Denna checklista innehåller sammanfattande information om vad respektive organisation måste göra med anledning av införandet av SITHS nya autentiseringslösning, vilken även inkluderar Mobilt SITHS. Det är viktigt att du som ansvarig utgivare tar ansvar för detta arbete och planerar samtliga aktiviteter inom din organisation. Om inte dessa aktiviteter genomförs, kommer ni inte att kunna använda Mobilt SITHS för inloggning i tjänster, inte heller någon av de andra autentiseringsmöjligheterna som den nya autentiseringstjänsten innebär.
...
För att kunna kommunicera med nya Autentiseringstjänsten och Utfärdandeportalen för Mobilt SITHS eID under era integrationstester, vilka kommer utföras mot Ineras TEST-miljö, krävs det öppningar från er tekniska miljö enligt:
Sökvägar och brandväggsöppningar Nätverksinställningar - Mobilt SITHS
4. Säkerställ routing
...
Egen IdP ansluts till Relying party API för Ineras Autentiseringstjänst, se figur 1 nedan
E-tjänsten ansluts (är ansluten) som SP till egen IdP. Här väljs också vilka autentiseringsmetoder som ska finnas tillgängliga för användare
Användarorganisationerna administrerar nödvändiga användarattribut i den aktuella katalogtjänsten.
Användarnas datorer / mobiler förses med programvara för SITHS eID, antingen på dator och/eller Mobil enhet .
Figur 1 - Lokal IdP ansluts direkt till Relying party API för Ineras Autentiseringstjänst
...
6. Förberedelser för att kunna använda SITHS Autentiseringsklient
...
OBS Framförallt vid användning av inbäddade webbläsare! Säkerställ att den applikation som ni använder för att visa er eller Ineras IdP klarar av att starta protokollet siths:// - Detta används för att starta SITHS eID app vid valet “SITHS eID på denna enhet”. Exempelvis om man kör en webbläsare inbäddad i sitt journalsystem kan detta kräva en åtgärd för att möjliggöra.
För de vanligen förekommande webbläsarna på operativsystemet kommer SITHS eID app installera stöd för detta.
Kodexempel för appväxling via inbäddade webbläsare: SITHS eID Appväxling - Exempel för inbäddade webbläsare
Kan nå Utfärdandeportalen och Autentiseringstjänsten via Internet eller Sjunet med HTTPS på port 443
har SITHS eID TEST klienten för Windows 10 installerad: Nedladdningssida för SITHS eID app till Windows 10
...
OBS! För integrationstester i TEST-miljön krävs att användaren har tillgång till ordinarie SITHS TEST-kort med TEST SITHS eID certifikat på tillitsnivå 3. Anledningen till detta är att det initialt bara kommer gå att utfärda Mobilt SITHS efter autentisering av användaren på tillitsnivå 3.
OBS! Framförallt vid användning av inbäddade webbläsare! Säkerställ att den applikation som ni använder för att visa er eller Ineras IdP klarar av att starta protokollet siths:// - Detta används för att starta SITHS eID app vid valet “SITHS eID på denna enhet”. Observera dock att rekommendationen vid appväxling på den mobila enheten är att använda sig av standardwebbläsaren på enheten för att visa IdP:ns användardialog.
För de vanligen förekommande webbläsarna på operativsystemet kommer SITHS eID app installera stöd för detta.
Kodexempel för appväxling via inbäddade webbläsare: SITHS eID Appväxling - Exempel för inbäddade webbläsare
Införskaffa mobila enheter enligt Ineras kravlista. Se följande sida för krav och supportade Mobila enheter Mobila enheter och OS som uppfyller kraven för SITHS eID version 1.0
Kan nå Utfärdandeportalen och Autentiseringstjänsten via Internet eller Sjunet med HTTPS på port 443
Säkerställ att användarnas datorer har SITHS eID TEST klienten för Windows 10 installerad: Nedladdningssida för SITHS eID app till Windows 10
Säkerställt att användarna har appen för SITHS eID TEST installerad på sina mobiltelefoner eller surfplattor. Appen ligger dold i nuläget, men kommer vara tillgänglig för betatestning via direktlänkar till appbutiken för iOS respektive Android.
Hänvisa era användare till nedladdning av Mobilt SITHS eID via följande länk https://mobiltsiths-temp.ineratest.org
7. Förberedelser för att kunna använda SITHS Autentiseringstjänst
...
Säkerställ att era användare har tillgång till aktuella versioner av SITHS eID Autentiseringsklient och även har hämtat Mobilt SITHS eID om detta ska ingå i era tester, se: Förberedelser för att kunna använda SITHS eID Autentiseringsklient
Hämta IdP:ns konfiguration baserat på vald teknik för anslutning OIDC eller SAMLv2 (måste bytas ut vid övergång till förvaltningens IdP):
OIDC konfiguration: https://idp.mobiltsiths-temp.ineratest.org/oidc/.well-known/openid-configuration
SAMLv2 Metadata-URL: https://idp.mobiltsiths-temp.ineratest.org/saml
Utfärda SITHS funktionscertifikat för TEST från er egen organisation och använd det för att signera SP:ns metadata
Om ni inte kan beställa SITHS-funktionscertifikat på egen hand finns det möjlighet att beställa SITHS-funktionscertifikat från Inera: https://inera.atlassian.net/wiki/x/JwhzF
Certifikatet utfärdas via SITHS Admin Preprod av er egen utfärdarorganisation för SITHS
För TEST-miljö ska utfärdaren vara antingen SITHS Type 3 CA v1 PP eller TEST SITHS e-id Function CA v1
Använd ett domännamn där som överensstämmer med tjänstens domännamn hos aktuellt organisation. Använder ni en extern leverantör använder ni deras domännamn till aktuell tjänst. I SITHS TEST-miljö finns inga krav kring bevis för ägandeskap av domännamnet innan utfärdande.
