Till innehållet

E-legitimering

E-legitimation är en elektronisk id-handling som du kan använda för att legitimera dig på ett säkert sätt på till exempel en webbplats eller i en app. Här kan du läsa mer om hur det fungerar, och vad vi på DIGG gör inom området.

E-legitimation för dig som privatperson

På e-legitimation.se kan du som privatperson läsa om vilka e-legitimationer som finns, hur du skaffar en e-legitimation och hur du skyddar den.

Gå till e-legitimation.se

Så fungerar e-legitimering

När en person använder sin e-legitimation för att visa vem hen är kallas det för e-legitimering. Under e-legitimeringen behöver flera olika funktioner och system samarbeta för att identifiera personen. Här kan du läsa mer om hur det fungerar.

Flera olika funktioner samverkar för att e-legitimeringsprocessen ska fungera:

  • Användare: Har en e-legitimation som hen använder för att legitimera sig elektroniskt mot en tjänst.
  • E-legitimationsutfärdare: Förser användaren med en e-legitimation och tillhandahåller de stödfunktioner som krävs.
  • Leverantör av identitetsintyg: Utför en elektronisk identifiering av användaren, det vill säga kontrollerar att användaren är den som hen utger sig för att vara. För de e-legitimationsutfärdare som har kvalitetsmärket Svensk e-legitimation faller denna funktion inom utfärdarens ansvar. Kallas också för "identity provider" eller IdP.
  • Tillhandahållare av e-tjänst: Är den som litar på det identitetsintyg som ställs ut, och kan vara såväl en privat som offentlig aktör. Kallas också för "service provider" eller SP.

Det är viktigt att det finns en fullständig avtalskedja som reglerar alla ansvarsförhållanden, hela vägen från tillhandahållaren av e-tjänsten till användaren. 

Här kan du läsa kort om hur det kan gå till bakom kulisserna när en användare loggar in i en e-tjänst som kräver e-legitimering.

  1. Användaren väljer vilken e-legitimeringslösning hen vill använda i e-tjänsten.
  2. E-tjänsten skickar användaren vidare till leverantören av identitetsintyg.
  3. Användaren aktiverar sin e-legitimation och bevisar sin identitet för leverantören av identitetsintyget. Det kallas för att användaren autentiserar sig mot leverantören.
  4. Leverantören av identitetsintyg gör flera olika kontroller av användarens e-legitimation, till exempel att e-legitimationen är giltig och att den inte har spärrats. 
  5. Leverantören av identitetsintyg ställer ut ett identitetsintyg till e-tjänsten. Intyget förmedlas vanligen via användarens webbläsare.
  6. E-tjänsten kontrollerar att intyget är äkta och kommer från en leverantör som e-tjänsten litar på. Intyget innehåller den information som behövs för att släppa in användaren i e-tjänsten, till exempel personnummer. I samband med detta steg ger e-tjänsten också användaren rätt behörigheter, det kallas för auktorisation.

Tillitsnivåer används för att beskriva hur säker och tillförlitlig en e-legitimation är. Ju högre tillitsnivå, desto säkrare är e-legitimeringen, både när det gäller teknisk och administrativ säkerhet.

En leverantör som vill bli godkänd för kvalitetsmärket Svensk e-legitimation granskas av oss för att säkerställa att e-legitimationen håller den tillitsnivå som leverantören har angett i sin ansökan. Tillitsnivån bestäms bland annat av hur leverantören säkerställer att rätt person hämtar ut sin e-legitimation. 

Offentliga aktörer med e-tjänster behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Tillitsnivån bedöms utifrån hur stor skadan riskerar att bli om fel person får tillgång till tjänsten. Valet av tillitsnivå påverkar tjänstens inloggningsalternativ, till exempel om användaren kan logga in i tjänsten med en personlig kod eller om det krävs en viss typ av e-legitimation.

