Federerad identitet

Från Rilpedia

Hoppa till: navigering, sök
Wikipedia_letter_w.pngTexten från svenska WikipediaWikipedialogo_12pt.gif
rpsv.header.diskuteraikon2.gif

En federation i ett identitetssammanhang kan sägas vara en sammanslagning av organisationer som har enats om hur man ska hantera identiteter över organisationsgränserna. Grundidén är att en given användare som autentiserat sig hos en organisation kan med automatik bli autentiserad hos en annan organisation som ingår i federationen, det vill säga en single sign-on som överskrider organisationsgränserna. Man säger då att användarens identitet är federerad.

Vid praktisk tillämpning av federerade identiteter är en av grundstenarna ett tillitsförhållande mellan de organisationer som ingår i federationen. Tilliten ligger i att en organisation litar på att en annan organisation genomfört autentisering – identifiering + verifiering – på ett korrekt sätt och att den genomförs i en kontrollerad och tillförlitlig IT-miljö.

En federation består av olika aktörer där respektive organisation som ingår i federationen kan vara olika aktör beroende på kontext och interaktion.

Innehåll

Aktörer i en federation

Identity Provider (IdP) Ansvarar för autentisering av användare och utfärdar identitetsbevis för användarens identitet till övriga intressenter i federationen. Det är Identity Provider som är källan till att autentiseringar kan återanvändas i form av organisationsöverskridande single sign-on. En Identity Provider kan dessutom utfärda annan information om användaren till exempel identitetsattribut (namn, adress, e-post, etc.) och auktorisationsinformation (roll, rättighetsattribut, etc.), denna information utfärdas antingen direkt i identitetsbeviset eller som svar på frågor som ställs av intressenterna efter att de mottagit identitetsbeviset.

Service Provider (SP) Erbjuder tjänster som nyttjas av användare. Tjänsterna är skyddade och kräver inloggning och i förekommande fall även behörighetskontroll. En Service Provider är intressent till de identitetsbevis, identitetsattribut och auktorisationsinformation som utfärdas av Identity Provider för respektive användare.

User Agent (UA) Användare som autentiseras hos en Identity Provider och tillåter att identiteten federeras till en Service Provider där användarens nyttjar en tjänst.

Autentiseringsprocessen

Autentiseringsprocessen hos Identity Providerns resulterar i en styrkt identitet för användaren. Denna identitet är användarens primära identitet för den session som Identity Providern skapar för användaren också som ett resultat av autentiseringsprocessen. En session etableras genom att Identity Providern sätter en cookie i användarens webbläsare, i typiska implementationer är cookien endast giltig under en begränsad tid och endast så länge samma instans av webbläsaren körs.

Användarens primära identitet är dock inte alltid den som är aktuell att federera till en Service Provider. Ett exempel på detta är en användare som kontaktar en Service Provider i rollen som representant för ett företag och där Service Providern förväntar sig ett organisationsnummer som användaridentitet. Lösningen för detta användningsfall är identitetsmappning.

Federeringsexempel

e-Köpings kommun

e-Köping är en fiktiv kommun som Heimore Group har tagit fram tillsammans med Arbetsförmedlingen. Syftet är att demonstrera flöden i offentliga e-tjänster och inloggning som använder sig av e-legitimation. Lösningen bygger på så kallad federering där e-Köping litar på Arbetsförmedlingens kontroll av e-legitimationens äkthet och giltighet. Därför behöver inte e-Köping själv ställa frågan till infratjänsten som definierats av Verva. Än så länge är det endast e-tjänsten Söka förskoleplats som det har byggts ett flöde kring.

Exempel på leverantörer av lösningar för federerade identiteter

  • Konsulter
  • Färdigförpackade lösningar
  • Licenser och support
  • Produkter
  • Konsulter
  • Produkter
  • Konsulter
  • Produkter

Noter

Personliga verktyg
På andra språk