Hej,

 

Vill bara på minna Ann, Magnus och Hans att svara på Doodlen för nästa BoT-möte.

 

https://doodle.com/meeting/participate/id/bkOO7z6b

 

En av de saker som vi kommer ta upp och diskutera är en alternativ modell för identitetskontroll vid besök i vid disk för att aktivera användarkonto eller genomföra lösenordsbyte. Numera finns det möjlighet att läsa in pass eller svenskt nationellt identitetskort i BankID och det är många personer som vill använda det istället för att visa fysiskt identitetskort. Efter ansökan från Södertörns högskola har vi i SWAMID Operations undersökt om det är möjligt att göra detta på ett tillräckligt säkert sätt. Tillsammans med Södertörns högskola har vi nu tagit fram ett förslag om hur man kan genomföra en sådan identifiering och tanken är att vi ska upp modellen för diskussion och beslut på nästa BoT. Fram till agendan skickas ut kommer jag att generalisera Södertörns förslag så att det kan användas som mall för andra organisationer.

 

Så här ser den föreslagna processen ut för Södertörns högskola:

 

Verifiering av Digitalt ID via BankID för utlämning av SH-konto sker genom

  1. Personen som vill hämta ut sitt SH-konto tar fram sitt Digitala ID i Mobilt BankID applikationen. För att göra det måste hen verifiera sig med sitt mobila BankID. Det digitala ID:t visar under en begränsad tidsperiod foto, ålder, namn och personnummer.
  2. Kontohandläggaren kontrollerar att fotot på i det digitala ID:t stämmer överens med personen de har framför sig. Kontohandläggaren kontrollerar även säkerhetsdetaljerna enligt BankIDs instruktioner för visuell kontroll (https://www.bankid.com/foretag/digitalt-id-kort). Om kontrollerna av det digitala ID:t stämmer skannar kontohandläggaren qr-koden på mobilskärmen med en hårdvaruscanner.
  3. QR-kodens värde skickas via kontoutlämningsapplikationen till BankIDs API för verifiering (https://www.bankid.com/utvecklare/guider/verifiering-av-digitalt-id-kort/introduktion).
  4. Resultat
    1. Om BankIDs API godkänner QR-koden skickas användarens personnummer och namn tillbaka till kontoutlämningsapplikationen och utlämningen av SH-kontot kan göras med det verifierade personnumret.
    2. Om BankIDs API inte godkänner QR-koden returneras endast en felkod med beskrivning som visas i kontoutlämningsapplikationen. I och med att kontoutlämningsapplikationen inte fått något personnummer från BankIDs API kan inget SH-konto lämnas ut.

 

Pål