Till innehållet

E-legitimering för dig som offentlig aktör

Här kan du läsa om vad du behöver känna till när du ska införa e-legitimering.

Skaffa e-legitimering till e-tjänst

När du ska införa e-legitimering rekommenderar vi att du tecknar avtal med oss på DIGG, för att ge användare möjlighet att logga in med såväl utländska som flera olika svenska e-legitimationer. Förutom avtal med oss måste du också skaffa fler delar för att e-legitimeringsprocessen ska fungera. 

Hur du upphandlar dessa tjänster påverkas av din organisations nuvarande avtal. Vi rekommenderar att tjänsterna specificeras separat från varandra så att det är möjligt att bryta ut enskilda delar vid behov. 

Det här behöver du

Du behöver ha ett avtal med e-legitimationsutfärdare, som reglerar villkor och ersättning för att kontrollera e-legitimationer. Det gör du enklast genom att teckna avtal med oss på DIGG.

Dessa avtal kan du teckna:

Inget av avtalen kräver upphandling eller avrop från ramavtal, utan de tecknas direkt med oss.

För att en användare ska kunna legitimera sig i e-tjänsten behöver du registrera metadata om e-tjänsten i Sweden Connects metadataregister. E-tjänsten och de tjänster som den ska kommunicera med hämtar sedan metadata om varandra ur registret.

Innan du kan registrera metadata behöver du teckna avtal om Sweden Connect med oss. Avtalet är detsamma som för utländska e-legitimationer, så om din organisation redan har tecknat avtalet behöver ni inte göra det igen.

Så här gör du

  1. Skicka in Avtal med förlitande part beträffande Sweden Connect till oss. Avtalet skickas i ett exemplar till:

    DIGG
    Box 14
    851 02 Sundsvall

  2. Anslut till Sweden Connect

  3. När ni har anslutit till Sweden Connects produktionsmiljö får ni en bekräftelse av oss på att avtalet är slutet.

Avtal för anslutning till Sweden Connect

De e-legitimationsutfärdare som finns på Valfrihetssystem 2018 e-legitimering tillhandahåller ingen IdP som har granskats av DIGG. Du behöver därför skaffa denna funktion separat och registrera den i Sweden Connects metadataregister. Det gäller även om någon annan myndighet redan skulle ha registrerat samma IdP i Sweden Connect för sin egen räkning.

Detta stöd finns redan i Valfrihetssystem 2017 e-legitimering och avtal om Sweden Connect för utländska e-legitimationer. De ska därför inte anslutas via ytterligare en IdP, eftersom det kan innebära både en säkerhetsrisk och en onödig kostnad.

Du skaffar funktionen genom upphandling eller genom att utveckla den på egen hand.

Tänk på det här

  • Ersättningen för legitimationskontrollen behöver vara separerad från ersättningen till e-legitimationsutfärdaren, eftersom ersättningen till e-legitimationsutfärdaren redan regleras via valfrihetssystemen.
  • Varje e-legitimationsutfärdare behöver ha en separat URL i Sweden Connect, de ska inte samlas bakom en och samma IdP.
  • IdP:n behöver registreras i Sweden Connects metadataregister på ert uppdrag. Den kan redan finnas i metadataregistret för någon annan offentlig aktörs räkning, men vi behöver veta att ni har dem som leverantör. Det innebär också att ni behöver ange IdP:n i avtalet om Sweden Connect som ni tecknar med oss.
  • Ställ krav på att leverantören följer DIGG:s tekniska ramverk. Sweden Connect tillåter inte registrering av IdP:er som inte följer tekniskt ramverk.
  • Reglera ansvaret för hur loggar ska bevaras och överlämnas när uppdraget avslutas, inklusive vad som ska och får gallras. Det är viktigt att leverantören för separata loggar för varje kund så att de kan behandlas oberoende av varandra.
  • Specificera de e-legitimationer som ska stödjas initialt, och hur den listan ska utökas när DIGG godkänner fler e-legitimationer. Överväg om utökningen ska ingå i den överenskomna ersättningen eller om den ska behandlas separat. Det skulle vara möjligt att kravställa att alla e-legitimationer på valfrihetssystemen ska omfattas, men eftersom nya leverantörer tillkommer relativt sällan kan det innebära en risk att ni betalar för en flexibilitet som inte behövs.

En anvisningssida är den webbsida där användaren väljer vilken e-legitimation hen vill använda i e-tjänsten. Du skaffar en anvisningssida genom upphandling eller genom att utveckla den på egen hand.

När du upphandlar kan det vara bra att tänka på det här:

  • Leverantörer av identitetsintyg (IdP:er) levererar ofta också anvisningstjänster. Om du köper båda tjänsterna från samma leverantör är det viktigt att kravställa så att anvisningstjänsten kan begära legitimering från alla IdP:er, inte bara de som leverantören erbjuder.
  • När nya e-legitimationer tillkommer måste anvisningssidan kunna utökas med fler val för användaren. Det innebär idag en liten arbetsinsats för leverantören eftersom nya e-legitimationer tillkommer relativt sällan. Kostnaden för att lägga till nya val på anvisningssidan kan därför regleras genom till exempel ett fast tillägg eller på löpande räkning. Det skulle kunna vara möjligt att utöka anvisningssidan maskinellt genom att hämta information från Sweden Connects metadataregister, men det riskerar att innebära en onödigt hög kostnad för en flexibilitet som du sällan får nytta av.
  • Anvisningssidan behöver följa kraven i lagen om tillgänglighet till digital service. Läs mer om digital tillgänglighet.

Slutligen behöver du också sy ihop alla komponenter med de e-tjänster som begär e-legitimering. Det kan till exempel innebära konsulttjänster och programvara. Hur detta ska se ut beror på din verksamhets egna förutsättningar.