Teknisk tjänstebeskrivning SWAMIDs-tillitsramverk - eduID


Sammanfattning

eduID är en identitetsutfärdare som är tillgånglig för alla fysiska personer som omfattas av någon process inom forsknings- och utbildningsektorn i Sverige. Detta betyder att även utländska forskare, studenter eller annan personal kan använda eduID sålänge det finns en koppling till Svensk forskning och utbildning. Användare i eduID får ej kopplas till juridiska personer som inte är fysiska individer. En eduID-användare är personlig men kan i vissa fall associeras med information som bifogas från en organisation inom forsknings- och utbildningssektorn. Sådan information kontrolleras av respektive organisation. Detta sker genom tjänsten eduID Connect.

Denna tekniska tjänstebeskrivning gäller för SWAMID:s tillitsramverk. För teknisk tjänstebeskrivning inom Digg:s tillitsramverk klicka på denna länk.

Källkod

eduID bygger på öppen källkod. Källkoden kan läsas på GitHub genom att klicka på denna länk.

Deployment- och implementationsprofiler

Följande profiler för SAML stödjs:

Identitetsverifiering

Identitetsverifiering betyder att associera en eduID-användare med en fysisk person. Det finns ett antal alternativa processer för att genomföra identitets-verifiering:

  1. Kontrollkod till folkbokföringsadress eller digital brevlåda
  2. ID-växling med e-legitimation enligt DIGG:s valfrihetssystem
  3. ID-växling med eIDAS
  4. Passverifiering
  5. Mobilverifiering

Dessa processer resulterar i en koppling mellan en fysisk person och en eduID-användare med olika förtroendenivåer. Vid inloggning till en tjänst skickar eduID information om förtroendenivå och säkerhetsnivå genom attribut och andra protokollelement (tex AuthenticationContextClassRef för SAML eller ACR för OpenID Connect) i enlighet med de profiler som eduID implementerar.

Om något steg i verifieringen misslyckas så räknas hela processen som misslyckad och eduID-användaren kopplas inte med den fysiska personen. Detta är en säkerhetsåtgärd.
Koppling mellan fysisk person och eduID-användare sker efter framgångsrik process genom att information om vilken process som genomförts lagras i eduID tillsammans med tillräcklig information (i vissa fall även personnummer) för att identifiera de dokument eller andra objekt som användes för verifiering. Nedan beskrivs processernas sk happy path - dvs lyckade verifieringsflöden.

Kontrollkod via brev till folkbokföringsaddress eller digital brevlåda

Här verifieras identiteten genom att vi kontrollerar vilken fysisk adress eller digital adress som är kopplad till ett visst personnummer och sedan att användaren har tillgång att ta emot och läsa brev som skickas till den adressen.

  1. Användaren uppger ett personnummer
  2. Personnumret slås upp i Navet (folkbokföringen)
  3. Personnumret slås upp i FaR (DIGG:s tjänst för kontroll om person har digital brevlåda)
    1. Om har digital brevlåda, skickas verifieringskod ut till den digitala brevlådan
    2. Om inte har digital brevlåda, skickas verifieringskod ut brevledes
  4. En verifieringskod genereras och skickas till addressen som uppges i folkbokföringen eller den digitala brevlådan för personnummret. Verifieringskoden har en begränsad giltighetstid.
  5. Användaren uppger verifieringskoden. Om verifieringskoden inte har gått ut i tid och överensstämmer med den verifieringskod som skickades så har processen lyckats.

Ger tillitsnivå AL2 enligt SWAMIDs ramverk.
Ger tillitsnivå e-leg LoA2 enligt Diggs ramverk. (detta gäller från senare under 2023 när eduID godkänns för att utfärda DIGG e-leg)

ID-växling med e-legitimation enligt DIGG:s valfrihetssystem

Här verifieras identiteten genom att man efter lyckad process ärver verifikationen man fått vid utfärdandet av sin e-legitimation.

  1. Användaren uppger ett personnummer
  2. Användaren anmodas logga in med en e-legitimation som omfattas av ett valfrihetssystem som medger ID-växling
  3. Om det uppgivna personnumret överensstämmer med personnumret från inloggningen så har processen lyckats.

Ger tillitsnivå AL3 enligt SWAMIDs ramverk.
Ger tillitsnivå e-leg LoA2 enligt Diggs ramverk. (detta gäller från senare under 2023 när eduID godkänns för att utfärda DIGG e-leg)

ID-växling med eIDAS

Här verifieras identiteten genom att man efter lyckad process ärver verifikationen man fått vid utfärdandet av sin eIDAS-handling (med eIDAS tillitsnivå Substantial eller High).

  1. Användaren anmodas logga in med en utlänsk e-legitimation via eIDAS
  2. Information från e-legitimationen kopplas till eduID-användaren efter en lyckad inloggning.

Ger tillitsnivå AL3 enligt SWAMIDs ramverk.
Ger inte tillitsnivå e-leg LoA2 enligt Diggs ramverk.

Passverifiering

Här verifieras identiteten genom att användaren har tillgång till passet och att information ur passet (så som biometri) överensstämmer med personen som verifierar sig.

  1. Användaren anmodas ladda ner en app som medger verifiering av ICAO-dokument (tex pass) med stöd för biometrisk information.
  2. Användare scannar ett ICAO-dokument (pass) och genomför verifiering med hjälp av biometrisk information på passet. Denna verifiering sker på ett sätt som garanterar att innehavaren av passet kopplas med hjälp av biometrisk verifiering till den person som genomför verifieringen i realtid.
  3. Information från passet kopplas till eduID-användaren efter en lyckat passverifering.

Ger tillitsnivå AL2 enligt SWAMIDs ramverk.
Ger inte tillitsnivå e-leg LoA2 enligt Diggs ramverk.

