Entitetskategorier och tillitsnivåer i Sweden Connect

Regler för användande av tillitsnivåer och entitetskategorier

Följande rutiner gäller för hantering av tillitsnivåer och entitetskategorier inom Sweden Connect-federationen:

Identifierare för tillitsnivåer

En identifierare för en tillitsnivå (authentication context) används i SAML-intyg för att informera om enligt vilken tillitsnivå en en legitimering utförts. Baserat på denna kan mottagande entitet avgöra "styrkan" på legitimeringen.

En legitimeringstjänst (Identity Provider) skall annonsera vilken, eller vilka, tillitsnivåer den kan leverera, och är godkänd för att leverera genom att inkludera entitetsattributet "urn:oasis:names:tc:SAML:attribute:assurance-certification" i sin metadata och där ange dessa identifierare.

Identifieraredocs.swedenconnect.se för tillitsnivåer finns definierade i Tekniskt ramverk, under kapitel 3.1.1 i specifikationen Swedish eID Framework - Registry for identifiers.

Nedan följer en tabell över de identifierare som f.n. är aktuella inom Sweden Connect och vilka regler som gäller för dess användning:

Tillitsnivå - Identifierare Rutin vid registering i QA och produktion
loa3
http://id.elegnamnden.se/loa/1.0/loa3
Vid registrering av metadata verifieras att legitimeringstjänsten är certifierad för tillitsnivå 3 enligt Tillitsramverket för Svensk e-legitimation.
loa3-sigmessage
http://id.elegnamnden.se/loa/1.0/loa3-sigmessage
En s.k. "Sign Message Authentication Context" URI som används vid legitimering för underskrift. Samma regler som vid registrering av loa3 gäller.
uncertified-loa3
http://id.swedenconnect.se/loa/1.0/uncertified-loa3
En legitimeringstjänst som inte certifierats för tillitsnivå 3 har inte rätt att annonsera loa3, och inte heller skapa SAML-intyg som innehåller identifieraren för loa3. De legitimeringstjänster som gör en självdeklaration att de uppfyller kraven för tillitsnivå 3, men ännu inte granskats och godkänts enligt Tillitsramverket för Svensk e-legitimation skall därför använda sig av uncertified-loa3.
uncertified-loa3-sigmessage
http://id.swedenconnect.se/loa/1.0/uncertified-loa3-sigmessage
En s.k. "Sign Message Authentication Context" URI som används vid legitimering för underskrift. Skall användas av legitimeringstjänster som stödjer legitimering för underskrift enligt Tekniskt ramverk, och ej är godkända för loa3.

Tekniskt ramverk definierar också en rad identifierare för legitimering mot eIDAS. Dessa kan endast deklareras av den svenska eIDAS-noden. De är beskrivna under kapitel 3.1.1 i specifikationen Swedish eID Framework - Registry for identifiers.

Notera: Tabellen ovan diskuterar certifiering enligt Tillitsramverket för Svensk e-legitimation, och även de legitimeringstjänster som inte är certifierade har möjlighet att ansluta till Sweden Connect-federationen. Dock måste alla legitimeringstjänster som ansluts uppfylla Tekniskt ramverk. Detta skall styrkas genom interoperabilitetstester.

Entitetskategorier

Specifikationen Entity Categories for the Swedish eID Framework definierar fyra typer av SAML entitetskategorier. Detta stycke går igenom de olika typerna och vad som gäller för dess användande.

Ett av syftena med entitetskategorier är att kunna, baserat på en e-tjänst (SP), kunna avgöra vilka legitimeringstjänster (IdP:er) denna SP kan använda för att legitimera sina användare. Matchningslogik för skapande av en s.k. Discovery Service (anvisningstjänst) finns beskrivet i kapitel 1.3 och 1.4 av Entity Categories for the Swedish eID Framework.

Även om en given e-tjänst (SP) inte nyttjar en central anvisningstjänst är det viktigt att rätt entitetskategorier deklareras i dess metadata. Entitetskategorier används nämligen också av legitimeringstjänster för att avgöra vilka attribut som ska släppas i ett SAML-intyg (Service Entity Categories), för att avgöra om ett anrop ska betjänas baserat på avtalsförhållanden (Service Contract Categories), eller som styrmekanismer (Service Type Categories).

Service Entity Categories

Entitetskategorier av typen "Service Entity Category" används av legitimeringstjänster (IdP) för att annonsera vilka typer av legitimering som levereras, och av e-tjänster (SP) för att deklarera vilken, eller vilka typer, av legitimering de önskar använda.

