In English

Förberedelser inför anslutning

Den här sidan guidar dig genom förberedelser som krävs innan du registrerar en e-tjänst i Sweden Connect. Sidan beskriver bland annat vilka organisatoriska, tekniska och säkerhetsmässiga förutsättningar som behöver vara på plats.

Innehållet riktar sig till både verksamhetsansvariga och beslutsfattare.

För dig som arbetar med verksamhet

Du behöver förstå

  • varför din e-tjänst behöver e-legitimering
  • vilka användare som ska kunna logga in
  • vilka uppgifter du behöver om användaren
  • vilka krav som gäller för informationshantering och säkerhet.

Du ansvarar för att

  • säkerställa att rätt lösning väljs
  • definiera behov av identitetsuppgifter
  • se till att organisationen uppfyller krav och regelverk.
För dig som arbetar med teknik

Du behöver förstå

  • och välja anslutningsmetod (OpenID Connect eller SAML)
  • hur integrationen ska implementeras
  • hur metadata, endpoints och certifikat hanteras
  • hur identitetsintyg och attribut ska tas emot och valideras.

Du ansvarar för att

  • implementera integrationen enligt tekniska profiler
  • konfigurera och testa anslutningen
  • säkerställa att säkerhetskrav uppfylls tekniskt.

1. Definera behov av inloggning

Involvera både verksamhet, IT och informationssäkerhet redan nu. För en dialog med eventuellt befintliga leverantörer gällande deras stöd för Sweden Connect.

Börja med att identifiera

  • vilka system och tjänster som berörs
  • eventuell befintlig identitets- och inloggningslösning
  • vilka användare som ska logga in
  • vilka tjänster eller funktioner som kräver verifiering av identitet
  • om ni har några tjänster som inte bygger på svenska personnummer och kan tillåta inloggning med utländska e-legitimationer
  • vilken information som hanteras
  • organisationens kapacitet för direktanslutning, alternativt behov av stöd via leverantör/integratör.

2. Direktanslutning eller anslutning via leverantör

Innan du går vidare behöver ni ta ställning till hur organisationen ska anslutas till Sweden Connect. Valet påverkar bland annat ansvarsfördelning, tekniska krav, resursbehov och förvaltning.

Anslutning via Sweden Connect

Anslutning via Sweden Connect är oftast aktuellt för större organisationer med egen teknisk kompetens och etablerad identitets- och integrationsförmåga.

Typiska exempel

  • statliga myndigheter
  • regioner
  • större kommuner.

En direktanslutning innebär vanligtvis att organisationen

  • ansvarar för integration och teknisk konfiguration
  • hanterar relationen mot Sweden Connect själv
  • behöver interna resurser inom identitet, säkerhet och integration
  • arbetar mer självständigt kring drift, förvaltning och incidenthantering.

Det ger större kontroll och flexibilitet, men ställer också högre krav på organisationens tekniska och organisatoriska mognad.

Anslutning via leverantör/integratör

För mindre organisationer är det ofta mer realistiskt och kostnadseffektivt att ansluta genom en befintlig leverantör eller tjänsteplattform.

Typiska exempel

  • mindre kommuner
  • kommunala bolag
  • mindre offentliga organ.

Det innebär vanligtvis att leverantören

  • hanterar större delar av den tekniska integrationen
  • erbjuder färdiga anslutningslösningar
  • hjälper till med konfiguration och förvaltning
  • fungerar som stöd i anslutningsprocessen.

Organisationens fokus blir då i högre grad att

  • ställa rätt krav på leverantören
  • förstå ansvarsfördelningen
  • säkerställa att juridik, säkerhet och verksamhetsbehov täcks
  • planera inför införande och förvaltning internt.

3. Välj anslutningsmetod

Digg strävar efter att ge aktörer flexibilitet och möjlighet att använda Sweden Connect i flera typer av system och miljöer. Sweden Connect erbjuder snart två tekniska anslutningsmetoder. Vilken du ska välja beror på din lösning och dina behov.

I dag är SAML 2.0 det enda alternativet för anslutning till Sweden Connect. Digg har påbörjat arbetet med att införa OpenID Connect i Sweden Connect. Målet är att möjliggöra anslutning med OpenID Connect under 2026. Då stödjer Sweden Connect båda anslutningsmetoderna fullt ut.

OpenID Connect är den nya långsiktiga metoden för anslutning mot Sweden Connect. Du väljer denna anslutningsmetod för nya tjänster som ska anslutas.

Om OpenID Connect

Genom att införa OpenID Connect får aktörer ytterligare ett sätt att använda Sweden Connect. OpenID Connect är en internationellt etablerad standard för federerad inloggning och används i många moderna digitala tjänster och plattformar.

Två anslutningsmetoder ger större flexibilitet och gör det möjligt att använda infrastrukturen i fler typer av system och miljöer. OpenID Connect är anslutningsmetoden som Digg rekommenderar vid nya anslutningar.

