Identifieringstjänst

Kort beskrivning

Denna tjänst hanterar hela inloggningsförfarandet från att välja inloggningsmetod, validering av inloggning och skapa en biljett (SAML). Det finns även stödfunktioner för att verifiera den biljett som returneras av denna tjänst.

Övrig information

Identifieringstjänsten exponerar externa gränssnitt för kommunikation enligt SAML-standarden för de klienter som stödjer detta protokoll. Denna tjänst är en option av CCE-012Hför de som inte vill ha all funktionalitet utan enbart SAML stödet.

Funktionell beskrivning

Denna tjänst hanterar hela inloggningsförfarandet från att välja inloggningsmetod, validering av inloggning och skapa en biljett (SAML). Det finns även stödfunktioner för att verifiera den SAML-biljett som returneras av denna tjänst. Autentisering krävs för att säkerställa att endast betrodda användare kan få tillgång till systemet. I inloggningstjänsten sker autentisering av användare med hjälp av valfri autentiseringslösning som ger säker autentisering av användare. Därmed möjliggörs Single Sign-On mellan applikationer och organisationer. Tjänsten försäkrar att en aktör har identifierats, verifierats och tilldelas olika attribut. Detta påstående är ett undertecknat bevis och det kan sedan användas för att få tillgång till ett program i stället för att begära en ny autentisering från aktören. Grundflödet för en normal användarsession börjar med att en användare besöker kundens portal och klickar på en länk för e-tjänster. Inloggningen fullföljs genom följande steg:

  1. Applikationen (e-tjänsten) skickar användaren till Identifieringstjänsten för att där välja inloggningsmetod.
  2. Sidan presenterar tillgängliga inloggningsmetoder. Användaren väljer inloggningsmetod.
  3. Validering sker av inloggning, samt en biljett skapas.
  4. Användaren blir vidarebefordrad till tjänsten.
  5. Ett beslut om behörighet tas baserat på biljetten och funktion användaren försöker komma åt.
  6. Inloggningen är klar

Tjänsten kan konfigureras till att tillåta olika typer av identifieringsmetoder baserat på t.ex. användartyp:

  1. Personlig e-legitimation Telia/Nordea
  2. Personlig e-legitimation BankId
  3. Sterias e-tjänstelegitimationer

Teknisk beskrivning

Tjänsten hanterar autentiseringsbevis enligt standarden Security Assertion Markup Language, SAML, ver 2.0. Denna standard är en XML-baserad standard för utbyte av autentiseringsdata mellan säkerhetsdomäner. Tjänsten stöder flera olika autentiseringsmetoder och kan integreras med de flesta typer av inloggningar. I tjänsten går det att använda flera olika attributkällor. Det är också möjligt att ställa in vilka tjänsteleverantörer som kräver vissa egenskaper, så att varje SAML Assertion är anpassad för den specifika tjänsten där den ska konsumeras. Attributen kan hämtas från följande källor:

  • SQL-databas
  • LDAP katalog
  • X.509-certifikat

Säkerhet

Tjänsten är ansvarig för kontrollen av en utfärdad SAML biljett och används av en Service Provider vid validering av en användares identitet. Den utför följande kontroller på varje SAML förfrågan:

  • XML-validering mot schemat definitioner säkerställer att SAML påståendet är välformat
  • Valid Time Check garanterar att påståendet för tiden inte är passerad och att den aktuella tiden är inom gällande tidsintervall
  • Valid Signature Check säkerställer att påståendet inte har manipulerats eller förfalskats
  • Signing Certificate Checking säkerställer att signeringscertifikat var giltigt vid tidpunkten för undertecknande och att det utfärdas av en betrodd certifikatutfärdare
  • Proof of Possession Checking säkerställer att användaren som presenterar SAML biljetten i själva verket är användaren det utfärdades till

Denna tjänst stöder federationer både på identitetssidan och verksamhetssidan för att ge maximal flexibilitet och styrka i säkerheten. Tjänsten har stöd för WS-Federation specifikationen.

Gränssnitt och integration

Identifieringstjänsten exponerar externa gränssnitt för kommunikation enligt SAML-standarden för de klienter som stödjer detta protokoll. Tjänsten har dessutom en färdig integration för användning tillsammans med Formulärverifiering i ASP.NET. Denna integration bygger på Microsoft’s design pattern ”Provider Model” och kan användas för att ge en SAML-baserad autentisering i applikationer, exempelvis SharePoint och EPiServer. Integrationsfunktionaliteten för Form Authentication innehåller följande:

  • Specialiserad inloggningssida som utför autentisering via tjänstens Authentication Service enligt SAML Web browser SSO profile.
  • SamlMembershipProvider, SamlRoleProvider och SamlMembershipUser, som används för att skapa användarens identitet och roll utgående från användarens SAML biljett

Till denna tjänst kan följande tilläggstjänster beställas:

  • Identifieringstjänst, CCE-112
  • Loggningstjänst, CCE-120

Prisuppgifter


Infrastrukturella tjänster som stödjer verksamhetsstödjande tjänster
ID Rad Beskrivning Startpris (sek) Månadspris (sek) Månadspris per användare (sek) Per ärende (sek) Per ärende och månad (sek) Notering
CCE-112 Rad 1 Identifieringstjänst 9 400 100