Efter att ha arbetat med identitetsfederering i ganska många år förvånas jag fortfarande över beteendet organisationer i mellan. Vi både vill och inte vill samverka. Ofta är utgångspunkten: “Skall vi samverka så skall det ske helt efter mina villkor”.
Många gånger har tankarna förflyttas till den privata sfären seende mig själv studera barnen som leker, kanske i en sandlåda. Leken blir oftast som bäst ner man ger och tar. Barnet som på egen hand bestämmer villkoren och som dikterar kraven för leken blir rätt ofta sist kvar i sandlådan. Och efter en stund blir förvånad över att de övriga barnen hittat en annan arena för en betydligt fruktsammare lek.
Identitetsfederering handlar kort och gott om att använda befintliga infrastrukturer för elegitimering, dvs identifiering och autentisering.
Den som producerar e-tjänster har i stor omfattning ännu inte uppfattat fördelarna med identitetsfederering. Flertalet tänker fortfarande i termer av egna lösningar för e-legitimering. Lösningar som allt som ofta är enormt kostnadsdrivande. I en identitetsfederation är det i princip bara tre förmågor som krävs, förmågan
Det två förstnämnda förmågorna brukar vara förvånansvärt svåra. Jag har full respekt för tillitsfrågan, men jag har betydligt svårare att förstå att den som har en e-tjänst inte kan tydliggöra vad e-tjänsten behöver veta om användaren…
Tillitsnivån är en knäckfråga, oavsett identitetsfederationer eller ej, och den måste var och en ha respekt för samtidigt som viljan måste finnas att flytta positionerna framåt. Initiativ som Kantara, Stork, ISO (kommande standard 29115), NIST (NSTIC) med flera bidrar och för ovanlighetens skull så verkar de i stort sett i samma riktning. NSTIC (National Strategy for Trusted Identities in Cyberspace) är det projekt som uppskattningsvis omgärdas av mest resurser och har den högsta hastigheten. Målet är ett fungerande tillitsramverk för ekosystemet av identiteteter.
Alla initiativ som bidrar till ett tydligt ramverk utan några säkerhetsmässiga avkall och som värnar om öppenhet samt inte motverkar användandet av öppna standards välkomnas. Tyvärr infinner sig en oroskänsla att de starkare krafterna som verkar på den svenska arenan i alltför stor utsträckning önskar lösningar som bidrar med nya inlåsningseffekter likt eID2008, infratjänsten och nya påfund till “förenkling” vilket knappast leder i en riktning där det skall vara så enkelt som möjligt för så många som möjligt.
I de flesta sammanhang diskuteras identitetsfederering ur perspektivet stark autentisering. Tyvärr diskuteras det alldeles för sällan ur alla andra perspektiv där kraven på tillit är lägre men där förlusten av ett användarid och lösenord kan få oanade konsekvenser. Jag behöver knappast räkna upp alla exempel där kontoinformation stulits och där lösenord med enkla medel knäcks. Tekniken för identitetsfederering kan göra stor skillnad även här och till skillnad mot där det ställs krav på en hög tillitsnivå är det betydligt enklare här att upprätta tillit mellan den som kan ställa ut ett identitetsintyg och den som kan konsumera ett identitetsintyg. Näst intill en icke-fråga.
Även om vi sakta rör oss i en identitetsfedereringsriktning så är det tyvärr alltför många sammanhang där det fortfarande finns en önskan att på traditionellt sätt sammanställa information “utifall att”. Dvs vi vill ha gigantiska databaser, inte sällan kataloger, som förväntas veta allt om oss. Det positiva här är att allt fler förstår att skilja på identiteten (vem jag är) och alla dess egenskaper jag kan ha såsom roll, uppdrag, juridisk behörighet etc.
Identiteten är och förblir JAG, sedan kan den givetvis presenteras i andra termer än ett personnummer, kanske till och med en pseudonymiserad identitet. Låt sedan andra källor än e-legitimationen bidra med mina egenskaper och inse att dessa källor gör sig bäst i en decentraliserad form. Varje försök till att förädla, samla och sammanställa information innebär risker att informationen tappar i värde. I en identitetsfederation sammanställs informationen när den efterfrågas och direkt från den källan. Jag behöver knappast förtydliga vilka enorma besparingar detta ger och då inte bara de ekonomiska besparingarna utan vinsterna är minst lika stora ur ett informationssäkerhetsperspektiv.
Innan du bestämmer dig för att samverka så är det en fråga som behöver besvaras med en positiv viljeinriktning. Litar du på den du skall samverka med, eller förväntas övriga parter att samverka helt efter dina villkor? Kort och gott – vill du helt enkelt samverka, eller kanske är sandlådan inte så dum när man väl är själv i den?
Thomas Nilsson