Säkerställ att ni använder ett certifikat från någon annan betrodd utfärdare än SITHS för den del av tjänsten gränssnitt som användaren besöker via sin webbläsare för att hen ska slippa få certifikatsvarningar
OBS! Notera giltighetstiden för certifikatet och kom ihåg att förnya det i tid och förmedla ny metadata med IdP:n innan ni byter utd et. Om certifikatet blir ogiltigt eller ny metadata för SP inte förmedlats kommer inloggning att sluta fungera för din organisation
Ta reda på följande information om er lokala miljö
Er tjänsts (SPs) metadata
Bestäm vilka attribut er tjänst vill hämta från Ineras IdP, se https://confluence.cgiostersund.se/display/ST/Attributlista
Utökad läsning om attributsstyrning inom Ineras IdP: Attributstyrning SAMLv2 och Attributsstyrning OIDC
Utökad läsning om de profiler som används inom Ineras IdP: SAMLv2 profil och OIDC-profil
Vilka autentiseringsmetoder ni vill ha:
SITHS-kort med hjälp av Net iD
SITHS eID på samma enhet (Både Mobilt SITHS eID och SITHS-kort)
SITHS eID på annan enhet (Primärt usecase för Mobilt SITHS eID)
Maila in uppgifterna under punkt 4 ovan till: hasanein.alyassiri@inera.se och/eller magnus.vallstedt@inera.se
Samtliga SITHS-kort som har SITHS-certifikat på sig kommer gå att använda för inloggning med Inera Autentiseringstjänst och SITHS eID Autentiseringsklient på Windows 10.
Beroende på vilken typ av SITHS e-legitimation som finns på SITHS-kortet kommer identitetsintyget att förses med olika tillitsnivåer enligt: https://confluence.cgiostersund.se/pages/viewpage.action?pageId=210942615.
Mobilt SITHS kommer initialt att förses med tillitsnivå 2 i väntan på flytt till ny driftleverantör och godkännande från DIGG.
Installera tillit till utfärdaren av det certifikat som används för signering av Identitetsintyget från Ineras IdP i TEST-miljö:
...
Säkerställ att era användare har tillgång till aktuella versioner av SITHS eID Autentiseringsklient och även har hämtat Mobilt SITHS eID om detta ska ingå i era tester, se: Förberedelser för att kunna använda SITHS eID Autentiseringsklient
Ta reda på följande information om er lokala miljö
Utfärda ett funktionscertifikat för TEST från er egen organisation och ta reda på dess HSA-id. (Detta används som klientcertifikat för kommunikationen med Autentiseringstjänsten)
Om ni inte kan beställa SITHS-funktionscertifikat på egen hand finns det möjlighet att beställa SITHS-funktionscertifikat från Inera: https://inera.atlassian.net/wiki/x/JwhzF
Certifikatet utfärdas via SITHS Admin Preprod av er egen utfärdarorganisation för SITHS.
För TEST-miljö ska utfärdaren vara antingen SITHS Type 3 CA v1 PP eller TEST SITHS e-id Function CA v1
Använd ett domännamn där som överensstämmer med tjänstens domännamn hos aktuellt organisation. Använder ni en extern leverantör använder ni deras domännamn till aktuell tjänst. I SITHS TEST-miljö finns inga krav kring bevis för ägandeskap av domännamnet innan utfärdande.
Säkerställ att ni använder ett certifikat från någon annan betrodd utfärdare än SITHS för den del av tjänsten gränssnitt som användaren besöker via sin webbläsare för att hen ska slippa få certifikatsvarningar
OBS! Notera giltighetstiden för certifikatet och kom ihåg att förnya det i tid. Om det blir ogiltigt kommer inloggning att sluta fungera för din organisation
Ta reda på den IP-adress er IdP kommer presentera mot SITHS eID Autentiseringstjänst
Information om kapacitetsbehov
Maila HSA-id för funktionscertifikatet, IdP:ns IP-adress och uppskattat kapacitetsbehov till: hasanein.alyassiri@inera.se och/eller magnus.vallstedt@inera.se
Säkerställ att er IdP har relevanta brandväggsöppningar och rätt routing för åtkomst till SITHS eID Autentiseringstjänst Relying Party API, Sökvägar och brandväggsöppningar Nätverksinställningar - Mobilt SITHS
Anpassa er lokala IdP till Autentiseringstjänstens Relying Party API: https://authservice.idp.ineratest.org/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#/
Installera tillit till följande utfärdare i er IdP då Autentiseringstjänsten använder certifikat från den vid kommunikation över Relying Party API:
Avgör vilken tillitsnivå ni vill att respektive typ av SITHS-certifikat ska få i er lokala IdP’s identitetsintyg. Ineras IdP kommer göra tolkningar enligt: https://confluence.cgiostersund.se/pages/viewpage.action?pageId=210942615.
Mobilt SITHS kommer, av Ineras IdP, inledningsvis att tolkas som tillitsnivå 2 i väntan på flytt till ny driftleverantör och godkännande från DIGG.
Här återfinns SITHS lista över e-legitimationer och hur de borde tolkas. Ytterst är det dock upp till respektive anslutande organisation vilken tolkning som används: Matris för tolkning av tillitsnivåer
...