Federation och autentisering

Hur IDOmbud kopplar inloggning, federation, metodval och tillitsnivåer till anslutna applikationer.

Hur IDOmbud hanterar detta

IDOmbud Identity Provider fungerar som en gemensam inloggningspunkt mellan användaren och de applikationer som ska skyddas. Applikationen behöver inte själv hantera alla autentiseringsmetoder, tillitsbedömningar och identitetskällor. Den kan i stället lita på att IDOmbud autentiserar användaren, kontrollerar nödvändig information och skickar vidare rätt identitetskontext.

Anslutna applikationer kan ta emot identitetsinformation via standardiserade federationsprotokoll. För äldre eller etablerade enterprise-miljöer kan SAML vara relevant. För moderna webb- och API-nära miljöer är OIDC ofta mer naturligt. I båda fallen är principen densamma: applikationen får en kontrollerad identitetsleverans i form av en SAML assertion eller OIDC claims, med den information och tillit som flödet kräver.

IDOmbud kan samla flera autentiseringsmetoder bakom samma modell. Det kan handla om lösenord tillsammans med MFA, passkey eller säkerhetsnyckel, OATH eller engångskod, extern e-legitimation som BankID, Freja eller SITHS eID, och IDOmbuds egen e-Legitimation för arbetsrelaterad identitet.

Valet av metod bör styras av sammanhanget. En låg-risk-applikation kan ha ett enklare flöde. En känslig tjänst, administrativ funktion eller reglerad process kan kräva starkare autentisering, högre tillitsnivå eller step-up. Step-up innebär att användaren bara behöver en starkare metod när den aktuella åtgärden eller applikationen kräver det.

När IDOmbud e-Legitimation används i flödet kan organisationen knyta autentiseringen till en arbetsrelaterad och organisationsstyrd identitet. Det skiljer sig från privata e-legitimationer genom att organisationen kan styra utfärdande, användning och återkallelse. Externa e-legitimationer kan fortfarande vara relevanta där de passar användargruppen eller kravbilden, men IDOmbud e-Legitimation ger en tydligare koppling till organisationens egen livscykel, ansvar och governance.

Tillitsnivåer blir en del av den tekniska och organisatoriska modellen. För LoA3 och LoA4 räcker det inte att användaren kan logga in med en stark metod. Organisationen behöver också kunna visa hur identiteten kontrollerades, hur autentiseringen skyddades, hur rätt tillitsnivå förmedlades och hur händelsen kan följas upp.

Vad kunden behöver ta ställning till

  • vilka applikationer som ska anslutas först
  • om respektive applikation bör använda SAML, OIDC eller annan integrationsmodell
  • vilka claims eller assertions applikationen behöver
  • vilken identitetskälla som är styrande för olika användargrupper
  • vilka autentiseringsmetoder som ska vara tillåtna
  • vilka flöden som kräver MFA, passkey, e-legitimation eller step-up
  • vilka tillitsnivåer som krävs för olika applikationer och åtgärder
  • hur externa e-legitimationer ska användas i relation till IDOmbud e-Legitimation
  • hur inloggningshändelser, metodval och tillitsnivå ska loggas och följas upp

Vill du veta mer om hur IDOmbud kan användas i din verksamhet?