Mobilverifiering

Här verifieras identiteten genom att dels kontrollera att personnumret har en koppling via abonnemanget till mobiltelefonnumret, samt att personen har tillgång att ta emot och läsa meddelanden som skickas till det mobiltelefonnumret.

  1. Användaren uppger ett personnummer och ett mobilnummer
  2. Tjänsten Teleaddress används för att slå upp abonnentens personnummer för det uppgivna mobilnummret
  3. Information om det uppgivna personnumret hämtas från Navet (folkbokföringen)
  4. Om det uppgivna personnummret överrensstämmer med abonnenten skickas en verifieringskod till mobilnumret. Veriferingskoden har en begränsad giltighetstid.
  5. Användaren matar in verifieringskoden man fått till mobilnumret i eduID. Om verifieringskoden inte har gått ut i tid och överensstämmer med den verifieringskod som skickades så har processen lyckats.

Ger tillitsnivå AL2 enligt SWAMIDs ramverk.
Ger inte tillitsnivå e-leg LoA2 enligt Diggs ramverk.

Inloggningssäkerhet

eduID stödjer inloggning via användarnamn och lösenord i kombination med FIDO2-tokens (via WebAuth-API:et) där förhöjd säkerhet krävs. Inloggning med förhöjd säkerhet (sk MFA) sker på begäran från en ansluten tjänst via protokollelement (tex AuthenticationContextClassRef för SAML eller ACR för OpenID Connect). Kontroll av MFA sker mot FIDO Alliance register över godkända intyg (attestations) eller Passkeys. Exakt vilka protokollelement som resulterar i inloggning med MFA finns beskrivet i respektive implementationsprofil som eduID stödjer.

eduID förväntar sig att FIDO2-token är någon av följande "key protection":

  • "faceprint_internal",
  • "passcode_external",
  • "passcode_internal",
  • "handprint_internal",
  • "pattern_internal",
  • "voiceprint_internal",
  • "fingerprint_internal",
  • "eyeprint_internal",

Samt kräver att protection uppfylls med någon av följande "user verification":

  • "remote_handle",
  • "hardware",
  • "secure_element",
  • "tee", 

Och att FIDO2-token skickas med en attestation, eller är av typen Passkey.

Autentisering

Vid skapande av konto genereras ett lösenord som är svårt att gissa. Användaren loggar in genom att ange detta. Efter inloggning kan användaren byta till ett annat säkert lösenord. Användaren kan också lägga till ytterligare säkerhetsnyckel. Eventuell verifiering av kontot nollställs om lösenordet till kontot återställs.

Återställning av lösenord och eventuell borttagning av verifiering

Om användaren glömt sitt lösenord kan den återställa lösenordet. Instruktioner för återställning skickas då till den primära e-postadressen kopplad till användarens konto.

Om användaren har lagt till en extra säkerhetsnyckel så uppmanas användaren att använda denna när man skapar ett nytt lösenord. Använder man säkerhetsnyckeln när man skapar sitt nya lösenord så behåller man sin verifierade identitet på den tillitsnivå man hade. Har man inte tillgång till den extra säkerhetsnyckeln och återställer lösenordet så försvinner den personliga verifieringen från kontot, och kontot behöver verifieras på nytt med någon av verifieringsmetoderna för att nå upp till en högre tillitsnivå.

Om användaren inte har lagt till en extra säkerhetsnyckel och skapar ett nytt lösenord så så försvinner den personliga verifieringen från kontot, och kontot behöver verifieras på nytt med någon av verifieringsmetoderna för att nå upp till en högre tillitsnivå.

Teknisk anslutning

Anslutning till eduID beror på det tekniska gränssnitt som används (se listan på understödda profiler ovan). För profiler som har stöd för federationer används befintliga federationer. För profilen SAML2Int gäller att tjänster ansluts till eduID genom någon av de identitetsfederationer som eduID är kopplad till. I dagsläget är eduID ansluten till följande federationer:

  • SWAMID
  • FIDUS (via SWAMID)
  • eduGAIN (via SWAMID)

Teknisk anslutning till eduID kan även ske genom tjänsten eduID Connect som är en integrationsproxy som medger att en organisation kan provisionera attribut kopplade till en användare i eduID. Sådana organisations-attribut kan inte ersätta attribut som är kopplade till den fysiska person som är kopplad till eduID-användaren via identitetsverifiering. Tjänsten eduID Connect används för att komplettera och normalisera säkerhet och uppfyllelse av federationsprofiler, tex i syfte att ansluta IdP:er som inte uppfyller SAML2int eller i syfte att komplettera en IdP som saknar stöd för MFA. I vissa fall används eduID Connect med eduID som IdP och som MFA-lösning, dvs utan att någon extern IdP används. eduID Connect ska ses som en plattform för virtuella IdP:er som använder eduID helt eller delvis för hantering av identiteter medans ytterligare attribut kan påföras från respektive organisation som ansvarar för den virtuella IdP:n

Kvalitetsmärken, federationer och trustmarks

Kvalitetsmärken är normalt tillämpbara för eduID samt för eduID Connect i de fall eduID helt och fullt används som bakomliggande IdP. Normalt ska alltså virtuella IdP:er i eduID Connect ses som separata medlemmar i respektive federationer och förtroenderamverk men i fallet då eduID Connect använder eduID som bakomliggande eduID så är i de flesta fall dessa förtroenderamverk tillämpliga.

NamnAktuelltExtern reviewLänk
Kantara IAF (classic)nejSeadot AB/Björn Sjöholm
SWAMIDjaSWAMID operations


eIDASjaSWAMID operations
DiGG LoA2jaDIGG
  • No labels