OpenID Connect är

  • lämplig för nya e-tjänster och vid nya anslutningar till Sweden Connect
  • en enklare anslutningsmetod jämfört med SAML
  • ett bättre stöd i moderna plattformar och ramverk jämfört med SAML.

Tidplan och vidare information

Målet är att publicera tekniska specifikationer under 2026. När de är klara blir OpenID Connect ett alternativ i Sweden Connect.

En mer detaljerad tidplan tas fram under arbetets gång. Berörda parter informeras löpande när nya milstolpar och beslut är fastställda.

Vad omfattar arbetet?

Arbetet med att införa OpenID Connect i Sweden Connect omfattar bland annat

  • framtagande av tekniskt ramverk
  • definiering av säkerhetskrav
  • anpassning till federationens tillitsmodell
  • dokumentation för införande och användning.

Innan du påbörjar anslutningen behöver du säkerställa att

  • din organisation uppfyller anslutningsreglerna för Sweden Connect
  • du har grundläggande kunskap om OpenID Connect
  • din e-tjänst kan implementeras som en OpenID Connect-klient
  • du har möjlighet att hantera certifikat och nycklar.

Översikt av anslutningen

Att ansluta med OpenID Connect innebär att din e-tjänst

  • fungerar som en klient i ett OpenID Connect-flöde
  • skickar autentiseringsförfrågningar via Sweden Connect
  • tar emot identitetsintyg i form av ID-tokens
  • använder dessa uppgifter för att autentisera användare.

Anslutningen bygger på konfiguration av klientuppgifter, endpoints och nycklar samt gemensamma tekniska profiler.

Om SAML

SAML 2.0 (Security Assertion Markup Language) är en öppen standard som används för att överföra information om en användares identitet mellan olika system, framför allt vid inloggning. SAML är den etablerade anslutningsmetoden som används av många organisationer som redan är anslutna till Sweden Connect.

SAML är

  • en mer komplex anslutningsmetod än OpenID Connect
  • fortfarande ett alternativ till anslutningsmetod men ersätts successivt av OpenID Connect.

Innan du påbörjar anslutningen behöver du säkerställa att

  • din organisation uppfyller anslutningsreglerna för Sweden Connect
  • du har tillgång till nödvändiga certifikat
  • du har grundläggande kunskap om SAML
  • din e-tjänst kan implementeras som en SAML Service Provider.

Översikt av anslutningen

Att ansluta med SAML innebär att din e-tjänst

  • konfigureras som en Service Provider
  • kommunicerar med Identity Providers via Sweden Connect
  • tar emot identitetsintyg (SAML assertions)
  • använder dessa uppgifter för att autentisera användare.

Anslutningen bygger på metadata, certifikat och gemensamma tekniska profiler.

4. Bedöm krav för åtkomst till e-tjänsten (tillitsnivå)

Du behöver avgöra vilken tillitsnivå som krävs för åtkomst till din e-tjänst. Tillitsnivån beskriver hur säker identifieringen av användaren behöver vara och styr

  • vilka e-legitimationer som kan användas
  • vilka tekniska krav som gäller
  • vilka säkerhetsåtgärder som krävs.

Tillitsnivåer för e-legitimering (digg.se) Länk till annan webbplats.

5. Utred behov av e-underskrifter

I samband med att ni implementerar en e-legitimationslösning i er e-tjänst behöver ni se över behovet av e-underskrift.

E-underskrifter används dagligen av personer som använder e-tjänster. Det kan till exempel vara vid bekräftelse av ett köp eller när användaren skriver under i en myndighetstjänst. En e-underskrift används alltså på ett juridiskt bindande sätt för att användaren ska kunna utföra rättshandlingar inom ramen för en e-tjänst. Den vanligaste formen av e-underskrift är en elektronisk underskrift i en e-legitimation, då ingår underskriftsfunktionen i e-legitimationen.

Ofta har myndigheter behov av annan form av e-underskrift än den som finns via e-legitimationen. Post- och telestyrelsen har tagit fram en vägledning för offentliga aktörer gällande detta.

Elektronisk underskrifter (pts.se) Länk till annan webbplats.

6. Förbered tekniska tester

Teknisk anslutning gör ni genom infrastrukturen Sweden Connect. Innan ett avtal är tecknat med Digg kan ni påbörja tekniska tester i Sweden Connects sandboxmiljö. När avtalet är tecknat kontaktar Digg personen som du har angivit som behörig att hantera den tekniska anslutningen. Först då är det möjligt att göra en teknisk anslutning i QA och produktionsmiljö.

Sandbox Metadata Registry (svelegtest.se) Länk till annan webbplats.

Beställ behörighet till sandboxmiljön

Om du inte redan har behörighet till Sweden Connects sandboxmiljö kan du beställa det.

Beställ behörighet genom att skicka e-post till operations@swedenconnect.se

Ange detta:

  • Namn och mejladress till den som ska ha tillgång till miljön.
  • Organisation.
  • Motivering för tillgång till sandboxmiljön.

