LoA3, LoA4 och tillitsnivåer
Många organisationer söker idag efter stark autentisering på LoA3 eller LoA4, eftersom tillitsnivåerna ger ett gemensamt språk för hur stark identitetskontroll och autentisering behöver vara. LoA3 är relevant i många flöden med höga krav, medan LoA4 är en högre nivå för situationer där identiteten, skyddet och ansvarskedjan behöver tåla mer granskning.
För kunden är det viktiga ofta inte bara namnet på nivån, utan att organisationen kan visa hur identiteten har kontrollerats, hur användaren autentiseras, hur tilliten förmedlas vidare och hur händelser kan följas upp i efterhand.
Läs mer om LoA4 och tillitsnivåer.
Vad tjänsten löser
Många organisationer har fler applikationer, fler användartyper och högre säkerhetskrav än vad enkel användarnamn-och-lösenord-inloggning klarar av. Det leder ofta till spretiga inloggningsupplevelser, onödig administration och svårigheter att säkerställa att rätt användare får rätt åtkomst på rätt nivå.
Identity Provider samlar den funktionen i en tjänst. I stället för att varje applikation behöver hantera inloggning separat kan organisationen använda en gemensam lösning för att styra hur användare loggar in och vilken identitet som skickas vidare.
Vad det innebär i praktiken
Med tjänsten kan organisationen:
- autentisera användaren med rätt metod utifrån behov och tillitskrav
- styra vilka inloggningsmetoder som ska vara tillgängliga för olika applikationer
- möjliggöra SSO, stark autentisering och lösenordsfria inloggningsflöden
- koppla den autentiserade identiteten vidare till anslutna applikationer via standardprotokoll
- skapa en tydligare och mer kontrollerad identitetsleverans till verksamhetens tjänster
E-legitimationer och inloggningsmetoder
Identity Provider kan användas för att samla flera inloggningsmetoder bakom en gemensam modell. Det gör det möjligt att erbjuda användaren en igenkännbar inloggning, samtidigt som organisationen styr vilka metoder som ska användas i olika situationer.
Exempel på metoder och identiteter som ofta är relevanta i svenska verksamheter är:
- BankID
- Freja
- SITHS eID
- Freja OrgID eller annan e-tjänstelegitimation
- IDOmbud e-Legitimation
- passkey, säkerhetsnyckel eller annan lösenordsfri metod
- OATH, engångskod eller annan MFA-metod
Vilka metoder som ska användas beror på användargrupp, applikation, risk och krav på tillit. En intern administrativ tjänst kan behöva en annan nivå än en publik e-tjänst, ett vårdflöde eller en inloggning där användaren agerar i sin yrkesroll.
MFA och step-up
Idag räcker det sällan med enbart lösenord för att skydda känsliga uppgifter och digitala system. Lösenord kan gissas, läcka eller hamna i fel händer. Med tvåfaktorsautentisering och multifaktorautentisering adderas ett extra skyddslager som gör det betydligt svårare för obehöriga att komma åt verksamhetens data.
I praktiken kan det innebära att användaren loggar in med lösenord och sedan bekräftar sin identitet med exempelvis e-legitimation, engångskod, passkey eller säkerhetsnyckel. Det kan också användas som step-up, där användaren bara behöver en starkare metod när åtkomsten är särskilt känslig.
På så sätt kan organisationen kombinera användarvänlighet med tydligare kontroll över risk, tillitsnivå och åtkomst.
Varför det är värdefullt
Olika verksamheter har olika behov. Vissa behöver en smidig inloggning till interna tjänster. Andra behöver stark autentisering, hög tillit eller möjlighet att hantera flera typer av användare, till exempel anställda, konsulter eller externa parter.
Med Identity Provider blir det lättare att erbjuda en mer enhetlig och professionell inloggningsupplevelse, samtidigt som säkerheten höjs. Det gör också att organisationen kan förändra sin inloggningsmodell över tid, till exempel gå från lösenord till starkare eller helt lösenordsfria flöden, utan att behöva bygga om allt från grunden.
Ett centralt lager för inloggning och tillit
Tjänsten kan enklast förstås som ett centralt lager mellan användaren och de applikationer som ska skyddas. Den ser till att användaren loggar in på rätt sätt och att rätt identitet och rätt nivå av tillit följer med vidare till tjänsten som användaren ska nå.
Det gör att organisationen slipper bygga samma funktion om och om igen i varje enskild applikation.
Samverkan med övriga tjänster i IDOmbud
Identity Provider kan användas fristående, men blir ännu starkare tillsammans med övriga tjänster i IDOmbud.
Tillsammans med e-Legitimation kan tjänsten användas för stark och organisationsstyrd autentisering. Tillsammans med identitetshantering, governance och lösenordstjänster blir den en del av ett större erbjudande där inloggning, identitet och åtkomst hänger ihop.