E-legitimering i det digitala ekosystemet
Nu har det börjat ta fart på riktigt med digitala identiteter och e-legitimering (tjänste-eid) inom den kommunala sektorn. Det är framförallt digitala nationella prov och säker digitala kommunikation som vi har att tacka detta för.
Det finns några saker att förhålla sig till och att tänka på för att få ihop ekosystemet och kunna nyttja e-legitimeringen maximalt.
När jag resonerar kring det med kunder och kollegor kretsar det oftast kring dessa delar:
Hur hänger dessa områden ihop?
Om vi tittar på digitala identiteter och var den offentliga sektorn är på väg, och har varit ett bra tag nu, är att det går mer och mer mot att skaffa en e-legitimering (tjänste-eid) till personalen. Alltså ett ”BankID” som man använder i tjänsten. Myndigheten som godkänner e-legitimeringar i Sverige är Myndigheten för digital förvaltning (DIGG).
Dessa e-legitimeringar godkänns i olika tillitsnivåer (LOA). På senare tid har det dykt upp nationella tjänster som offentligt anställda ska kunna logga in på, till exempel digitala nationella prov (DNP) och säker digitala kommunikation (SDK). För att logga in i dessa tjänster hänvisas man till att ha en e-legitimering som är minst godkänd på tillitsnivå 2 (Digitala nationella prov) eller tillitsnivå 3 (säker digitala kommunikation).
Att utgå ifrån verksamhetens behov är ett ofta omnämnt begrepp när vi jobbar med digitala lösningar för verksamheten. Vad gäller e-legitimering är det extremt viktigt att man tittar på behovet och framförallt möjligheterna hos verksamheten. Det är nämligen så att en e-legitimering ligger på en så kallad bärare. Denna bäraren kan vara ett chipp på ett plastkort, usb-sticka, mobiltelefon, pekplatta etc. Beroende på vilken digital identitet som du väljer, kommer du kunna lägga den på olika bärare.
På mobiltelefon
Det är väldigt lockande att t.ex. har den digitala identiteten på en mobiltelefon men då uppkommer vissa frågor som måste förankras och redas ut med verksamheten t.ex.:
Tjänstetelefoner till alla?
Delade telefoner?
Kan man använda sin privata telefon?
På plastkort
Väljer man en leverantör där man har sin e-legitimering på ett plastkort med chipp så kommer det andra frågor:
Ska vi ha två kort, ett för passersystemet och ett för den digitala identiteten? Eller kan vi ha samma kort?
Hur gör vi med kort som glöms och tappas bort?
Kortläsare i datorerna?
NFC i telefonerna? Mycket viktigt att man jobbar tillsammans med verksamheten och tar beslut i samförstånd där alla har god förståelse för olika för och nackdelar och varför man beslutar sig om en viss e-legitimering.
Om vi sedan tittar vidare internt, på våra interna verksamhetssystem, så vill vi även kunna logga in med vår e-legitimering till dessa. Det blir både enklare och säkrare för personalen. Och då krävs det ett jobb med rätt kravställning på verksamhetssystemen vid upphandling (kravställning baserat på standarder som t.ex. SAML, Oauth, OpenIDConnect). För att koppla ihop det hela i slutändan behövs det sedan någon form av Identity Provider plattform.
Här är en förenklad bild kring på hur man skulle kunna bygga sin lösning:
Det finns många val och mycket att tänka på kring detta för att få ihop ett bra ekosystem. Framförallt vad gäller de gamla systemen som inte stödjer standarder som SAML, Oauth och OpenIDConnect, hur resonerar man kring dessa?
Detta var väldigt kortfattat och vill du diskutera mer eller vill du ha rådgivning så kontakta oss på Atea.