[eleg-projekt] Kan vi skapa en egen lösning och ansluta den till Sweden Connect?

[Elias Rudberg <mail@xxxxxxxxxxxxxxx>]

Hej alla på eleg-listan!

Det finns ju en så kallad "identitetsfederation" som heter Sweden 
Connect som myndigheten DIGG har skapat.

Citerar från https://www.swedenconnect.se/om

--------------------------

Två olika parter ingår: IdP och SP

De parter som ingår i Sweden Connect är:

- Identity provider (IdP): Utför en elektronisk identifiering av 
användaren, det vill säga kontrollerar att användaren är den som hen 
utger sig för att vara vid legitimering i en e-tjänst, och utfärdar ett 
identitetsintyg till e-tjänsten. En IdP kallas också för 
legitimeringstjänst.

- Service provider (SP): Tillhandahåller en e-tjänst och behöver få reda 
på användarens identitet. En SP kallas också för förlitande part 
eftersom denne litar på det identitetsintyg som ställs ut vid en 
e-legitimering, och kan vara såväl en privat som offentlig aktör.

--------------------------

Vi (DFRI och/eller eleg-projektet i någon form) skulle då vara en 
"Identity provider" (IdP) och vår eleg-lösning skulle då i princip kunna 
dyka upp som ett alternativ hos olika "service providers" som är 
anslutna till Sweden Connect.

Läser vidare här: https://www.digg.se/digital-identitet/e-legitimering

Under "Funktioner i e-legitimeringsprocessen" står det:

--------------------------

Flera olika funktioner samverkar för att e-legitimeringsprocessen ska 
fungera:

- Användare: Har en e-legitimation som hen använder för att legitimera 
sig elektroniskt mot en tjänst.

- E-legitimationsutfärdare: Förser användaren med en e-legitimation och 
tillhandahåller de stödfunktioner som krävs.

- Leverantör av identitetsintyg: Utför en elektronisk identifiering av 
användaren, det vill säga kontrollerar att användaren är den som hen 
utger sig för att vara. För de e-legitimationsutfärdare som har 
kvalitetsmärket Svensk e-legitimation faller denna funktion inom 
utfärdarens ansvar. Kallas också för "identity provider" eller IdP.

- Tillhandahållare av e-tjänst: Är den som litar på det identitetsintyg 
som ställs ut, och kan vara såväl en privat som offentlig aktör. Kallas 
också för "service provider" eller SP.

--------------------------

Vi skulle då vara både "E-legitimationsutfärdare" och "Leverantör av 
identitetsintyg".

Rent tekniskt skulle lösningen till exempel kunna bygga på GPG och att 
den privata nyckeln lagras i en YubiKey eller liknande. Det skulle 
krävas att läsa på mer i detalj om hur Sweden Connect fungerar och sen 
bygga kopplingar mellan vår lösning och "tekniskt ramverk" för Sweden 
Connect vilket ser ut att handla mycket om SAML (Security Assertion 
Markup Language).

När det gäller att använda fri och öppen källkod nämns det här för SP, 
"Kan vi bygga vår SP-lösning på öppen källkod?"
https://www.swedenconnect.se/support/fragor-och-svar
Där står det "Visst kan ni bygga er SP-lösning på öppen källkod. [...]" 
men det framgår inte om samma sak också gäller IdP-lösningar. Någon som vet?

Kan vi skapa en egen lösning med fri och öppen källkod på ett sånt sätt 
att den kan anslutas till Sweden Connect?

Om vi kan det, ska vi då göra det, är det en bra idé?

/ Elias

---
Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/