GDS Digital Service Manual 中文翻譯網站 (beta)
by HPX-GOV 英國政府數位服務研究小組 GDS Study Group
Home » 英國政府數位服務設計手冊 » 身份認證指南 (GOV.UK Verify guidance)

身份認證指南 (GOV.UK Verify guidance)

針對政府數位服務提供者

引言

政府數位化服務要能夠確保使用者能夠安全且方便地登錄接取服務與紀錄,並且保護他們的數據資料與隱私。

身份認證是指使用者能夠安全地登錄到數位化服務,且該服務能夠確認這個使用者符合其所宣稱的身份。
這篇網誌有完整的背景說明 。

核對身份及其紀錄後,服務提供者可以確保提供適當服務給正確的個人或企業用戶。

這份服務指南是針對政府數位服務提供者所需使用的身份認證服務。為避免造成提供使用者政府數位服務的業者與提供使用者身份服務的業者之間的混淆,通常業者會需要信賴憑證的機制。

這份指南介紹身份認證服務的概要,並說明信賴憑證該如何配合身份認證服務。

為配合身份認證服務,信賴憑證需要:

  • 評估所需的身份認證等級與類別
  • 建立一個請求與耗用安全宣示標記語言(SAML)身份宣示的服務
  • 建立一個根據使用者本身的紀錄以進行比對服務與經確認身份的機制

身份認證服務如何運作

1. 引導用戶登入至系統中心(hub)

當使用者嘗試使用透過信賴憑證所提供的服務時,使用者會被引導至身份認證系統中心,在這個階段信賴憑證將會需要確認使用者的身份。

該系統中心負責管理使用者、信賴憑證與和身份提供者之間的聯繫。它可確保使用者能夠安全地表示他們的身份,而信賴憑證可以確認這個使用者是否就是其所宣稱的身份。

2. 初次申請身份的註冊者

使用者會被引導至一份列表選單,列出與英國政府內閣辦公室簽約提供服務的機構,從中挑選所需的服務導。

身份提供業者是符合相關安全與服務標準的私人機構。他們設計符合公告標準的檢查方法去確認使用者的身份,再透過系統中心將這個身份傳送到相關的政府部門。

3信賴憑證比對經身份認證的使用者紀錄

信賴憑證會利用身份提供者驗證後的一組資料去比對使用者的身分與紀錄,完成這個步驟後,使用者才會回到系統中心。這組資料包含:

  • 姓名
  • 地址
  • 出生日期
  • 性別

信賴憑證使用這組身份資料(作為比對的資料庫)以確認他們處理的是正確的對象。
這就是所謂的比對(matching)。這個步驟涉及在信賴憑證的資料庫中找出正確的紀錄,去比對由使用者所提供的認證身份。

系統中心將比對的資料組送到信賴憑證的比對服務。信賴憑證則負責執行:

  • 決定哪個信賴憑證的紀錄去進行比對
  • 管理錯誤比對的風險
  • 處理多重比對(發現多筆紀錄)或是零比對(找不到用戶)的情形

一旦開始比對,使用者會被引導到信賴憑證服務中正確的紀錄。
身份認證小組就可以建議如何進行比對服務。

4. 使用者有權在想要使用的服務中進入自己的帳戶

使用者經註冊獲得一個身份以後,就要讓他們可以透過身份認證服務登入所有的數位服務,並且藉由身份服務業者所提供的憑證取得相同等級的認證。

第一屆使用身份認證服務的政府服務將在2014年初都連線到系統中心。
每一個服務會在經程式組同意後的時間點連線。
信賴憑正在收到身份認證請求後,會聯繫身份認證程式組,開始規劃提供服務連線。

更多關於身份認證服務的發展與最新資訊請見這篇由由身份認證程式組張貼的網誌

如何評估數位服務所需要的身份認證

信賴憑證可使用由英國政府內閣辦公室出版的指南來評估他們所需的身份認證。
每個信賴憑證都必須針對他們的數位服務進行風險評估,依據優良操作指南第43條:線上公共服務之安全傳遞規範

身份的『認證等級』是指信賴憑證要求使用者出示身份的信心程度:

  • 認證等級1是指信賴憑證需要知道是哪個相同使用者又回來使用服務,但不需要知道該使用者是誰。
  • 認證等級2是指信賴憑證需要在使用者是誰與使用者是否是個真實的人之間取得平衡。
  • 認證等級3是指信賴憑證基於合理懷疑,需要知道使用者是誰以及是否是一個真實的人。
  • 認證等級4是指和認證等級3相同,但在註冊的階段就要取得生物特徵資料。
    這個等級並不包含在身份認證程式這個階段的範圍之內。

英國政府內閣辦公室的優良操作指南定義了不同等級的認證以及該如何執行。
每個信賴憑證必須決定每一個數位服務需要何種等級的認證:

如何執行身份認證程式以備提供身份認證

每個信賴憑證都需要通過程式中的導入程序。這個程序包括四個階段:

  1. 開始─確認存在身份認證的需求。
  2. 分析需求─ 確認該服務所需的身份認證(等級與類型)、使用者與信賴憑證者。
    同意可以連接到系統中心的暫定時間。
  3. 規劃 – 完成準備評估。同意一份具體的計劃,明列什麼時候執行什麼服務或政府數位化服務(GDS)。
    取得政府數位化服務(GDS)與信賴憑證組織的內部許可。
  4. 連接到系統中心─ 同意身份認證程式與負責服務的部門之間所簽訂的合作備忘錄(MOU)。

提供數位服務的政府提供者,如欲瞭解更多有關身份認證成為信賴憑證的資訊,請洽
Janet Hughes

如何比對認證後的身份與服務紀錄

每個信賴憑證都需要建立一套比對服務,能夠接收每個身份發出的數位斷言,以及比對他們內部所持有的紀錄。
這個過程可以確保信賴憑證能夠使用由身份認證服務所提供的身份斷言。

信賴憑證比對認證後的身份及其所持有的紀錄大多是很複雜的─每個信賴憑證需要建立最有效率的比對方式,這有賴於他們所持有的資料品質,以及如何儲存與管理資料。

信賴憑證需要能夠執行存在風險的比對,以確定哪些區域的帳戶要用來比對。
例如,信賴憑證要能夠處理當使用者已經提供身份,但卻未能十分確信地找到任何特定或是多重的紀錄供比對。

政府數位服務(GDS)已經開發了一項比對服務調適機制,將有助於某些信賴憑證調整惟適當的語法,以利與系統中心聯繫。

於早期導入階段,服務提供者能夠得到這項比對服務調適機制的細節資料。

翻譯:劉盈秀
校稿:
原始出處:https://www.gov.uk/service-manual/identity-assurance/