LoA3 och LoA4 används för att beskriva hur stark tilliten behöver vara i ett digitalt identitets- och autentiseringsflöde. För många organisationer börjar frågan med LoA3, men i flöden där identiteten behöver vara starkt verifierad, skyddad och granskningsbar blir LoA4 ofta den relevanta referenspunkten.
LoA3 och LoA4TillitsintygGranskningsbar kedja
Inom Autentisering
Vad LoA3 och LoA4 betyder i praktiken
Tillitsnivån beskriver inte bara hur användaren loggar in. Den påverkar hela kedjan bakom inloggningen: hur identiteten kontrolleras, hur autentiseringen skyddas, hur livscykeln hanteras och hur organisationen kan visa ansvar i efterhand.
LoA3 används när organisationen behöver hög tillit till användarens identitet. LoA4 är en högre nivå för situationer där kraven på identitetskontroll, skydd, process och granskningsbarhet är ännu starkare.
När LoA4 blir relevant
LoA4 blir särskilt relevant när en digital tjänst kräver mycket hög tillit till vem användaren är och på vilken grund användaren agerar.
Exempel på situationer där LoA4 kan göra praktisk skillnad är:
myndighetsnära e-tjänster
digital signering med rättslig eller verksamhetskritisk betydelse
vård, omsorg eller annan reglerad verksamhet
åtkomst till känsliga uppgifter eller kritiska system
flöden där identiteten och ansvarskedjan behöver tåla revision
Tillitskedjan
En praktisk modell är att se flödet som en tillitskedja.
Steg 1Identifiera
Säkerställ vem personen är och på vilken grund identiteten kopplas till användaren.
Steg 2Autentisera
Använd stark autentisering som passar risknivå, användargrupp och målmiljö.
Steg 3Intyga
Lämna ett granskningsbart tillitsintyg till den anslutna tjänsten.
Den anslutna tjänsten ska kunna lita på att identiteten, autentiseringen och tillitsnivån hänger ihop utan att själv behöva bygga hela tillitskedjan.
LoA3, LoA4 och befintlig arkitektur
LoA3 och LoA4 behöver inte betyda att organisationen ersätter all befintlig identitetsarkitektur. I många fall är det mer relevant att höja tilliten i utvalda flöden där risk, ansvar eller regelefterlevnad kräver det.
IDOmbud Identity Provider kan därför diskuteras som en kompletterande förmåga för federation, e-tjänster eller interna system där befintlig IdP inte räcker till för den tillitsnivå som verksamheten behöver.
En LoA4-godkänd IdP är mer än inloggning
En traditionell Identity Provider löser ofta inloggning och federation. En LoA4-godkänd IdP behöver även hantera tillit till identiteten, processerna, skyddet, livscykeln och ansvarskedjan.
Det innebär att organisationen behöver kunna visa:
hur identiteten har kontrollerats
hur användaren autentiseras
hur rätt tillitsnivå förmedlas till anslutna tjänster
hur identiteten kan spärras, uppdateras eller återkallas
hur beslut och händelser kan följas upp
Samverkan med övriga IDOmbud
LoA4-spåret hänger nära ihop med andra delar av IDOmbud. Identity Provider hanterar inloggning, federation och tillitsintyg. e-Legitimation kan användas när organisationen vill utfärda och styra en arbetsrelaterad digital identitet. Identity Governance och identitetshantering hjälper till att hålla ansvar, behörighet och livscykel kontrollerade över tid.
Vill du veta mer om hur IDOmbud kan användas i din verksamhet?