7. Förberedelser beroende på behov

Kraven skiljer sig beroende på vilken typ av e-legitimation du ska ansluta till. Du behöver ta del av vägledningen som rör den, eller de, anslutningar som är aktuella för din e-tjänst.

Svenska e-legitimationer (Auktorisationssystem för elektronisk identifiering)

Du behöver bland annat

  • uppfylla kraven i auktorisationssystemet
  • hantera tillitsnivåer enligt svensk modell
  • säkerställa att din tjänst följer federationens regelverk
  • förbereda din tjänst för anslutning via Sweden Connect. Läs mer om detta under Anslut till Sweden Connect.

Vad som kännetecknar svenska e-legitimationer

  • De bygger på etablerade svenska attribut, till exempel personnummer.
  • Det finns en tydlig koppling mellan individ och identitet.
  • Det finns väl definierade tillitsnivåer.
  • De passar bra för tjänster där svensk identifiering är central.

Erbjud inloggning med svenska e-legitimationer (digg.se) Länk till annan webbplats.

Utländska e-legitimationer (eIDAS)

Tänk särskilt på

  • hur attribut från eIDAS ska hanteras
  • att identifierare och personuppgifter skiljer sig från svenska.

Viktiga skillnader att hantera

Utländska e-legitimationer saknar normalt svenska personnummer.

Det innebär att du

  • inte kan utgå från personnummer som unik identifierare
  • behöver använda alternativa identifierare, till exempel eIDAS PersonIdentifier
  • behöver hantera att identitetsuppgifter kan vara annorlunda strukturerade
  • behöver anpassa din datamodell och användarhantering.

ID-matchning

Eftersom utländska e-legitimationer saknar svenska personnummer kan du behöva använda alternativa identifierare som eIDAS PersonIdentifier. Om du ska koppla ihop ett svenskt personnummer i organisationens register med en utländsk identifierare behövs en tydlig strategi för hur användare matchas eller registreras i din tjänst.

Varje organisation ansvarar själv för att avgöra behovet om man ska etablera en egen funktion för identitetsmatchning, det vill säga att koppla ihop den svenska personnumret med den utländska identifieraren. Detta är avgörande för att undvika dubbletter och felaktig koppling av identiteter. Det är ett arbete som kräver ingående kunskap om utländsk e-legitimering.

E-tjänstelegitimationer

E-tjänstelegitimationer används när en person agerar i sin yrkesroll. Det innebär att din e-tjänst behöver hantera både identitet och behörighet i ett sammanhang.

Till skillnad från privata e-legitimationer räcker det inte att veta vem personen är, du måste också veta i vilken roll personen agerar.

Organisationsidentitet och attribut

Identiteten består av tre delar:

  • Individ (personen som loggar in).
  • Organisation (vilken organisation personen tillhör).
  • Roll eller uppdrag (vad personen får göra).

Denna information levereras som attribut (SAML) eller claims (OpenID Connect) och behöver tolkas i din tjänst.

Planera e-tjänsten utifrån användaren

Utgå från hur e-tjänsten används i praktiken.

Du behöver ta ställning till

  • om användaren agerar som privatperson eller i tjänsten
  • om användare från andra organisationer ska kunna logga in
  • vilka roller eller uppdrag som ska stödjas.

Anställningsidentitet i stället för personnummer

Om användare från andra organisationer ska kunna logga in bör du överväga att använda anställningsidentitet i stället för personnummer.

Det innebär att

  • identifieringen kopplas till personens uppdrag
  • beroendet av personnummer minskar
  • du får en mer flexibel modell för externa användare.

Hantering av samordningsnummer

Vissa användare kan ha samordningsnummer i stället för personnummer.

Du behöver därför

  • ta ställning till om dessa ska accepteras
  • säkerställa att din lösning kan hantera dem tekniskt
  • förstå att olika nivåer påverkar tillförlitligheten.

Avgör vem som får göra vad i e-tjänsten

Att en användare har loggat in innebär att personen är identifierad, men inte automatiskt behörig.

Du behöver därför definiera

  • vilka roller som finns i tjänsten
  • vilka rättigheter som hör till varje roll
  • hur dessa rättigheter kopplas till användaren.

Behörighetsstyrning och attributtjänster

Behörighet kan hanteras med hjälp av attribut, till exempel via en attributtjänst.

Det gör det möjligt att

  • avgöra om användaren ska få tillgång till tjänsten
  • styra vad användaren får göra
  • hantera behörighet utanför själva e-tjänsten.

Erbjud inloggning med e-tjänstelegitimationer (digg.se) Länk till annan webbplats.

Se också Vägledning för förlitande parter.

8. Nästa steg

När du har genomfört förberedelserna är det dags att göra en ansökan.

Anslut till Sweden Connect

Frågor?

Frågor och svar om Sweden Connect

Du kan också kontakta oss via e-post.