Hej!
Jag ställde frågan "Kan vi bygga en IdP-lösning på öppen källkod?"
till DIGG med en förklaring av bakgrunden, jag fick förljande svar
från DIGG:
----- svar från DIGG ----------
I Sverige har vi, som ett av få länder inom EU, en öppenhet för att
olika aktörer inom såväl privat som offentlig sektor får ta fram och
erbjuda e-legitimationer. Efter ansökan från e-legitimationsutfärdaren
granskar och godkänner DIGG e-legitimationer mot Tillitsramverket för
Svensk e-legitimation. Tillitsramverket är teknikneutralt och ställer
exempelvis inga krav på att endast vissa operativsystem ska användas.
När e-legitimationen används i offentliga e-tjänster rekommenderar
DIGG användning av den öppna standarden SAML 2.0, som stöds av öppen
programvara, för elektronisk identifiering (det vill säga trafiken
mellan e-legitimationsutfärdarens intygsfunktion och den förlitande
partens digitala tjänst).
-------------------------------
Om jag förstår det här rätt bör det vara möjligt för en ideell aktör
som t.ex. DFRI att bli vad DIGG kallar en "e-legitimationsutfärdare"
och skapa en egen lösning byggd på fri källkod, skicka in en ansökan
till DIGG och lösningen ska då bli godkänd förutsatt att den uppfyller
kraven i "Tillitsramverket för Svensk e-legitimation".
https://www.digg.se/digital-identitet/e-legitimering/tillitsnivaer/tillitsramverket
En relevant del borde vara "Vägledning för IdP-leverantör":
https://www.digg.se/digital-identitet/e-legitimering/tillitsnivaer/tillitsramverket/vagledning-idp
Jag vill gärna höra vad ni andra på listan tänker om det här. Är det
en bra idé att försöka bli en "e-legitimationsutfärdare" på det här
sättet, kopplad till Sweden Connect? Varför/varför inte? Vad tycker ni?
/ Elias
On 2022-04-20 19:07, Elias Rudberg wrote:
Hej alla på eleg-listan!
Det finns ju en så kallad "identitetsfederation" som heter Sweden
Connect som myndigheten DIGG har skapat.
Citerar från https://www.swedenconnect.se/om
--------------------------
Två olika parter ingår: IdP och SP
De parter som ingår i Sweden Connect är:
- Identity provider (IdP): Utför en elektronisk identifiering av
användaren, det vill säga kontrollerar att användaren är den som hen
utger sig för att vara vid legitimering i en e-tjänst, och utfärdar
ett identitetsintyg till e-tjänsten. En IdP kallas också för
legitimeringstjänst.
- Service provider (SP): Tillhandahåller en e-tjänst och behöver få
reda på användarens identitet. En SP kallas också för förlitande part
eftersom denne litar på det identitetsintyg som ställs ut vid en
e-legitimering, och kan vara såväl en privat som offentlig aktör.
--------------------------
Vi (DFRI och/eller eleg-projektet i någon form) skulle då vara en
"Identity provider" (IdP) och vår eleg-lösning skulle då i princip
kunna dyka upp som ett alternativ hos olika "service providers" som
är anslutna till Sweden Connect.
Läser vidare här: https://www.digg.se/digital-identitet/e-legitimering
Under "Funktioner i e-legitimeringsprocessen" står det:
--------------------------
Flera olika funktioner samverkar för att e-legitimeringsprocessen ska
fungera:
- Användare: Har en e-legitimation som hen använder för att
legitimera sig elektroniskt mot en tjänst.
- E-legitimationsutfärdare: Förser användaren med en e-legitimation
och tillhandahåller de stödfunktioner som krävs.
- Leverantör av identitetsintyg: Utför en elektronisk identifiering
av användaren, det vill säga kontrollerar att användaren är den som
hen utger sig för att vara. För de e-legitimationsutfärdare som har
kvalitetsmärket Svensk e-legitimation faller denna funktion inom
utfärdarens ansvar. Kallas också för "identity provider" eller IdP.
- Tillhandahållare av e-tjänst: Är den som litar på det
identitetsintyg som ställs ut, och kan vara såväl en privat som
offentlig aktör. Kallas också för "service provider" eller SP.
--------------------------
Vi skulle då vara både "E-legitimationsutfärdare" och "Leverantör av
identitetsintyg".
Rent tekniskt skulle lösningen till exempel kunna bygga på GPG och
att den privata nyckeln lagras i en YubiKey eller liknande. Det
skulle krävas att läsa på mer i detalj om hur Sweden Connect fungerar
och sen bygga kopplingar mellan vår lösning och "tekniskt ramverk"
för Sweden Connect vilket ser ut att handla mycket om SAML (Security
Assertion Markup Language).
När det gäller att använda fri och öppen källkod nämns det här för
SP, "Kan vi bygga vår SP-lösning på öppen källkod?"
https://www.swedenconnect.se/support/fragor-och-svar
Där står det "Visst kan ni bygga er SP-lösning på öppen källkod.
[...]" men det framgår inte om samma sak också gäller IdP-lösningar.
Någon som vet?
Kan vi skapa en egen lösning med fri och öppen källkod på ett sånt
sätt att den kan anslutas till Sweden Connect?
Om vi kan det, ska vi då göra det, är det en bra idé?
/ Elias
---
Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/
Listan för diskussion om fri och öppen e-legitimation är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: https://lists.dfri.se/eleg-projekt/