Introduksjon

Buypass Access Solution (BAS) er en identitetstjeneste som gir en full stabel med verktøy og tjenester for administrasjon og bruk av eID mot det regulerte bedriftsmarkedet. BAS støtter flere teknologier og her vil vi beskrive BAS som bruker passkey-teknologi (FIDO2).

BAS med ID-nøkler bruker passkey-teknologi (FIDO2) for å gi eIDAS-klassifisert identitetstjeneste, sertifisert og registrert på nivå (LoA) Høy. Den innebygde støtten for passkeys i de fleste operativsystemer, nettlesere og hos leverandører av bedriftsinfrastruktur sørger for en tjeneste som ikke krever skreddersydde applikasjoner, drivere og tilpasninger. Det fungerer "ut av boksen". Dette er gode nyheter for bedrifter som ønsker å migrere til ny teknologi uten store investeringer i egen infrastruktur.

Buypass tar rollen og ansvaret som identitetsleverandør, hvor hovedrollen er å bevise brukerens korrekte identitet og binde denne identiteten til en nøkkel og nøkkelenhet som så kan brukes for å autentisere brukeren. I tillegg tilbyr Buypass online tjenester for selvbetjening og administrasjon.

BAS med ID-nøkler tilbyr beste praksis og bransjestandard grensesnitt for administrasjon og bruk. Protokoller som HTTP, OCSP og SCIM er koblingen mellom IAM-tjenestene dine og Buypass. I tillegg har tjenesten selvbetjeningsklienter for reduserte administrasjonskostnader.

Tjenesten kommer med sertifisering for regulert identitet på eIDAS LoA Høy, under norsk lov. Buypass tilbyr også godkjente og sertifiserte ID-nøkkelbrikker (HW-enheter) i flere former (kort, nøkkelbrikker, etc.).

Infrastrukturen som støtter denne tjenesten opererer på en moderne plattform med høy tilgjengelighet, og tilbyr utmerkede servicenivåer, rapportering og support.

Hvordan fungerer det?

Open

Buypass Access Solutions er B2B-tjenester, noe som betyr at en bedrift (Buypass-kunde) vanligvis er satt opp med et dedikert område for å ta seg av administrasjon og autentisering av kundenes ansatte eller tilknyttede brukere.

Bedriften søker om at en (eller flere) brukere kan være kandidat for å motta eID. Dette kalles provisjoneringsfasen.

Brukeren må melde seg på tjenesten ved å bevise sin identitet, som gjøres i identitetskontrollfasen. Buypass tilbyr et bredt utvalg av metoder og selvbetjeningsalternativer. Vanligvis inkluderer dette operatørassistert identitetskontroll, hvor en representant for bedriften som har fått en delegert rolle som operatør blir forevist et pass eller ID-kort av bruker for å utføre identitetskontroll.

Etter at brukeren er identitetkontrollert, er brukeren det vi kaller registrert og det opprettes en identitetskonto for brukeren hvor han kan koble en eller flere ID-nøkler til. Dette gjøres i det vi kaller innmeldings- og koblingsfasen. Merk at den mobile smarttelefonen for øyeblikket ikke er godkjent for å holde nøklene.

Brukeren er nå innehaver av en ID-nøkkel og klar til å bruke den. Enhver online tjeneste kan nå, ved å bruke innebygd passkey-funksjonalitet i nettlesere, be om en brukerautentisering fra Buypass sin OIDC-server.

En tapt ID-nøkkelenhet (kort, Yubikey) er ikke noe problem. Brukeren kan selvbetjent, slette den tapte og utstede en ny ID-nøkkel ved å utstede og binde nøkkelen til en ny og tom enhet. Vanligvis et Yubikey- eller NFC-aktivert kort.

Buypass tilbyr også en operatørbasert nettklient for operatørassistert brukeradministrasjon.

Brukerdatabasen kan administreres via den SCIM-baserte API-en, vanligvis fra din IAM-tjeneste. Hvis en bruker forlater selskapet, fjernes ID-nøkkelen enkelt når brukeren fjernes fra IAM basert på synkroniseringsregler i SCIM.

Prosess

På grunn av det svært høye tilpasningsnivået av passkey-teknologien hos alle store plattformleverandører i markedet, er det ikke behov for drivere, applikasjoner eller andre tjenester fra Buypass for å bruke ID-nøkler. Det Buypass legger til er prosessen er onboarding, administrasjon og autentisering av brukeren i en regulert og sertifisert tjeneste.

Tjenestene bruker generiske kjernekomponenter og tjenester for Buypass for prosessene til:

• provisjonering

• identitetskontroll

• innmelding og kobling av autentikatorer

• autentisering

• livssyklusadministrasjon

Figuren nedenfor viser en logisk oversikt over tjenesten:

Open

BAS med ID-nøkler vil avsløre grensesnitt (API-er) og nettbaserte klienter for å utføre følgende tjenester:

Provisjonering

Registrering og administrasjon av brukere som skal innmeldes (enroll). Brukerdata overføres fra IAM eller ekstern admin-tjeneste via SCIM API (System for Cross-domain Identity Management). SCIM-protokollen er en REST-protokoll på applikasjonsnivå for klargjøring og administrasjon av identitetsdata på nettet. Provisjonering av en bruker er en form for forhåndsregistrering av en bruker (applicant) som vil være en kandidat for å få utstedt ID-nøkkel og bruke denne for autentisering.

Identitetskontroll

For at Buypass skal kunne gi et nivå av tillit, må vi kjenne brukeren. Brukeren må bevise sin identitet gjennom operatørassistert ID-kontroll, skanning av selvbetjent identitetsdokument eller ved å bruke en eksisterende eID på samme LoA (BuypassID etc).

Innmelding og kobling

Oppretter en identitetskonto for en identitetsverifisert bruker og kobler en eller flere autentiseringsenheter, det vil si ID-nøkler, til brukerkontoen. Dette kalles også enrollment binding.

Autentisering

Brukes av en tjenesteleverandør eller en applikasjon for å be om et identitetsbevis fra brukeren ved bruk av OIDC-basert API. Buypass gir påstand om brukerverifisering som et signert ID-token. Påstanden kan inneholde verifiserte attributter som bruker-ID (FNR/DNR (NIN)), et unikt firmabrukernavn, etc.

Livssyklusadministrasjon

Brukerdata og autentiseringer administreres gjennom hele brukerens livssyklus. Utføres av selvbetjeningsklient, operatørassistert klient, SCIM-basert API, Buypass kundeservice og overvåking av autoritative kilder.