Versions Compared

Old Version 3

changes.mady.by.user Leif Johansson

Saved on

compared with

New Version 4

changes.mady.by.user Leif Johansson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Identitetsverifiering betyder att associera en eduID-användare med en fysisk person. Det finns ett antal alternativa processer för att genomföra identitets-verifiering:

  1. Mobilverifiering
  2. ID-växling med e-legitimation
  3. Passverifiering
  4. Kontrollkod till folkbokföringsaddress
  5. En användare uppger ett mobilnummer som kopplas till en fysisk person via uppslag i teleaddress samt i folkbokföringsregistret
  6. En användare använder en e-legitimation som omfattas av valfrihetssystem genom sk ID-växling
  7. En användare scannar ett ICAO-dokument (pass) och genomför verifiering mha biometrisk information på passet
  8. En användare uppger en kontrollkod som skickas till folkbokföringsaddressen associerat med det uppgivna personnummret.

Dessa processer resulterar i en koppling mellan en fysisk person och en eduID-användare med olika fortroendenivåer. Vid inloggning till en tjänst skickar eduID information om förtroendenivå och säkerhetsnivå genom attribut och andra protokollelement (tex AuthenticationContextClassRef för SAML eller ACR för OpenID Connect) i enlighet med de profiler som eduID implementerar.

Nedan beskrivs processernas sk happy path - dvs lyckade verifieringsflöden. Om något steg i verifieringen misslyckas så räknas hela processen som misslyckad och eduID-användaren kopplas inte med den fysiska personen. Koppling mellan fysisk person och eduID-användare sker efter framgångsrik process genom att information om vilken process som genomförts lagras i eduID tillsammans med tillräcklig information för att identifiera de dokument eller andra objekt som användes för verifiering. I vissa fall utgörs detta av personnummer.

Mobilverifiering

  1. Användaren uppger ett personnummer och ett mobilnummer
  2. Tjänsten teleaddress används för att slå upp abonnentens personnummer för det uppgivna mobilnummret
  3. Information om det uppgivna personnumret hämtas från navet (folkbokföringen), inklusive ålder och (i fallet abonenten är yngre än 18) information om föräldrar.
  4. Om det uppgivna personnummret överrensstämmer med abonenten eller med abonentens föräldrar (i fallet abonenten är yngre än 18) skickas en verifieringskod till mobilnummret.
  5. Användaren matar in verifieringskoden och om den överensstämmer med den verifieringskod som skickades så har processen lyckats.

ID-växling med e-legitimation

  1. Användaren uppger ett personnummer
  2. Användaren anmodas logga in med en e-legitimation som omfattas av ett valfrihetssystem som medger ID-växling
  3. Om det uppgivna personnummret överensstämmer med personnummret från inloggningen så har processen lyckats.

Passverifiering

  1. Användaren anmodas ladda ner en app som medger verifiering av ICAO-dokument (tex pass) med stöd för biometrisk information
  2. Användare scannar ett ICAO-dokument (pass) och genomför verifiering mha biometrisk information på passet
  3. Information från passet kopplas till eduID-användaren.

Kontrollkod till folkbokföringsaddress

  1. Användaren uppger ett personnummer
  2. Personnummret slås upp i navet (folkbokföringen)
  3. En verifieringskod genereras och skickas till addressen som uppges i folkbokföringen för personnummret
  4. Användaren uppger verifieringskoden. Om verifieringskoden överensstämmer med den som skickades så har processen lyckats

Inloggningssäkerhet

eduID stödjer inloggning via användarnamn och lösenord i kombination med FIDO2-tokens (via WebAuth-API:et) där förhöjd säkerhet krävs. Inloggning med förhöjd säkerhet (sk MFA) sker på begäran från en ansluten tjänst via protokollelement (tex AuthenticationContextClassRef för SAML eller ACR för OpenID Connect). Exakt vilka protokollelement som resulterar i inloggning med MFA finns beskrivet i respektive implementationsprofil som eduID stödjer.

...