegnamnden.se/loa/1.0/loa4 och http://id.swedenconnect.se/loa/1.0/loa4-nonresident.

Regler och rutiner vid registrering av metadata:

3.4.7. eidas-naturalperson

Definition: Kapitel 2.1.1 i specifikationen Entity Categories for the Swedish eID Framework.

En deklaration av entitetskategorin http://id.elegnamnden.se/ec/1.0/eidas-naturalperson innebär följande:

För en legitimeringstjänst:

Legitimeringstjänsten deklarerar att den är en eIDAS-nod som agerar "Identity Provider" mot Sweden Connect-federationen och "Service Provider" mot eIDAS-federationen*. Legitimering av användare sker enligt någon av de definierade tillitsnivåerna för eIDAS (se kapitel 3.1.1 i Swedish eID Framework - Registry for identifiers) och attribut som ingår i utställda identitetsintyg är enligt uppsättningen eIDAS Natural Person Attribute Set.

För en förlitande part:

Den förlitande parten deklarerar att den kommer att begära eIDAS-legitimering och att den begär leverans av attribut enligt uppsättningen eIDAS Natural Person Attribute Set.

[*]: För legitimeringstjänster så ska i princip ska endast den officiella svenska eIDAS-noden deklarera denna kategori, men det finns fall där leverantörer erbjuder en s.k. Proxy-IdP som inkluderar eIDAS-legitimering som ett legitimeringsalternativ. Proxy-IdP:n agerar då förlitande part mot den officiella eIDAS-noden och IdP mot dess förlitande parter. Dessa Proxy-IdP:er tillåts också deklarera denna kategori.

3.4.8. eidas-pnr-delivery

Definition: Kapitel 2.1.4 i specifikationen Entity Categories for the Swedish eID Framework.

En specialkategori som endast används av de legitimeringstjänster som leverarar intyg till den svenska eIDAS-noden (connector), samt den officiella eIDAS proxy-service som agerar förlitande part mot Sweden Connect. Se kapitel 2.3.1.

Regler och rutiner vid registrering av metadata:

3.5. Registrering av typ av förlitande part - Service Type Category

En entitetskategori (Entity Category) är ett attributvärde som deklareras i metadata i syfte att beskriva en viss egenskap hos en aktör inom federationen. En s.k. "Service Type Category" deklareras av förlitande parter för att indikera att aktören är av en viss "typ".

Nedan följer beskrivningar och regler gällande förlitande parter för relevanta "Service Type Category"-värden definierade i kapitel 4 av specifikationen Entity Categories for the Swedish eID Framework:

3.5.1. Indikator för underskriftstjänst

Definition: Kapitel 4.1 i specifikationen Entity Categories for the Swedish eID Framework.

En deklaration av entitetskategorin http://id.elegnamnden.se/st/1.0/sigservice innebär att den förlitande parten indikerar att den är en underskriftstjänst.

Regler och rutiner vid registrering av metadata:

3.5.2. Indikator för offentlig eller privat sektor

Definition: Kapitel 4.2 och 4.3 i specifikationen Entity Categories for the Swedish eID Framework.

Offentliga förlitande parter inom Sweden Connect måste deklarera kategorin http://id.elegnamnden.se/st/1.0/public-sector-sp och förlitande parter från den privata sektorn måste deklarera http://id.elegnamnden.se/st/1.0/private-sector-sp.

Regler och rutiner vid registrering av metadata:

3.6. Registrering av tecknade avtal

Deltagande i Sweden Connect-federationen styrs av avtal, både gällande förlitande parter och legitimeringstjänster. För att en legitimeringstjänst ska acceptera en legitimeringsbegäran från en förlitande part måste den kunna ta reda på om den förlitande parten har rätt att nyttja tjänsten. Detta åstadkoms genom att förlitande parter deklarerar "Service Contract Category"-värden som indikerar vilka avtal som gäller för aktören. Se kapitel 5 av Entity Categories for the Swedish eID Framework.

Nedan följer identifierare som mappas mot de avtal som listades i kapitel 1.1.

3.6.1. Sweden Connect-avtal

Identifierare: http://id.swedenconnect.se/contract/sc/sweden-connect

Indikerar att den förlitande partens organisation har tecknat något av Diggs anslutningsavtal.

Notera: För en legitimeringstjänst som endast konsumerar metadata från Sweden Connect-federationen betyder denna kategori i princip ingenting eftersom den endast markerar "deltagare i Sweden Connect-federationen". För legitimeringstjänster som konsumerar metadata från flera olika federationer kan den dock ha betydelse.

Regler och rutiner vid registrering av metadata:

3.6.2. Bilaterala avtal

För de förlitande parter som tecknar avtal direkt med leveratörer, t.ex. en leverantör som levererar en SAML-IdP för BankID, så skall leverantören definiera en identifierare enligt det format som beskrivs i kapitel 5 av Entity Categories for the Swedish eID Framework. Denna identifierare skall sedan deklareras av både förlitande part och legitimeringstjänst.

Regler och rutiner vid registrering av metadata:

3.6.3. Valfrihetssystem 2017

Identifierare: http://id.swedenconnect.se/contract/sc/eid-choice-2017

Skall deklareras av förlitande parter som tecknat avtalet Valfrihetssystem 2017 och av legitimeringstjänster som levererar enligt Anslutningsavtal för leverantör avseende Valfrihetssystem 2017 e-legitimering.

Regler och rutiner vid registrering av metadata:

3.6.4. eID för medarbetare

Identifierare: http://id.swedenconnect.se/contract/sc/prepaid-auth-2021

Skall deklareras av förlitande parter som tecknat avtalet Förlitandeavtal - Förbetald e-legitimering och av legitimeringstjänster som levererar enligt Anslutningsavtal för utfärdare av e-tjänstelegitimationer - Förbetald e-legitimering.

