...
eduID är en identitetsutfärdare som är tillgånglig tillgänglig för alla fysiska personer som omfattas av någon process inom forsknings- och utbildningsektorn i Sverige. Detta betyder att även utländska forskare, studenter eller annan personal kan använda eduID sålänge det finns en koppling till Svensk forskning och utbildning. Användare i eduID får ej kopplas till juridiska personer som inte är fysiska individer. En eduID-användare är personlig men kan i vissa fall associeras med information som bifogas från en organisation inom forsknings- och utbildningssektorn. Sådan information kontrolleras av respektive organisation. Detta sker genom tjänsten eduID Connect.
Denna tekniska tjänstebeskrivning gäller för DiggMyndigheten för digital förvaltning:s (Digg) tillitsramverk. För teknisk tjänstebeskrivning inom SWAMID:s tillitsramverk klicka på denna länk.
Vad krävs för att kunna logga in mot en tjänst som kräver
...
DiGG tillitsnivå 2 (Level of Assurance, LoA2)?
- Att kontot är verifierat med någon av nedan metoder
- och att en multifaktor lagts till och använts för att logga in.
...
Följande profiler för SAML stödjs:
Identitetsverifiering
Identitetsverifiering betyder att associera en eduID-användare med en fysisk person. Det finns ett antal alternativa processer för att genomföra identitets-verifiering:
...
Ger tillitsnivå e-leg LoA2 enligt Diggs ramverk. (detta gäller från senare under 2023 när eduID godkänns för att utfärda DIGG e-leg)
ID-växling med e-legitimation enligt
...
DiGG:s valfrihetssystem
Här verifieras identiteten genom att man efter lyckad process ärver verifikationen man fått vid utfärdandet av sin e-legitimation.
- Användaren uppger ett personnummer
- Användaren anmodas logga in med en e-legitimation som omfattas av ett valfrihetssystem som medger ID-växling
- Om det uppgivna personnumret överensstämmer med personnumret från inloggningen så har processen lyckats.
Ger tillitsnivå e-leg LoA2 enligt Diggs ramverk.
ID-växling med DiGG godkänd e-leg LoA2 baserad på resehandling enligt ICAO 9303
Här verifieras identiteten genom att användaren har tillgång till resehandlingen och att information ur resehandlingen (så som biometri) överensstämmer med personen som verifierar sig.
- Användaren anmodas ladda ner Freja eID:s app som medger verifiering av ICAO-dokument (tex pass) med stöd för biometrisk information
- Användare scannar ett ICAO-dokument (resehandling) och genomför verifiering med hjälp av biometrisk information på resehandlingen. Denna verifiering sker på ett sätt som garanterar att innehavaren av resehandlingen kopplas samman med hjälp av biometrisk verifiering till den person som genomför verifieringen i realtid
- Användaren genomför en ID-växling inifrån sitt eduID-konto mot Freja eID där informationen från resehandlingen hämtas
- Information från resehandlingen kopplas till eduID-användaren efter en lyckad ID-växling.
Ger tillitsnivå e-leg LoA2 enligt Diggs ramverk.
ID-växling med eIDAS
Här verifieras identiteten genom att användaren har en nationell e-legitimation från ett annat europeiskt land som kan verifieras genom den svenska eIDAS-noden.
- En användare inloggad på sitt eduID-konto anmodas att göra en inloggning med en nationell e-legitimation genom den svenska eIDAS-noden
- Användaren väljer från vilket land e-legitimationen är utfärdad och genomför inloggningen
- Användaren genomför en ID-växling där informationen från den nationella e-legitimationen från ett annat europeiskt land hämtas
- Information från e-legitimationen kopplas till eduID-användaren efter en lyckad ID-växling.
Ger tillitsnivå e-leg LoA2 enligt Diggs ramverk. (detta gäller från senare under 2023 2025 när eduID godkänns för att utfärda DIGG e-leg till de med en e-legitimation från ett annat europeiskt land)
Inloggningssäkerhet
eduID stödjer inloggning via användarnamn och lösenord i kombination med FIDO2-tokens (via WebAuth-API:et) där förhöjd säkerhet krävs. Inloggning med förhöjd säkerhet (sk MFA) sker på begäran från en ansluten tjänst via protokollelement (tex AuthenticationContextClassRef för SAML eller ACR för OpenID Connect). Kontroll av MFA sker mot FIDO Alliance register över godkända intyg (attestations) eller Passkeys. Exakt vilka protokollelement som resulterar i inloggning med MFA finns beskrivet i respektive implementationsprofil som eduID stödjer.
eduID förväntar sig att FIDO2-token är någon av följande "key protection":
- "faceprint_internal",
- "passcode_external",
- "passcode_internal",
- "handprint_internal",
- "pattern_internal",
- "voiceprint_internal",
- "fingerprint_internal",
- "eyeprint_internal",
Samt kräver att protection uppfylls med någon av följande "user verification":
- "remote_handle",
- "hardware",
- "secure_element",
- "tee",
Och att FIDO2-token skickas med en attestation, eller är av typen Passkey.
Autentisering
Vid skapande av konto genereras ett lösenord som är svårt att gissa. Användaren loggar in genom att ange detta. Efter inloggning kan användaren byta till ett annat säkert lösenord. Användaren måste också lägga till ytterligare säkerhetsnyckel för att kunna verifiera sitt konto på Digg LoA2. Eventuell verifiering av kontot nollställs om lösenordet till kontot återställs.
...
Kvalitetsmärken är normalt tillämpbara för eduID samt för eduID Connect i de fall eduID helt och fullt används som bakomliggande IdP. Normalt ska alltså virtuella IdP:er i eduID Connect ses som separata medlemmar i respektive federationer och förtroenderamverk men i fallet då eduID Connect använder eduID som bakomliggande eduID så är i de flesta fall dessa förtroenderamverk tillämpliga.
| Namn | Aktuellt | Extern review | Länk |
|---|
| DiGG LoA2 |
| ja | DIGG |