LoA4 och tillitsnivåer

LoA3 och LoA4 används för att beskriva hur stark tilliten behöver vara i ett digitalt identitets- och autentiseringsflöde. För många organisationer börjar frågan med LoA3, men i flöden där identiteten behöver vara starkt verifierad, skyddad och granskningsbar blir LoA4 ofta den relevanta referenspunkten.

LoA3 och LoA4TillitsintygGranskningsbar kedja

Inom Autentisering

Vad LoA3 och LoA4 betyder i praktiken

Tillitsnivån beskriver inte bara hur användaren loggar in. Den påverkar hela kedjan bakom inloggningen: hur identiteten kontrolleras, hur autentiseringen skyddas, hur livscykeln hanteras och hur organisationen kan visa ansvar i efterhand.

LoA3 används när organisationen behöver hög tillit till användarens identitet. LoA4 är en högre nivå för situationer där kraven på identitetskontroll, skydd, process och granskningsbarhet är ännu starkare.

När LoA4 blir relevant

LoA4 blir särskilt relevant när en digital tjänst kräver mycket hög tillit till vem användaren är och på vilken grund användaren agerar.

Exempel på situationer där LoA4 kan göra praktisk skillnad är:

  • myndighetsnära e-tjänster
  • digital signering med rättslig eller verksamhetskritisk betydelse
  • vård, omsorg eller annan reglerad verksamhet
  • åtkomst till känsliga uppgifter eller kritiska system
  • flöden där identiteten och ansvarskedjan behöver tåla revision

Tillitskedjan

En praktisk modell är att se flödet som en tillitskedja.

  1. Steg 1 Identifiera

    Säkerställ vem personen är och på vilken grund identiteten kopplas till användaren.

  2. Steg 2 Autentisera

    Använd stark autentisering som passar risknivå, användargrupp och målmiljö.

  3. Steg 3 Intyga

    Lämna ett granskningsbart tillitsintyg till den anslutna tjänsten.

Den anslutna tjänsten ska kunna lita på att identiteten, autentiseringen och tillitsnivån hänger ihop utan att själv behöva bygga hela tillitskedjan.

LoA3, LoA4 och befintlig arkitektur

LoA3 och LoA4 behöver inte betyda att organisationen ersätter all befintlig identitetsarkitektur. I många fall är det mer relevant att höja tilliten i utvalda flöden där risk, ansvar eller regelefterlevnad kräver det.

IDOmbud Identity Provider kan därför diskuteras som en kompletterande förmåga för federation, e-tjänster eller interna system där befintlig IdP inte räcker till för den tillitsnivå som verksamheten behöver.

En LoA4-godkänd IdP är mer än inloggning

En traditionell Identity Provider löser ofta inloggning och federation. En LoA4-godkänd IdP behöver även hantera tillit till identiteten, processerna, skyddet, livscykeln och ansvarskedjan.

Det innebär att organisationen behöver kunna visa:

  • hur identiteten har kontrollerats
  • hur användaren autentiseras
  • hur rätt tillitsnivå förmedlas till anslutna tjänster
  • hur identiteten kan spärras, uppdateras eller återkallas
  • hur beslut och händelser kan följas upp

Samverkan med övriga IDOmbud

LoA4-spåret hänger nära ihop med andra delar av IDOmbud. Identity Provider hanterar inloggning, federation och tillitsintyg. e-Legitimation kan användas när organisationen vill utfärda och styra en arbetsrelaterad digital identitet. Identity Governance och identitetshantering hjälper till att hålla ansvar, behörighet och livscykel kontrollerade över tid.

Vill du veta mer om hur IDOmbud kan användas i din verksamhet?