Gå til hovedinnhold

Grunnleggende kunnskap

Her finner du informasjon som gir grunnleggende kunnskap om teknologi og mekanismer som HelseID er basert på.

Digitale Identiteter og autentiseringsstyrke

En person kan ha mange digitale identiteter, og disse identitetene kan finnes hos forskjellige identitetstilbydere. Helsepersonell kan ha en identitet hos én eller flere arbeidsgivere, hos Commfides, BankID, Buypass, Facebook, Google og mange andre. Alle disse identitetene representerer én og samme person, men identitetstilbyderne gir ulik grad av autentiseringsstyrke - det vil si at det vil være forskjell på i hvilken grad vi kan være sikre på at brukeren er den han sier han er.

F.eks. kan vi anta at en digital identitet hos Facebook eller Google er mindre til å stole på enn en pålogging med en bruker hos et helseforetak eller hos en kommersiell identitetstilbyder som Buypass, BankID eller Commfides.

Mange identiteter

Autentiseringsstyrke

Definisjonene av autentiseringsstyrke finner du i rammeverk for autentisering og uavviselighet, du finner også blant annet en beskrivelse av autentiseringsstyrke i norm for informasjonssikkerhet

Kort oppsummert kan autentiseringsnivået beskrives med følgende konkrete eksempler på innloggingsmekanismer:

Autentiseringsstyrke
Nivå Beskrivelse
1 Ukjent bruker med selvvalgt passord og selvvalgt brukernavn
2 Identifisert bruker med tildelt brukernavn og førstegangs passord, tvungen bytte av passord
3 Tildelt brukernavn og engangspassord tilsendt på mobiltelefon (som SMS) eller personlig sertifikat
4 Løsninger basert på Public Key Infrastructure (PKI).
Iht til gjeldende regelverk må løsningene være selvdeklarert i Nasjonal kommunikasjonsmyndighet i forhold til om de oppfyller krav i Kravspesifikasjon for PKI i offentlig sektor når det gjelder Person Høyt og Virksomhet (personlig kvalifisert sertifikat). Eksempler er BankID, BankID på mobil, Buypass eller Commfides

Denne listen er selvsagt ikke utfyllende, og det finnes flere konkrete eksempler som ikke  er beskrevet i tabellen over. 

Disse nivåene kan komme til å endres når den nye EU-forordningen eIDAS trer i kraft, men inntil videre er det de gjeldende nivåene vi skal forholde oss til.

Kjernekomponenten i HelseID

HelseID er basert på velkjente arkitekturmønster og grunnleggende sikkerhetsmekanismer som allerede er i bruk både i helsesektoren og i andre bransjer og offentlige sektorer.

Kjernekomponenten vår er en OpenId Provider (OP), les mer om dette på siden som heter moderne autentiseringsmekanismer. Dens hovedoppgave er å utstede tokens (sikkerhetsbilletter) til applikasjoner og tjenester. Den tekniske arkitekturen vi har basert HelseID på er en spesifikk konfigurasjon og anvendelse av en OP som gir noen konkrete gevinster for de som bruker tjenesten. Denne arkitekturen er nyttig å ha kjennskap til for å forstå hvilke muligheter man får ved å bruke HelseID. Du kan lese mer om den tekniske arkitekturen i undersiden om arkitektur.

Autentisering og hemmeligheter

I bunn av alle mekanismene vi tilbyr i HelseID ligger det noen grunnleggende sikkerhetsmekanismer og konsepter som alt annet bygger på. Du kan lese litt mer om autentisering og hvilke mekanismer som er i bruk i HelseID på undersiden som omhandler grunnleggende sikkerhet.

Autentiseringsprotokoller

HelseID tilbyr autentisering og sikring av tjenester ved bruk av to standardiserte moderne protokoller som heter OpenId Connect og OAuth 2.0. Disse protokollene definerer mye av funksjonaliteten du finner i HelseID. Les mer om disse protokollene og autentiseringsmekanismene de tilbyr på siden som omhandler moderne autentiseringsmekanismer.