"SAML is the Windows XP of Identity"

Titeln är ett citat hämtat från en föreläsning om OpenID Connect och OAuth2 av Dominick Baier (@leastprivilege) som jag hade nöjet att åhöra för någon vecka sedan under Norwegian Developer Conference 2014.

Slide

Den bilden reagerade jag väldigt starkt på, för den sammanfattar ganska väl den oro jag har känt över hur vi borde förhålla oss till OpenID Connect för Svensk e-legitimations del. Ju längre det dröjer innan vi på allvar kommer igång med den stundande SAML2-baserade e-legitimationslösningen, som i skrivande stund fortfarande står tom, desto kortare blir fönstret fram tills dess att vi behöver ta klivet över till OpenID Connect.

Med andra ord innebär varje dags fördröjning i sig en dags kortare avskrivningstid för de investeringar i teknisk infrastruktur som behövs för anpassningen till SAML2-lösningen. Övergången till OpenID Connect betraktar jag nämligen i dagläget som oundviklig. Den kostnaden måste alltså tas med i ekonomiska beräkningar redan idag. Den springande punkten är, som jag ser det, när i tiden den övergången sker.

Min oro bottnar sannolikt i att jag tror att den kommer att behöva ske förr snarare än senare, i och med att OpenID Connect hanterar användarfall som inloggning i mobila tillämpningar / appar betydligt bättre än vad SAML2 gör. I SAML2, eller snarare i den profilering som valts för Svensk e-legitimations del, förutsätts att all kommunikation med en e-tjänst sker via en webbläsare, som kan dirigeras fram och tillbaka mellan e-tjänst och identifieringstjänst för att sköta själva inloggningen.

I OpenID Connect finns förutom varianter på denna profil även profiler för rika klienter och mobila tillämpningar / appar. Dessa anpassade profiler förbättrar såväl användarupplevelsen som säkerheten i och med att klienten / appen inte längre behöver använda sig av en webbläsare för att hantera inloggning.

Vi kan ju konstatera att myndigheter som bland andra Försäkringskassan, Pensionsmyndigheten och Skatteverket redan har lanserat appar så att medborgare enkelt kan sköta sina ärenden på resande fot eller från TV-soffan – och den mobila revolutionen har nog faktiskt bara precis börjat.

Alla de appar jag nämner ovan har en i sammanhanget viktig sak gemensamt: de stödjer inte inloggning med e-legitimation, utan endast med Mobilt BankID. Det finns en enkel förklaring till det, nämligen att av de nuvarande e-legitimationsleverantörerna så är det bara BankID som har lanserat en mobilanpassad lösning. Denna lösning består i att man utvecklat en särskild så kallad “säkerhetsapp” som sköter inloggningen åt andra appar. I OpenID Connect kallas denna sorts “säkerhetsapp” för “authorization agent”, även om det finns vissa skillnader på detaljnivå i exakt hur dessa beter sig.

I SAML2, och alltså i förlängningen även Svensk e-legitimation, finns ingen motsvarighet till “säkerhetsappen”, utan där måste varje app för sig istället sköta sin egen inloggning genom att starta en webbläsare och peka den mot inloggningstjänsten. Detta leder som redan nämnts till en försämring av såväl användarupplevelsen som i förlängningen även säkerheten. BankID såg detta som allvarligt nog för att ställa sig utanför Svensk e-legitimation, även om det så klart fanns ytterligare skäl.

Ställer man upp en sådan SAML2-baserad lösning mot Mobilt BankID, som redan är såväl etablerad på marknaden som anpassad för en allt mer mobil-centrerad vardag, är risken stor att Svensk e-legitimation förpassas till att bli en marginaliserad spelare. Väljer man istället en modernare, mobilanpassad lösning baserad på OpenID Connect kommer andra leverantörer på allvar kunna börja konkurrera. Det lämnar i sig visserligen inga garantier för att man får till stånd reella konkurrenter, men man har i alla fall skapat de tekniska förutsättningar som behövs för att slippa dagens uppdelning i “A- och B-lag” där inloggning i offentlig sektors mobila appar hanteras vid sidan av traditionella e-legitimationer.

Slide

Bilden ovan visar utvecklingen i antalet transaktioner per månad för BankID, uppdelat på typ av e-legitimation. De två blå linjerna visar BankID på kort respektive BankID på fil och den röda linjen visar Mobilt BankID. Enhet saknas i diagrammet, men tidigare i presentationen (som är BankID:s officiella presentation av statistiken för maj månad 2014) anges totala transaktionsvolymen för året till ca. 500 miljoner.

BankID har i dag uppskattningsvis 95% av e-legitimationsmarknaden, så deras siffror bör vara väl representativa för marknaden som helhet, och här ser vi tydligt att medan efterfrågan på kort- och filbaserade transaktioner varit i stort sett konstant de senaste två åren så har efterfrågan på mobila transaktioner ökat exponentiellt.

Det går inte att blunda för hur utvecklingen ser ut, utan jag håller det för självklart att fokus för Svensk e-legitimation i första hand måste sättas på mobila lösningar. Jag ser idag inget bättre alternativ för att åstadkomma detta än att “byta spår” till OpenID Connect.


Nästa inlägg ("E-legitimationsnämnden och priset för myndigheter") >>
<< Tidigare inlägg ("Ayoy går med i FIDO Alliance")
Dela på:    
Oscar Jacobsson

Oscar har arbetat med elektronisk identifiering sedan 1995, och med e-legitimationer sedan 2002. 2010 grundade han Ayoy tillsammans med John Allberg.