eduID är en identitetsutfärdare som är tillgånglig för alla fysiska personer som omfattas av någon process inom forsknings- och utbildningsektorn i Sverige. Detta betyder att även utlänska forskare, studenter eller annan personal kan använda eduID sålänge det finns en koppling till Svensk forskning och utbildning. Användare i eduID får ej kopplas till juridiska personer som inte är fysiska individer. En eduID-användare är personlig men kan i vissa fall associeras med information som bifogas från en organisation inom forsknings- och utbildningssektorn. Sådan information kontrolleras av respektive organisation. Detta sker genom tjänsten eduID Connect.
eduID bygger på öppen källkod. Källkoden kan läsas på GitHub genom att klicka på denna länk.
Följande profiler för SAML stödjs:
Identitetsverifiering betyder att associera en eduID-användare med en fysisk person. Det finns ett antal alternativa processer för att genomföra identitets-verifiering:
Dessa processer resulterar i en koppling mellan en fysisk person och en eduID-användare med olika fortroendenivåer. Vid inloggning till en tjänst skickar eduID information om förtroendenivå och säkerhetsnivå genom attribut och andra protokollelement (tex AuthenticationContextClassRef för SAML eller ACR för OpenID Connect) i enlighet med de profiler som eduID implementerar.
Nedan beskrivs processernas sk happy path - dvs lyckade verifieringsflöden. Om något steg i verifieringen misslyckas så räknas hela processen som misslyckad och eduID-användaren kopplas inte med den fysiska personen. Koppling mellan fysisk person och eduID-användare sker efter framgångsrik process genom att information om vilken process som genomförts lagras i eduID tillsammans med tillräcklig information för att identifiera de dokument eller andra objekt som användes för verifiering. I vissa fall utgörs detta av personnummer.
eduID stödjer inloggning via användarnamn och lösenord i kombination med FIDO2-tokens (via WebAuth-API:et) där förhöjd säkerhet krävs. Inloggning med förhöjd säkerhet (sk MFA) sker på begäran från en ansluten tjänst via protokollelement (tex AuthenticationContextClassRef för SAML eller ACR för OpenID Connect). Exakt vilka protokollelement som resulterar i inloggning med MFA finns beskrivet i respektive implementationsprofil som eduID stödjer.
Anslutning till eduID beror på det tekniska gränssnitt som används (se listan på understödda profiler ovan). För profiler som har stöd för federationer används befintliga federationer. För profilen SAML2Int gäller att tjänster ansluts till eduID genom någon av de identitetsfederationer som eduID är kopplad till. I dagsläget är eduID ansluten till följande federationer:
Teknisk anslutning till eduID kan även ske genom tjänsten eduID Connect som är en integrationsproxy som medger att en organisation kan provisionera attribut kopplade till en användare i eduID. Sådana organisations-attribut kan inte ersätta attribut som är kopplade till den fysiska person som är kopplad till eduID-användaren via identitetsverifiering. Tjänsten eduID Connect används för att komplettera och normalisera säkerhet och uppfyllelse av federationsprofiler, tex i syfte att ansluta IdP:er som inte uppfyller SAML2int eller i syfte att komplettera en IdP som saknar stöd för MFA. I vissa fall används eduID Connect med eduID som IdP och som MFA-lösning, dvs utan att någon extern IdP används. eduID Connect ska ses som en plattform för virtuella IdP:er som använder eduID helt eller delvis för hantering av identiteter medans ytterligare attribut kan påföras från respektive organisation som ansvarar för den virtuella IdP:n
Kvalitetsmärken är normalt tillämpbara för eduID samt för eduID Connect i de fall eduID helt och fullt används som bakomliggande IdP. Normalt ska alltså virtuella IdP:er i eduID Connect ses som separata medlemmar i respektive federationer och förtroenderamverk men i fallet då eduID Connect använder eduID som bakomliggande eduID så är i de flesta fall dessa förtroenderamverk tillämpliga.
Namn | Aktuellt | Extern review | Länk |
---|---|---|---|
Kantara IAF (classic) | nej | Seadot AB/Björn Sjöholm | |
SWAMID | ja | SWAMID operations | |