...

1. Mobilverifiering
2. ID-växling med e-legitimation enligt DIGG:s valfrihetssystem
3. ID-växling med eIDAS
4. Passverifiering
5. Kontrollkod till folkbokföringsadress eller digital brevlåda

...

Om något steg i verifieringen misslyckas så räknas hela processen som misslyckad och eduID-användaren kopplas inte med den fysiska personen. Detta är en säkerhetsåtgärd.
Koppling mellan fysisk person och eduID-användare sker efter framgångsrik process genom att information om vilken process som genomförts lagras i eduID tillsammans med tillräcklig information (i vissa fall även personnummer) för att identifiera de dokument eller andra objekt som användes för verifiering. Nedan beskrivs processernas sk happy path - dvs lyckade verifieringsflöden.

ID-växling med e-legitimation enligt DIGG:s valfrihetssystem

Här verifieras identiteten genom att man efter lyckad process ärver verifikationen man fått vid utfärdandet av sin e-legitimation.

1. Användaren uppger ett personnummer
2. Användaren anmodas logga in med en e-legitimation som omfattas av ett valfrihetssystem som medger ID-växling
3. Om det uppgivna personnumret överensstämmer med personnumret från inloggningen så har processen lyckats.

ID-växling med e-legitimation enligt valfrihetssystemet medger ett konto med tillitsnivå DIGG e-leg LoA2, och tillitsnivå SWAMID AL3. (detta gäller från senare under 2023 när eduID godkänns för att utfärda DIGG e-leg)

ID-växling med eIDAS

Här verifieras identiteten genom att man efter lyckad process ärver verifikationen man fått vid utfärdandet av sin eIDAS-handling.

1. Användaren anmodas logga in med en utlänsk e-legitimation via eIDAS
2. Information från e-legitimationen kopplas till eduID-användaren efter en lyckad inloggning.

ID-växling med eIDAS medger ett konto med tillitsnivå SWAMID AL3, men det medger inte ett konto med tillitsnivå DIGG e-leg LoA2. (detta gäller från senare under 2023 när eduID godkänns för att utfärda DIGG e-leg)

Passverifiering

Här verifieras identiteten genom att användaren har tillgång till passet och att information ur passet (så som biometri) överensstämmer med personen som verifierar sig.

1. Användaren anmodas ladda ner en app som medger verifiering av ICAO-dokument (tex pass) med stöd för biometrisk information.
2. Användare scannar ett ICAO-dokument (pass) och genomför verifiering med hjälp av biometrisk information på passet. Denna verifiering sker på ett sätt som garanterar att innehavaren av passet kopplas med hjälp av biometrisk verifiering till den person som genomför verifieringen i realtid.
3. Information från passet kopplas till eduID-användaren efter en lyckat passverifering.

ID-växling med passverifiering medger ett konto med tillitsnivå SWAMID AL3, men det medger inte ett konto med tillitsnivå DIGG e-leg LoA2. (detta gäller från senare under 2023 när eduID godkänns för att utfärda DIGG e-leg)

Kontrollkod via brev till folkbokföringsaddress eller digital brevlåda

...

1. Användaren uppger ett personnummer
2. Personnumret slås upp i Navet (folkbokföringen)
3. Personnumret slås upp i FaR (DIGG:s tjänst för kontroll om person har digital brevlåda)
   1. Om har digital brevlåda, skickas verifieringskod ut till den digitala brevlådan
   2. Om inte har digital brevlåda, skickas verifieringskod ut brevledes
4. En verifieringskod genereras och skickas till addressen som uppges i folkbokföringen eller den digitala brevlådan för personnummret. Verifieringskoden har en begränsad giltighetstid.
5. Användaren uppger verifieringskoden. Om verifieringskoden inte har gått ut i tid och överensstämmer med den verifieringskod som skickades så har processen lyckats.

Kontrollkod via brev till folkbokföringsadress eller digital brevlåda enligt valfrihetssystemet medger ett konto med tillitsnivå DIGG e-leg LoA2, och tillitsnivå SWAMID AL3. (detta gäller från senare under 2023 när eduID godkänns för att utfärda DIGG e-leg)

Mobilverifiering

Här verifieras identiteten genom att dels kontrollera att personnumret har en koppling via abonnemanget till mobiltelefonnumret, samt att personen har tillgång att ta emot och läsa meddelanden som skickas till det mobiltelefonnumret.

1. Användaren uppger ett personnummer och ett mobilnummer
2. Tjänsten Teleaddress används för att slå upp abonnentens personnummer för det uppgivna mobilnummret
3. Information om det uppgivna personnumret hämtas från Navet (folkbokföringen)
4. Om det uppgivna personnummret överrensstämmer med abonnenten skickas en verifieringskod till mobilnumret. Veriferingskoden har en begränsad giltighetstid.
5. Användaren matar in verifieringskoden man fått till mobilnumret i eduID. Om verifieringskoden inte har gått ut i tid och överensstämmer med den verifieringskod som skickades så har processen lyckats.

Verifiering via mobiltelefonnummer medger ett konto med tillitsnivå SWAMID AL3, men det medger inte ett konto med tillitsnivå DIGG e-leg LoA2. (detta gäller från senare under 2023 när eduID godkänns för att utfärda DIGG e-leg)

Inloggningssäkerhet

eduID stödjer inloggning via användarnamn och lösenord i kombination med FIDO2-tokens (via WebAuth-API:et) där förhöjd säkerhet krävs. Inloggning med förhöjd säkerhet (sk MFA) sker på begäran från en ansluten tjänst via protokollelement (tex AuthenticationContextClassRef för SAML eller ACR för OpenID Connect). Exakt vilka protokollelement som resulterar i inloggning med MFA finns beskrivet i respektive implementationsprofil som eduID stödjer.

...

Kvalitetsmärken är normalt tillämpbara för eduID samt för eduID Connect i de fall eduID helt och fullt används som bakomliggande IdP. Normalt ska alltså virtuella IdP:er i eduID Connect ses som separata medlemmar i respektive federationer och förtroenderamverk men i fallet då eduID Connect använder eduID som bakomliggande eduID så är i de flesta fall dessa förtroenderamverk tillämpliga.