Regler och rutiner vid registrering av metadata:

3.7. Metadataregler gällande organisationsidentiteter

Legitimeringstjänster som levererar enligt Anslutningsavtal för utfärdare av e-tjänstelegitimationer - Förbetald e-legitimering och stödjer leverans av intyg enligt attributsuppsättningen Organizational Identity for Natural Persons måste anmäla till federationsoperatören (Digg) vilka organisationer som hanteras av den givna legitimeringstjänsten.

Denna information kommer att publiceras i legitimeringstjänstens SAML-metadata enligt beskrivningen i kapitel 2.1.3.1 av Deployment Profile for the Swedish eID Framework.

Notera: Denna information skall kontinuerligt hållas uppdaterad, vilket innebär att legitimeringstjänsten är ansvarig för att i god tid anmäla anslutande organisationer till federationsoperatören (Digg) och begära metadatauppdatering.

Nedan visas ett exempel på de Scope-element som inkluderas i metadata för en legitimeringstjänst som är godkänd att leverera till organisationerna Digg (202100-6883), Försäkringskassan (202100‑5521) och Pensionsmyndigheten (202100-6255).

<md:IDPSSODescriptor ...>
  <md:Extensions>
    <shibmd:Scope xmlns:shibmd="urn:mace:shibboleth:metadata:1.0>2021006883</shibmd:Scope>
    <shibmd:Scope xmlns:shibmd="urn:mace:shibboleth:metadata:1.0>2021005521</shibmd:Scope>
    <shibmd:Scope xmlns:shibmd="urn:mace:shibboleth:metadata:1.0>2021006255</shibmd:Scope>
    ...

Notera att organisationsnumret ska representeras utan bindestreck i metadata-filen.

En förlitande part som konsumerar organisationsidentiteter (attributet orgAffliation) förväntas verifiera attributets innehåll mot utfärdande legitimeringstjänsts metadatapost enligt kapitel 6.2.1 av Deployment Profile for the Swedish eID Framework.

Regler och rutiner vid registrering av metadata:

3.8. Metadataregler gällande samordningsnummer

En legitimeringstjänst som levererar enligt attributuppsättningen Natural Personal Identity with Civic Registration Number levererar individens personnummer eller styrkta samordningsnummer i attributet personalIdentityNumber.

Tidigare var styrkta samordningsnummer i identitetsintyg inte godkända att användas av Digg, vilket gör att vissa förlitande parter som enbart förväntar sig ett personnummer i personalIdentityNumber-attributet kan få problem vid hanteringen av intyget.

Därför krävs en s.k. "opt-in" från den förlitande parten för att legitimeringstjänsten ska få leverera ett samordningsnummer till en given förlitande part. Detta beskrivs i kapitel 6.2 i Entity Categories for the Swedish eID Framework.

Exempel på en metadata för SAML SP som accepterar att samordningsnummer levereras:

...
<md:Extensions>
  <mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute">
    <saml2:Attribute Name="http://macedir.org/entity-category"
                     NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
      <saml2:AttributeValue>
        http://id.elegnamnden.se/ec/1.0/loa3-pnr
      </saml2:AttributeValue>
      ...
      <saml2:AttributeValue>
! ->    http://id.swedenconnect.se/general-ec/1.0/accepts-coordination-number
      </saml2:AttributeValue>
      ...            
    </saml2:Attribute>        
  </mdattr:EntityAttributes>
</md:Extensions>
...

Genom att SAML SP:n deklarerar entitetskategorin http://id.swedenconnect.se/general-ec/1.0/accepts-coordination-number så informerar den legitimeringstjänster om att leverans av samordningsnummer i personalIdentityNumber-attributet medges av den förlitande parten.

En legitimeringstjänst får inte leverera ett intyg innehållande ett samordningsnummer till en förlitande part som inte deklarerat ovanstående. I dessa fall ska istället legitimeringstjänsten informera användaren om att ett personnummer krävs för att autentisera sig och inte ställa ut ett identitetsintyg.

3.9. Metadataregler gällande tillitsnivå 4 (LoA 4)

För legitimering och leverans av identitetsintyg enligt tillitsnivå 4 rekommenderar Sweden Connect-federationen att SAML-profilen SAML V2.0 Holder-of-key Web Browser SSO Profile används. Användandet av "Holder-of-key" enligt Sweden Connect Tekniskt Ramverk specificeras i Deployment Profile for the Swedish eID Framework.

Notera att även legitimeringstjänster som inte levererar enligt tillitsnivå 4 kan välja att erbjuda stöd för "Holder-of-key".

Följande metadataregler gäller rörande Holder-of-key:

En legitimeringstjänst som erbjuder "Holder-of-key"-stöd skall deklarera dedikerade SingleSignOnService-element för "Holder-of-key" i sin metadatapost enligt kapitel 2.1.3.2 av Deployment Profile for the Swedish eID Framework. De adresser som pekas ut i dessa element måste vara konfigurerade för ömsesidig TLS, d.v.s., TLS där ett klientcertifikat krävs.

En förlitande part som vill nyttja "Holder-of-key" vid autentisering ska deklarera ett AssertionConsumerService-element för "Holder-of-key" enligt kapitel 2.1.2.1 av Deployment Profile for the Swedish eID Framework. Adressen som pekas ut i detta element måste vara konfigurerat för ömsesidig TLS, d.v.s., TLS där ett klientcertifikat krävs.

4. Versioner av detta dokument