Tillitsnivåer för e-legitimering

Kvalitetsmärket Svensk e-legitimation

Svensk e-legitimation är statens eget kvalitetsmärke för e-legitimering. Offentliga och privata aktörer med e-tjänster som kräver e-legitimation kan lita på e-legitimationer som har kvalitetsmärket Svensk e-legitimation, och användare kan känna sig trygga med att det är en säker identitetshandling.

Det är vi som granskar och godkänner svenska e-legitimationer för kvalitetsmärket. Kvalitetsmärket grundar sig på DIGG:s tillitsramverk. Det är en teknikneutral kravställning som baseras på internationella standarder med viss nationell anpassning.

 

För privatpersoner:

  • AB Svenska Pass på tillitsnivå 3 och 4 (AB Svenska Pass)

  • BankID på fil, på tillitsnivå 3 (Finansiell ID-Teknik BID AB)

  • BankID på kort, på tillitsnivå 3 (Finansiell ID-Teknik BID AB)

  • Freja eID+ på tillitsnivå 3 (Verisec Freja eID AB)

  • Mobilt BankID på tillitsnivå 3 (Finansiell ID-Teknik BID AB)

I tjänsten:

  • Freja eID+ på tillitsnivå 3 (Verisec Freja eID AB)
  • SITHS på tillitsnivå 3 (Inera AB)

Informationen uppdateras i takt med att formella beslut fattas om godkännande.

Granskningen sker utifrån DIGG:s Tillitsramverk för Svensk e-legitimation. En central del i vår granskning är att verifiera att en e-legitimation håller den tillitsnivå som den utlovar. I tillitsramverket beskrivs vilka krav som ställs på en e-legitimation från tillitsnivå 2 och uppåt. Grundläggande i vår granskning är också att ingen enskild individ hos utfärdaren på egen hand ska kunna tillverka en e-legitimation.

Vi granskar utfärdarens

  • tekniska arkitektur
  • finansiella stabilitet
  • informationssäkerhetsarbete och internkontroll
  • process för identifiering av personer som ansöker om att få en e-legitimation
  • framställande och tillhandahållande av e-legitimationer.

Lär dig mer

Du som är leverantör av e-legitimationer kan ansöka om att bli godkänd för kvalitetsmärket Svensk e-legitimation. Du hittar mer information om hur du går tillväga på vår sida för leverantörer.

E-legitimering för leverantör

Sweden Connect

Sweden Connect är statens nationella identitetsfederation som gör e-legitimering effektiv och säker. 

Sweden Connect består av:

  • Ett tekniskt ramverk
  • Metadata och kontaktinformation om alla anslutna aktörer
  • Avtal som knyter ihop offentliga aktörer med e-legitimationsutfärdare och den svenska eIDAS-noden

Du som är offentlig aktör med en e-tjänst kan använda Sweden Connect både för uppkoppling mot svenska och utländska e-legitimationer. Du tecknar avtal om Sweden Connect med DIGG, och hänvisar enkelt i avtalet till er kontakt som sköter det tekniska kring Sweden Connect.

E-legitimering för dig som offentlig aktör

För dig som är utvecklare

Webbplatsen Sweden Connect är till för dig som utvecklar anslutningar mellan e-tjänster och lösningar för e-legitimering och e-underskrift.

Sweden Connect

Det här gör DIGG inom e-legitimering

DIGG stödjer och samordnar offentlig sektor i frågor som rör säker e-legitimering och e-underskrift, nationellt och internationellt.

Nationellt:

  • Erbjuder valfrihetssystem för e-legitimering.
  • Granskar och godkänner e-legitimationer för kvalitetsmärket Svensk e-legitimation.
  • Ansvarar för den svenska identitetsfederationen Sweden Connect.
  • Standardiserar e-legitimering och e-underskrift genom olika specifikationer och ramverk för teknik och tillit.

Internationellt:

  • Ansvarar för den svenska eIDAS-noden Sweden Connect.
  • Är Sveriges kontaktpunkt (Single Point of Contact) inom eIDAS och företräder Sverige i eIDAS samarbetsnätverk.
  • Deltar i internationellt standardiseringsarbete.