Forskjeller mellom autentisert og avansert eSignatur

[trygveaa]

Hei. Vi benytter oss av denne klienten, og nå som dere tilbyr både autentisert og avansert eSignatur, så ser vi at det er litt forskjeller i signeringsprosessen mellom disse. Dette er slik vi ser det i testmiljøet, har ikke en prod-løsning enda, så usikker på om det er likt der.

Hvis vi benytter avansert, så brukes fødselsnummeret som sendes med slik at man ikke trenger å skrive det på nytt i signeringsportalen. På autentisert ser dette derimot ikke ut til å fungere, og man blir spurt om fødselsnummer på nytt.

I tillegg ser jeg at på det signerte dokumentet med avansert kommer navnet på personen som signerte med på forsiden og i footeren, i tillegg til fødselsnummeret. Med autentisert står derimot bare fødselsnummeret der.

Er det meningen at disse to tingene skal være slik for autentisert eSignatur, eller er det feil?

Vet ikke om det er relevant, men ser at med autentisert så kommer jeg først til difitest.signering.posten.no, men etter å ha trykket på «Signer dokument» blir jeg sendt til idporten-ver1.difi.no.

[sindrebn]

Hei,

Det du sier stemmer, og er likt både i testmiljøet og produksjon.

Forskjellen mellom autentisert og avansert esignatur for undertegneren, er at ID-porten brukes ifm. autentisert esignatur. Det er så vidt jeg vet ikke mulig å forhåndsutfylle et fødselsnummer i ID-porten. Videre returneres ikke navnet til undertegneren som et attributt i SAML-assertionen fra ID-porten ved autentisering. Signeringstjenesten vet dermed ikke hvilket navn som skal skrives på det signerte dokumentet.

Vennlig hilsen Sindre Nordbø Utvikler, Posten signering

[trygveaa]

Okay.

En ting til. Såvidt jeg kan se må man sende inn fødselsnummer til APIet når man oppretter en signeringsjobb, selv om man har valgt autentisert esignatur. Dette gjør at brukeren må skrive inn fødselsnummeret to ganger, som er noe tungvindt. Det er ikke noen måte å opprette en signeringsjobb uten å sende med fødselsnummer?

[sindrebn]

Hei igjen,

Jeg er litt usikker på om jeg forstår utfordringen din. Det at undertegneren må taste inn fødselsnummer i signeringsprosessen hos ID-porten klarer vi ikke å komme unna. Hva er det som fører til at undertegnere må taste inn fødselsnummeret sitt to ganger?

Grunnen til at jeg spør er at for de aller fleste avsendere jeg kjenner til er undertegnere allerede logget inn i deres system. Dermed vil det være en smal sak å hente ut fødselsnummeret fra den aktive sesjonen og sende inn til signeringstjenesten ved opprettelse. Dette stemmer altså ikke for dere?

[trygveaa]

Nei, vi har ikke noe fødselsnummer knyttet til brukeren, så det er grunnen til at brukeren må skrive det inn to ganger.

Nå ser det ut som avansert signering blir mest aktuelt for oss, så mulig det ikke er et problem for oss allikevel. Kan evt. komme tilbake hvis vi vil benytte autentisert signering.

[asjafjell]

Jeg lukker denne etter lengre tids inaktivitet. Bare rop ut om du får ytterligere problemer, @trygveaa , min kjære venn!

[eriklian]

Hei, nå ser det ut til at vi skal bruke autentisert signatur med autentiseringsnivå tre. Er det slik at vi må sende med fødselsnummer til tjenesten uansett? Vi har som @trygveaa sier ikke et fødselsnummer knyttet til brukeren når vi oppretter signeringsjobben, og brukeren vil dermed bli bedt om å skrive inn fødselsnummer to ganger.

[sindrebn]

Hei. Ja, for øyeblikket må dere sende med fødselsnummer til undertegneren ved opprettelse av signeringsoppdrag som innhenter autentiserte esignaturer. Dette kan forandre seg i fremtiden, men jeg vil ikke love noe.

Men dette vil uansett ikke løse utfordringen dere løfter, så vidt jeg kan skjønne. Undertegneren må alltid skrive inn fødselsnummeret hos ID-porten ved signering uansett hvordan hun adresseres i signeringstjenesten. Dette har med begrensninger i ID-porten som gjør at vi ikke kan pre-utfylle fødselsnummeret hos de.

[trygveaa]

Men dette vil uansett ikke løse utfordringen dere løfter, så vidt jeg kan skjønne. Undertegneren må alltid skrive inn fødselsnummeret hos ID-porten ved signering uansett hvordan hun adresseres i signeringstjenesten.

Det viktigste for oss er at brukeren skal slippe å skrive fødselsnummeret to ganger, ikke hvor det skrives inn. Vi har ikke behov for fødselsnummeret i vår applikasjon, så hvis vi kunne opprettet signeringsoppdraget uten fødselnummer kunne vi fjernet steget for å skrive inn fødselsnummer i vår applikasjon, slik at brukeren kun trenger å skrive det i ID-porten.

[sindrebn]

Ok, da skjønner jeg hva du mener med å «skrive inn to ganger». Foreløpig er det altså slik at dere som avsender må sende inn fødselsnummeret til undertegneren. De aller fleste andre avsendere oppretter signeringsoppdrag når undertegneren er logget inn med ID-porten e.l. i deres systemer, så vi har ikke sett behov for å gjøre fødselsnummer frivillig ved innsending.

Jeg skal ta en runde på det internt og komme tilbake til deg.

[asjafjell]

Vi åpner bare denne så snart det er aktuelt.