Hur IDOmbud hanterar detta
IDOmbud Identity Provider fungerar som en gemensam inloggningspunkt mellan användaren och de applikationer som ska skyddas. Applikationen behöver inte själv hantera alla autentiseringsmetoder, tillitsbedömningar och identitetskällor. Den kan i stället lita på att IDOmbud autentiserar användaren, kontrollerar nödvändig information och skickar vidare rätt identitetskontext.
Anslutna applikationer kan ta emot identitetsinformation via standardiserade federationsprotokoll. För äldre eller etablerade enterprise-miljöer kan SAML vara relevant. För moderna webb- och API-nära miljöer är OIDC ofta mer naturligt. I båda fallen är principen densamma: applikationen får en kontrollerad identitetsleverans i form av en SAML assertion eller OIDC claims, med den information och tillit som flödet kräver.
IDOmbud kan samla flera autentiseringsmetoder bakom samma modell. Det kan handla om lösenord tillsammans med MFA, passkey eller säkerhetsnyckel, OATH eller engångskod, extern e-legitimation som BankID, Freja eller SITHS eID, och IDOmbuds egen e-Legitimation för arbetsrelaterad identitet.
Valet av metod bör styras av sammanhanget. En låg-risk-applikation kan ha ett enklare flöde. En känslig tjänst, administrativ funktion eller reglerad process kan kräva starkare autentisering, högre tillitsnivå eller step-up. Step-up innebär att användaren bara behöver en starkare metod när den aktuella åtgärden eller applikationen kräver det.
När IDOmbud e-Legitimation används i flödet kan organisationen knyta autentiseringen till en arbetsrelaterad och organisationsstyrd identitet. Det skiljer sig från privata e-legitimationer genom att organisationen kan styra utfärdande, användning och återkallelse. Externa e-legitimationer kan fortfarande vara relevanta där de passar användargruppen eller kravbilden, men IDOmbud e-Legitimation ger en tydligare koppling till organisationens egen livscykel, ansvar och governance.
Tillitsnivåer blir en del av den tekniska och organisatoriska modellen. För LoA3 och LoA4 räcker det inte att användaren kan logga in med en stark metod. Organisationen behöver också kunna visa hur identiteten kontrollerades, hur autentiseringen skyddades, hur rätt tillitsnivå förmedlades och hur händelsen kan följas upp.