E-legitimering

E-legitimation är en elektronisk id-handling som du kan använda för att legitimera dig på ett säkert sätt på till exempel en webbplats eller i en app. Här kan du läsa mer om hur det fungerar, och vad vi på DIGG gör inom området.

E-legitimation för dig som privatperson

På webbplatsen elegitimation.se kan du som privatperson läsa om vilka e-legitimationer som finns, hur du skaffar en e-legitimation och hur du skyddar den.

Gå till elegitimation.se Länk till annan webbplats.

Så fungerar e-legitimering

När en person använder sin e-legitimation för att visa vem hen är kallas det för e-legitimering. Under e-legitimeringen behöver flera olika funktioner och system samarbeta för att identifiera personen. Här kan du läsa mer om hur det fungerar.

Flera olika funktioner samverkar för att e-legitimeringsprocessen ska fungera:

  • Användare: Har en e-legitimation som hen använder för att legitimera sig elektroniskt mot en tjänst.
  • E-legitimationsutfärdare: Förser användaren med en e-legitimation och tillhandahåller de stödfunktioner som krävs.
  • Leverantör av identitetsintyg: Utför en elektronisk identifiering av användaren, det vill säga kontrollerar att användaren är den som hen utger sig för att vara. För de e-legitimationsutfärdare som har kvalitetsmärket Svensk e-legitimation faller denna funktion inom utfärdarens ansvar. Kallas också för "identity provider" eller IdP.
  • Tillhandahållare av e-tjänst: Är den som litar på det identitetsintyg som ställs ut, och kan vara såväl en privat som offentlig aktör. Kallas också för "service provider" eller SP.

Det är viktigt att det finns en fullständig avtalskedja som reglerar alla ansvarsförhållanden, hela vägen från tillhandahållaren av e-tjänsten till användaren.

Här kan du läsa kort om hur det kan gå till bakom kulisserna när en användare loggar in i en e-tjänst som kräver e-legitimering.

  1. Användaren väljer vilken e-legitimeringslösning hen vill använda i e-tjänsten.
  2. E-tjänsten skickar användaren vidare till leverantören av identitetsintyg.
  3. Användaren aktiverar sin e-legitimation och bevisar sin identitet för leverantören av identitetsintyget. Det kallas för att användaren autentiserar sig mot leverantören.
  4. Leverantören av identitetsintyg gör flera olika kontroller av användarens e-legitimation, till exempel att e-legitimationen är giltig och att den inte har spärrats.
  5. Leverantören av identitetsintyg ställer ut ett identitetsintyg till e-tjänsten. Intyget förmedlas vanligen via användarens webbläsare.
  6. E-tjänsten kontrollerar att intyget är äkta och kommer från en leverantör som e-tjänsten litar på. Intyget innehåller den information som behövs för att släppa in användaren i e-tjänsten, till exempel personnummer. I samband med detta steg ger e-tjänsten också användaren rätt behörigheter, det kallas för auktorisation.

Tillitsnivåer används för att beskriva hur säker och tillförlitlig en e-legitimation är. Ju högre tillitsnivå, desto säkrare är e-legitimeringen, både när det gäller teknisk och administrativ säkerhet.

En leverantör som vill bli godkänd för kvalitetsmärket Svensk e-legitimation granskas av oss för att säkerställa att e-legitimationen håller den tillitsnivå som leverantören har angett i sin ansökan. Tillitsnivån bestäms bland annat av hur leverantören säkerställer att rätt person hämtar ut sin e-legitimation.

Offentliga aktörer med e-tjänster behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Tillitsnivån bedöms utifrån hur stor skadan riskerar att bli om fel person får tillgång till tjänsten. Valet av tillitsnivå påverkar tjänstens inloggningsalternativ, till exempel om användaren kan logga in i tjänsten med en personlig kod eller om det krävs en viss typ av e-legitimation.

Tillitsnivåer för e-legitimering

DIGG:s granskning av e-legitimationer

DIGG granskar och godkänner svenska e-legitimationer utifrån Tillitsramverket för Svensk e-legitimation. Tillitsramverket syftar till att etablera gemensamma krav för utfärdare av godkända svenska e-legitimationer. Kraven är fördelade på olika skyddsklasser – tillitsnivåer – som svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren och olika grader av kontroll av att den person som tilldelas en elektronisk legitimationshandling verkligen är den han eller hon utgett sig för att vara.

DIGG granskar e-legitimationer på tillitsnivå 2, 3 och 4. En granskad och godkänd e-legitimation på tillitsnivå 3 och 4 har möjlighet att teckna licensavtalet för Kvalitetsmärket Svensk e-legitimation. En godkänd e-legitimation på tillitsnivå 2 får beslut om godkänd nivå enligt Tillitsramverket men får inte teckna licensavtalet eller använda sig av Kvalitetsmärket.

Offentliga och privata aktörer med e-tjänster som kräver e-legitimation kan lita på e-legitimationer som har granskats och godkänts av DIGG, och användare kan känna sig trygga med att det är en säker identitetshandling.

Godkända e-legitimationer på tillitsnivå 3 och 4 med Kvalitetsmärket

För privatpersoner:

  • BankID på fil, på tillitsnivå 3 (Finansiell ID-Teknik BID AB)
  • BankID på kort, på tillitsnivå 3 (Finansiell ID-Teknik BID AB)
  • Freja eID Plus på tillitsnivå 3 (Freja eID Group AB)
  • Mobilt BankID på tillitsnivå 3 (Finansiell ID-Teknik BID AB)
  • AB Svenska Pass på tillitsnivå 3 och 4 (AB Svenska Pass)

I tjänsten:

  • EFOS på tillitsnivå 3 och 4 (Försäkringskassan), tidigare kallad MCA
  • Freja Organisations eID (Freja eID Plus) på tillitsnivå 3 (Freja eID Group AB)
  • Mobilt EFOS på tillitsnivå 3 (Försäkringskassan)
  • Mobilt SITHS på tillitsnivå 3 (Inera AB)
  • SITHS på tillitsnivå 3 (Inera AB)
Logotyp Svensk e-legitimation.

Godkända e-legitimationer på tillitsnivå 2

Inga e-legitimationer är ännu godkända på tillitsnivå 2.

Så går granskningen till

Granskningen sker utifrån DIGG:s Tillitsramverk för Svensk e-legitimation. En central del i vår granskning är att verifiera att en e-legitimation håller den tillitsnivå som den utlovar. I tillitsramverket beskrivs vilka krav som ställs på en e-legitimation från tillitsnivå 2 och uppåt. Grundläggande i vår granskning är också att ingen enskild individ hos utfärdaren på egen hand ska kunna tillverka en e-legitimation.

Vi granskar utfärdarens

  • tekniska arkitektur
  • finansiella stabilitet
  • informationssäkerhetsarbete och internkontroll
  • process för identifiering av personer som ansöker om att få en e-legitimation
  • framställande och tillhandahållande av e-legitimationer.

Lär dig mer

Så ansöker du om att bli granskad av DIGG

Du som är leverantör av e-legitimationer kan ansöka om att bli godkänd för kvalitetsmärket Svensk e-legitimation. Du hittar mer information om hur du går tillväga på vår sida för leverantörer.

E-legitimering för leverantör Länk till annan webbplats.

Sweden Connect

Sweden Connect är statens nationella identitetsfederation som gör e-legitimering effektiv och säker.

Sweden Connect består av:

  • Ett tekniskt ramverk
  • Metadata och kontaktinformation om alla anslutna aktörer
  • Avtal som knyter ihop offentliga aktörer med e-legitimationsutfärdare och den svenska eIDAS-noden

Du som är offentlig aktör med en e-tjänst kan använda Sweden Connect både för uppkoppling mot svenska och utländska e-legitimationer. Du tecknar avtal om Sweden Connect med DIGG, och hänvisar enkelt i avtalet till er kontakt som sköter det tekniska kring Sweden Connect.

E-legitimering för dig som offentlig aktör

För dig som är utvecklare

Webbplatsen Sweden Connect är till för dig som utvecklar anslutningar mellan e-tjänster och lösningar för e-legitimering och e-underskrift.

Sweden Connect Länk till annan webbplats.

Det här gör DIGG inom e-legitimering

DIGG stödjer och samordnar offentlig sektor i frågor som rör säker e-legitimering och e-underskrift, nationellt och internationellt.

Nationellt:

  • Tillhandahåller avtal för aktörer med e-tjänster som möjliggör inloggning med privata e-legitimationer, e-tjänstelegitimationer och utländska e-legitimationer.
  • Granskar och godkänner e-legitimationer enligt Tillitsramverket för Svensk e-legitimation på tillisnivå 2, 3 och 4.
  • Ansvarar för den svenska identitetsfederationen Sweden Connect.
  • Standardiserar e-legitimering och e-underskrift genom olika specifikationer och ramverk för teknik och tillit.

Internationellt:

  • Ansvarar för den svenska eIDAS-noden Sweden Connect.
  • Är Sveriges kontaktpunkt (Single Point of Contact) inom eIDAS och företräder Sverige i eIDAS samarbetsnätverk.
  • Deltar i internationellt standardiseringsarbete.

Senast uppdaterad: