Arbetsrelaterad tillit blir styrbar
Organisationen får en tydligare modell för vem som får bära en digital identitet och när den ska återkallas.
e-Legitimation bygger på en modell där organisationen kan utfärda en arbetsrelaterad digital identitet som användaren bär i IDOmbud-appen. Identiteten ska kunna användas för stark autentisering utan att organisationen behöver luta sig mot privata e-legitimationer eller bygga separata inloggningslösningar för varje applikation.
Organisationen får en tydligare modell för vem som får bära en digital identitet och när den ska återkallas.
Utfärdande, presentation, revokeringskontroll och identitetskontext kan beskrivas som ett sammanhängande flöde.
Credential-modellen binder ihop utfärdande, bärare, verifiering och applikationens identitetskontext.
En arbetsrelaterad digital identitet skapas.
Identiteten bärs i app, wallet eller motsvarande klient.
Credential presenteras i autentiseringsflödet.
Verifiering, giltighet och tillitskrav kontrolleras.
Tjänsten får rätt uppgifter för åtkomstbeslut.
e-Legitimation bygger på en modell där organisationen kan utfärda en arbetsrelaterad digital identitet som användaren bär i IDOmbud-appen. Identiteten ska kunna användas för stark autentisering utan att organisationen behöver luta sig mot privata e-legitimationer eller bygga separata inloggningslösningar för varje applikation.
Den tekniska utgångspunkten är att identiteten ska vara:
Arkitekturen ligger nära EU:s EUDI Wallet-modell och öppna standarder för Verifiable Credentials. I praktiken innebär det att identitetsuppgifter kan utfärdas som verifierbara digitala intyg och presenteras kontrollerat när användaren behöver legitimera sig digitalt.
För organisationen ger det en mer flexibel identitetsmodell än lösningar där all information måste hämtas direkt från en central katalog eller från en nationell privat e-legitimation. För användaren innebär det en mobil, wallet-nära upplevelse där e-legitimationen kan presenteras när den behövs.
IDOmbud använder begrepp som ligger nära wallet- och credential-modellen. Appen fungerar som användarens wallet. e-Legitimationen är den arbetsrelaterade identitet som ligger i appen och som kan presenteras för en verifierande part vid autentisering.
| IDOmbud-begrepp | EU/wallet-begrepp | Förklaring |
|---|---|---|
| IDOmbud-appen | Wallet | Appen där användaren bär sin digitala identitet. |
| e-Legitimation | Verifiable Credential | Organisationens arbetsrelaterade digitala identitet i appen, tekniskt utformad som ett verifierbart digitalt intyg. |
| Tjänste-eID | Verifiable Credential | Kortare teknisk benämning när sammanhanget är tydligt. |
| Utfärdare | Issuer | Den part som skapar och utfärdar e-legitimationen. |
| Användare | Holder | Den person som har e-legitimationen i sin wallet. |
| IdP | Verifier | Den part som verifierar intyget vid autentisering. |
| Autentiseringsmetod | Presentation och verifiering | Det tekniska flöde där e-legitimationen presenteras och kontrolleras. |
e-Legitimation behöver inte vara låst till ett enda sätt att bäras eller presenteras. I många flöden kan passkey användas som bärare av den arbetsrelaterade identiteten. Det gör att användaren kan autentisera sig med en etablerad, lösenordsfri metod samtidigt som organisationen behåller kontroll över vilken identitet som har utfärdats, vilken tillit som krävs och när åtkomsten ska upphöra.
I ett sådant upplägg blir passkey inte en separat inloggningslösning vid sidan av e-Legitimation, utan en praktisk bärare i samma modell. Organisationen kan använda passkey för stark autentisering och samtidigt knyta inloggningen till den identitet, livscykel och styrning som IDOmbud hanterar.
En utgiven e-legitimation på passkey kan användas i de scenarier där passkeys stöds. Det kan till exempel vara inloggning från en Windows-dator med Windows Hello, från macOS eller iOS med Touch ID eller Face ID, från Android med plattformens inbyggda passkey-stöd eller från en webbläsare som stödjer passkeys. På så sätt kan samma organisationsstyrda identitet användas i etablerade lösenordsfria flöden utan att organisationen behöver skapa en separat identitetsmodell för varje klienttyp.
Det är särskilt relevant när användarupplevelsen behöver vara enkel, snabb och lösenordsfri, men där organisationen ändå behöver kunna styra utfärdande, återkallelse och koppling till egna behörighetsmodeller.
I ett förenklat flöde fungerar modellen så här:
Det gör att e-legitimationen kan bära organisationens identitet medan åtkomstlagret hanterar federation, policyer och anslutning till applikationer.
e-Legitimation är utformad enligt principen Privacy by Design. Det innebär att lösningen ska kunna stödja selektiv informationsdelning, där användaren bara delar den information som faktiskt behövs i den aktuella situationen.
Det skiljer sig från mer traditionella identitetsmodeller där hela identitetspaket ofta exponeras som en följd av inloggningen. När presentationen kan styras mer selektivt blir det lättare att anpassa informationsdelningen till det faktiska behovet och samtidigt minska onödig exponering av data.
När e-Legitimation används tillsammans med Fortified ID Access blir Access det lager som kopplar den starka identiteten till applikationer, federation och policyer.
I ett sådant flöde kan Access till exempel:
Det gör att e-legitimationen kan användas som identitetsbärare samtidigt som Access står för integrationslogik och kontroll över hur identiteten används vidare.
De viktigaste tekniska byggblocken är: