Diskussionen om e-legitimering i tjänsten har minst ett decennium i ryggen. Vi är allt fler som uttrycker att organisationer som tillhandahåller e-tjänster utanför den egna organisationen ska acceptera alla av DIGG godkända e-legitimationer på den tillitsnivå som tjänsten kräver. Detta kan låta som något självklart, men det är det tyvärr inte!
Vi har också den eviga diskussionen om privat införskaffade e-legitimationer och e-legitimationer som bekostats av arbetsgivaren, e-tjänstelegitimationen. Det är just införskaffandet av e-legitimationen som är skillnaden. Inget annat. E-tjänsten som konsumerar e-legitimationen gör ingen skillnad på om e-legitimationen införskaffats privat eller om e-legitimationen bekostats av arbetsgivaren. Det finns heller ingen skillnad hur innehavaren presenteras för e-tjänsten utan önskat identitetsbegrepp och önskvärda attribut kan påföras oavsett val av e-legitimation.
Det ekosystem med av DIGG godkända e-legitimationer ökar till antalet och även den gemensamma infrastrukturen för konsumtion av dem i form av Sweden Connect växer till. Parallellt finns federationerna för universitets- och högskolesektorn (Swamid), för grundskole-, gymnasie- och vuxenutbildning (Skolfederation) och för vård om omsorgssektorn (Sambi). Det är tacksamt att samtliga har samma grund för tillit, DIGG:s tillitsramverk. Det finns en tro att det är besvärande att vara medlem i flera federationer samtidigt som vi vet att detta redan är en verklighet för det stora flertalet organisationer utan att de funderar nämnvärt över det. Som grädde på moset har alla deras användare sömlös single-signon när så önskas.
För att få en bra skörd krävs det också att man gallrar bort ogräset. Det är hög tid att gallra bort problematiserandet som ofta gör sig påmint här. Likväl som otyget med inlåsningseffekter där e-legitimationer hellre konsumeras via proprietära gränsytor än via öppna och inkluderande gränsytor som SAML och OpenID Connect (OIDC). Sist men inte minst ge upp tanken att hitta på egna tillitsramverk. I det lovordade initiativet för säker digital kommunikation (SDK) hittar man skrivningar att krav ställs på multifaktorautentisering och att utgivningsprocessen av autentiseringsmetoden ska i allt väsentligt följa DIGG:s tillitsramverk på nivå 3 eller eIDAS nivå väsentlig. Varför inte ställa krav på tillitsnivå 3, eller tillitsnivå 2 för den delen. Skillnaden mellan nivåerna är inte så stora, och en tydlighet är minst sagt på sin plats.
Vi har en myndighet som granskar och godkänner e-legitimationer och är skickade för det. Varför inte överlåta detta till dem? Vem avgör i anslutningsprocessen till SDK vad som exempelvis menas med att utgivningsmetoden ska i allt väsentligt följa DIGG:s tillitsramverk? Vad betyder det ens? Det används termer och begrepp som inte är de som uttrycks av DIGG och de begrepp som återfinns i statliga utredningar inom området.
Snälla använd befintliga hjul och ekosystem som snurrar sedan länge! Uppfinn för allt i världen inte nya om Sverige inte ska förlora än mer moment i digitaliseringen. Att detta får fortgå där det bara är pengarna som rullar och att verksamhetsnyttan fortsatt låter vänta på sig är helt obegripligt.
För organisationen som införskaffar e-legitimationer i tjänsten är det ogörligt att kravställa utifrån varje e-tjänsts egenhet. Kravställningen ska vara enkel. Vilken tillitsnivå har vår organisation behov av för vår verksamhet och de e-tjänster som ska konsumeras samt vilka bärare av e-legitimationen passar bäst för vår verksamhet. Svårare än så behöver det faktiskt inte vara.
Våga gör det enkelt och för Sveriges bästa!