Hem Kunskapsbank Federation och IdP
Features

Federation och IdP

Knowledge Base

Sömnlös inloggning till alla digitala resurser

För att IT-säkerhet ska vara säker måste den användas. Komplicerade och tidskrävande arbetsprocesser slutar ofta i att användare hittar genvägar. Genom att kombinera smartkortbaserad inloggning med så kallad federation kan dina slutanvändare logga in i alla molnbaserade tjänster, applikationer och digitala resurser med ett och samma smartkort och PIN. One code – that’s IT!

Med en federation eller IdP får du full IT-säkerhet i molnet samtidigt som den förenklar arbetsflödena för den enskilda medarbetaren som bara behöver logga in en gång för att komma åt alla sina applikationer. De får singelinloggning (SSO) till alla tjänster och digitala resurser som ligger bakom federationen eller IdP genom att använda smartkortet och PIN som stark autentisering för inloggning.

Du kan en federation applicera en enhetlig IT-säkerhetspolicy helt utan osäkra lösenord som gäller alla användare, alla typer av enheter för alla typer av molnbaserade och lokala applikationer. Med Net iD och gemensamt utformade regelverk för tillitsnivåer, hantering av identiteter, autentisering och behörigheter, bygger du lösningar som garanterar en säker, kostnadseffektiv och enkel åtkomst till tjänster både internt och externt.

Hur fungerar det

SAML Identity Provider tillsammans med Single Sign On

Det önskvärda i att vara autentiserad endast en gång är en viktig idé som rättfärdigar användandet av en Identity Provider tillsammans med Single Sign On (SSO). Utan att nödvändigtvis tänka på det vill du kunna arbeta i olika säkerhetsdomäner av nätverket och helst ska din enda inloggning vara giltig överallt. Det är här som Security Assertion Markup Language (SAML) kommer in i bilden. SAML är utvecklat för att kunna erbjuda dig möjligheten att utbyta autentiserings- och auktoriseringsdata över olika säkerhetsdomäners gränser. Det är också ett protokoll som är ett vanligt sätt för Identity Providers (IdPs) att kommunicera med varandra och andra tillhandahållare av webbtjänster. 

En Identity Provider fungerar på det sätt att den gör "det hårda jobbet" i en autentisering med SSO där SAML används. Vad som sker i autentiseringsprocessen är i huvudsak följande: 

  1.  Identity Providern får ett autentiseringsanrop ifrån en Relying Party (RP, förlitande part) via en webbläsare.
  2.  Webbläsarens användarprincip blir autentiserad.
  3.  RP får ett svar med ett SAML autentiseringbekräftelse för användaren.

I en betrodd federation (partnerskap) är det Identity Providern som ska bevisa att en anropande enhet är den som den utger sig för att vara. Den ska också skicka vidare information närhelst en förfrågan om anslutning sker och hålla reda på om en användare eller en förfrågan om anslutning till den webbaserade resursen blev godkänd eller inte

Datakommunikationen mellan Identity Providern och applikationen innehåller en signatur, en "autentiseringsbiljett", som en RP ska kontrollera att den verkligen härrör ifrån en betrodd IdP. Genom ett enda förfarande med Single Sign On möjliggör det för användaren att bli autentiserad på ett säkert sätt gentemot målapplikationen. Många sociala medier använder SAML för att tillhandahålla identitetstjänster.

Hur fungerar det

SAML Identity Provider tillsammans med Single Sign On

Det önskvärda i att vara autentiserad endast en gång är en viktig idé som rättfärdigar användandet av en Identity Provider tillsammans med Single Sign On (SSO). Utan att nödvändigtvis tänka på det vill du kunna arbeta i olika säkerhetsdomäner av nätverket och helst ska din enda inloggning vara giltig överallt. Det är här som Security Assertion Markup Language (SAML) kommer in i bilden. SAML är utvecklat för att kunna erbjuda dig möjligheten att utbyta autentiserings- och auktoriseringsdata över olika säkerhetsdomäners gränser. Det är också ett protokoll som är ett vanligt sätt för Identity Providers (IdPs) att kommunicera med varandra och andra tillhandahållare av webbtjänster. 

En Identity Provider fungerar på det sätt att den gör "det hårda jobbet" i en autentisering med SSO där SAML används. Vad som sker i autentiseringsprocessen är i huvudsak följande: 

  1.  Identity Providern får ett autentiseringsanrop ifrån en Relying Party (RP, förlitande part) via en webbläsare.
  2.  Webbläsarens användarprincip blir autentiserad.
  3.  RP får ett svar med ett SAML autentiseringbekräftelse för användaren.

I en betrodd federation (partnerskap) är det Identity Providern som ska bevisa att en anropande enhet är den som den utger sig för att vara. Den ska också skicka vidare information närhelst en förfrågan om anslutning sker och hålla reda på om en användare eller en förfrågan om anslutning till den webbaserade resursen blev godkänd eller inte

Datakommunikationen mellan Identity Providern och applikationen innehåller en signatur, en "autentiseringsbiljett", som en RP ska kontrollera att den verkligen härrör ifrån en betrodd IdP. Genom ett enda förfarande med Single Sign On möjliggör det för användaren att bli autentiserad på ett säkert sätt gentemot målapplikationen. Många sociala medier använder SAML för att tillhandahålla identitetstjänster.

 

Identity Provider ur ett säkerhetsperspektiv

Först och främst är det ytterst viktigt att betona, att när det gäller säkerhet kring inloggning, är det allra viktigaste att användaren loggar in med en identitet som är omöjlig att kopiera. Det ska inte vara möjligt att förvanska den, att hacka den eller på något sätt förfalska den. Tekniken och lösningen kring Public Key Infrastructure (PKI) som SecMaker tillhandahåller har stor motståndskraft gentemot sabotage och hinder eftersom den av en Certificate Authority (CA, certifikatutfärdare) är en betrodd identitet. 

Sett ur ett användarperspektiv är det en stor bekvämlighetsvinst att kunna undvika upprepade inloggningar då det innebär att alla olika användar- och inloggningsuppgifter måste hållas i minnet och kommas ihåg. För tjänsteleverantören är fördelarna mer relaterade till säkerhet. Till exempel:

  • Ansvaret att skydda personlig information som är tillräckligt detaljerad för att kunna identifiera individer ligger hos en Identity Provider, inte hos tjänsteleverantören
  • Att undvika säkerhetsrisken med att komma ihåg, hålla ordning på och administrera en mängd olika användaruppgifter till oilka system och plattformar. Allt är möjligt genom att använda Single Sign On (SSO). Ett färre antal inloggningar innebär färre möjligheter och tillfällen för hackare att stjäla användaruppgifter.
  • Det innebär en avlastning för IT-organisationen och dess supportfunktion som inte kommer att behöva hantera lika mycket ärenden kring förlorade användaridentiteter och glömda lösenord.
  • Alla försök till access och åtkomst loggas av Identity Providern. Detta gör det enklare att hålla reda på och att bevisa vem som gör vad och när.

En Identity Provider kräver mycket säkerhetsåtgärder och noggrann uppmärksamhet eftersom det alltid finns en risk att den ska bli hackad och att känslig personlig information läcker ut. Att sälja information och data som en Identity Provider innehåller skulle vara utomordentligt lukrativt.

Att använda en central modell för federering med bara en Identity Provider har några nackdelar som inte går att förneka. Om en Identity Provider går sönder eller blir hackad kommer hela identitetshanteringen i systemet att braka ihop. Alltså, för att uppnå redundans måste en decentraliserad modell av federation användas med åtminstone dubbla Identity Provider.

Våra Partners

Färdiga integrationer

SecMakers produkter används redan för inloggning till alla de mest använda tjänsterna som Skolfederation, Sambi och Svensk e-identitet. Tack vare öppna standarder som SAML, OpenID Connect och Radius kan Net iD användas även mot andra produkter och tjänster på området. Du kan lita på att du får ut det mesta ur din investering. Hitta alla våra partners»