Följande, för Sweden Connect-federationen, relevanta kategorier definieras av Tekniskt ramverk:

Identifierare Beskrivning Rutin vid registering i QA och produktion
loa3-pnr Legitimering enligt loa3 med attributsläpp enligt Natural Personal Identity with Civic Registration Number. Vid registrering av legitimeringstjänst (IdP) i metadata verifieras av denna är certifierad enligt tillitsnivå 3 (se loa3 ovan). För en e-tjänst (SP) som deklarerar denna identifierare görs ingen vidare kontroll.
eidas-naturalperson Legitimering enligt någon av de definierade eIDAS-nivåerna (se kapitel 3.1.1 av Swedish eID Framework - Registry for identifiers) och attributsläpp enligt eIDAS Natural Person Attribute Set. Endast den svenska eIDAS-noden har som legitimeringstjänst (IdP) rätt att deklarera denna identifierare. För en e-tjänst (SP) så skall den deklareras för att kunna erhålla korrekt uppsättning attribut vid legitimering mot den svenska eIDAS-noden. En SP måste också deklarera Service Contract-identifieraren sweden-connect (se nedan) för att kunna skicka legitimeringsbegäran till den svenska eIDAS-noden.
eidas-pnr-delivery Kategori som används för att markera legitimering av svenska medborgare mot eIDAS. Får endast tilldelas den svenska eIDAS Proxy Service-noden samt den, eller de, legitimeringstjänster som har avtal och är godkända för att leverera legitimering mot eIDAS.
Utöver de ovan beskrivna kategorierna definierar Sweden Connect följande entitetskategori av typen "Service Entity Category":
uncertified-loa3-pnr http://id.swedenconnect.se/ec/sc/uncertified-loa3-pnr

Motsvarigheten till loa3-pnr för legitimeringstjänster som inte certifierats enligt loa3 men som gör en självdeklaration att dessa uppfyller kraven för tillitsnivå 3.
Intyg som utfärdas av legitimeringstjänster som erbjuder tjänster enligt uncertified-loa3-pnr innehåller sålunda uncertified-loa3 istället för loa3.
De e-tjänster (SP) som deklarerar denna identifierare gör en utfästelse att de accepterar dessa typer av legitimeringstjänster.

Service Property Categories

Entitetskategorier av typen "Service Property" används för att definiera en viss egenskap för en tjänst (service property).

Följande definitioner finns:

Identifierare Beskrivning Rutin vid registering i QA och produktion
mobile-auth Egenskap som indikerar att en tjänst är anpassad för mobila enheter. För en legitimeringstjänst (IdP) innebär det att om denna identifierare är deklarerad så kan en mobil enhet användas för legitimering samt att användargränssnittet är mobilanpassat. Ingen kontroll utförs gällande denna entitetskategori.
scal2 Indikerar att en tjänst är anpassad för, och stödjer, "Sole Control Assurance Level 2 (SCAL2)" enligt Signature Activation Protocol for Federated Signing. För en legitimeringstjänst krävs bevis på fullgott stöd för att inkludera SAD-attribut i SAML-intyg. Detta valideras i samband med testning för uppfyllande av Tekniskt ramverk.

Service Type Categories

Entitetskategorier av typen "Service Type" används för att definiera olika typer av tjänster inom federationen.

Följande definitioner finns:

Identifierare Beskrivning Rutin vid registering i QA och produktion
sigservice Indikerar att tjänst som deklarerar denna identifierare är en underskriftstjänst (signature service SP). Ingen kontroll utförs gällande denna entitetskategori annat än att skapande organisation uttryckligen skall notifiera federationsoperatören om att aktuell tjänst är en underskriftstjänst.
public-sector-sp En e-tjänst som deklarerar denna identifierare är en tjänst i offentlig sektor. Den svenska eIDAS-noden kräver att en tjänst antingen deklarerar public-sector-sp eller private-sector-sp. En kontroll utförs för att säkerställa att aktuell tjänst är en tjänst för offentlig sektor.
private-sector-sp En e-tjänst som deklarerar denna identifierare är en tjänst i private sektor. Den svenska eIDAS-noden kräver att en tjänst antingen deklarerar public-sector-sp eller private-sector-sp. En kontroll utförs för att säkerställa att aktuell tjänst är en tjänst för privat sektor.
Notera: För närvarande är det endast möjligt för tjänster för offentlig sektor att anslutas för eIDAS-trafik.

Service Contract Categories

Entitetskategorier av typen "Service Contract" används för att deklarera avtalsrelationer mellan parter inom federationen.

Sweden Connect definierar följande identifierare för "Service Contract":

Identifierare Beskrivning Rutin vid registering i QA och produktion
sweden-connect http://id.swedenconnect.se/contract/sc/sweden-connect

Identifierare som indikerar att part har skrivit på "Avtal med förlitande part beträffande funktioner för elektronisk identifiering Sweden Connect".

Endast parter som skrivit på detta avtal har rätt att anslutas till Sweden Connect-federationen.
Kontroll utförs för att säkerställa att organisationen som registrerar entitet för metadata har tecknat Sweden Connect-avtalet.
eid-choice-2017 http://id.swedenconnect.se/contract/sc/eid-choice-2017

Identifierare som indikerar att part har tecknat avtal "Valfrihetssystem 2017 E-legitimering".

Endast e-tjänster som tecknat detta avtal har rätt att skicka legitimeringsbegäran till legitimeringstjänster inom valfrihetssystem 2017.
Kontroll utförs för att säkerställa att organisationen som registrerar entitet för metadata ingår i "Valfrihetssystem 2017 E-legitimering".

Beskrivning av ovanstående avtal finns på www.elegnamnden.se.