Jämförda versioner

Gammal version 38

changes.mady.by.user Christoffer Johansson

Sparat den

jämfört med

Ny version 39

changes.mady.by.user Christoffer Johansson

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Innehållsförteckning

...

Expandera
titleVisa revisionshistorik

Version

Datum

Författare

Kommentar

1.0

2021-01-22

SITHS Förvaltning

Etabering av sidan.

1.1

2021-02-02

SITHS Förvaltning

Tillägg av avsnitt kring Inloggning till Windows och ändring av struktur på sidan.

1.2

2021-02-11

SITHS Förvaltning

Uppdatering av hur spärrkontroll fungerar

1.21

2021-02-15

SITHS Förvaltning

Teknisk beskrivning av SITHS Root CA ersatt av denna sida

1.22

2021-02-22

SITHS Förvaltning

Tillägg av information om plattformskrav för SITHS Admin och Mina sidor

1.23

2021-03-01

SITHS Förvaltning

Tillägg av information om att stänga av strömspartläge och använda så nya kortläsardrivrutiner som möjligt.

1.3

SITHS Förvaltning

Tillägg av rubrik för SITHS Testsida

1.31

SITHS Förvaltning

Mindre textjusteringar och tillägg av spärrlistors giltighetstid för Utfärdande CAs

1.32

SITHS Förvaltning

Tillägg av information om pin-cache.

1.33

SITHS Förvaltning

Lagt till information om Underskrift och Förnyad autentisering utan Net iD Enterprise/Plugin

1.34

SITHS Förvaltning

Uppdaterade informationen om RFID och MIFARE

1.35

SITHS Förvaltning

Lade in avgränsare mellan avsnitt

Inledning

Användning av SITHS e-legitimation

...

  • Mutual TLS:

    • Användare - för legitimering och underskrift av användare med hjälp av Net iD

    • Servrar - för identifiering av tjänster vid kommunikation mellan IT-system

  • Out-of-band authentication: för legitimering och underskrift av en användare med hjälp av SITHS eID

Övrig användning av SITHS-kort

SITHS-kort har även följande funktioner;

  • Inloggning till Windows

  • Inloggning till Citrix

  • Som visuell ID-handling

  • Inpassering, parkering etc. med hjälp av RFID (MIFARE Classic EV1)

  • Magnetband

  • Streckkod

För fullständig specifikation över beställningsbara SITHS-kort se Kortspecifikation och tillbehör med bilder - Bilaga 1.2 (Pdf)

Teknisk information om SITHS Certifikatsutfärdare

Sökvägar och brandväggsöppningar

Här hittar du information om sökvägar och brandväggsöppningar för SITHS: Nätverksinställningar - Certifikatsutfärdare

Rot- och utfärdarcertifikat (Installation av tillit)

Här hittar du information om SITHS rot- och utfärdarcertifikat, samt vad som gäller kring installation av tillit till dessa: Rot- och utfärdarcertifikat

Spärr och spärrkontroll

Ett certifikat kan spärras för att förhindra vidare användning. Detta kan ske när man ska avsluta sin anställning, när man har tappat bort sitt SITHS eID eller när en server ska avvecklas.

Klicka nedan om du vill läsa mer om hur SITHS spärrkontroll

...

titleVisa information om hur spärr fungerar inom SITHS

Beställning och utförande av spärr

En spärr inom SITHS kan utföras enligt följande matris

...

Aktör/Beställare

Referensarkitekturer för Legitimering och Underskrift

Inera har tillsammans med kommuner och regioner tagit fram arkitekturdokument för hur tjänster med behov av legitimering och underskrift ska integrera mot infrastrukturen för legitimering och underskrift av användare:

Klicka nedan för att läsa mer om Referensarkitekturerna

Expandera
titleReferensarkitekturer för Legitimering och Underskrift

Filmer som beskriver referensarkitekturerna återfinns här: Referensarkitekturer för IAM och e-underskrift, deras realisering på Inera - YouTube

Dokument som beskriver referensarkitekturerna:

Övrig användning av SITHS-kort

SITHS-kort har även följande funktioner;

  • Inloggning till Windows

  • Inloggning till Citrix

  • Som visuell ID-handling

  • Inpassering, parkering etc. med hjälp av RFID (MIFARE Classic EV1)

  • Magnetband

  • Streckkod

För fullständig specifikation över beställningsbara SITHS-kort se Kortspecifikation och tillbehör med bilder - Bilaga 1.2 (Pdf)

...

Teknisk information om SITHS Certifikatsutfärdare

Sökvägar och brandväggsöppningar

Här hittar du information om sökvägar och brandväggsöppningar för SITHS: Nätverksinställningar - Certifikatsutfärdare

Rot- och utfärdarcertifikat (Installation av tillit)

Här hittar du information om SITHS rot- och utfärdarcertifikat, samt vad som gäller kring installation av tillit till dessa: Rot- och utfärdarcertifikat

Spärr och spärrkontroll

Ett certifikat kan spärras för att förhindra vidare användning. Detta kan ske när man ska avsluta sin anställning, när man har tappat bort sitt SITHS eID eller när en server ska avvecklas.

Klicka nedan om du vill läsa mer om hur SITHS spärrkontroll

Expandera
titleVisa information om hur spärr fungerar inom SITHS

Beställning och utförande av spärr

En spärr inom SITHS kan utföras enligt följande matris

Aktör/Beställare

Utförare

Metod

Kommentar

Användare

Nationell spärrfunktion hos Telia Kundtjänst

Telefon till 020-32 32 62

Ej funktionscertifikat

Användare

Användare

Mina sidor

Ej funktionscertifikat

Användare

ID-administratör

SITHS Admin

Användare/Innehavare

SITHS Föraltning

SITHS Admin

Vid anmälan om missbruk

ID-administratör

ID-administratör

SITHS Admin

SITHS PA

SITHS Förvaltning

SITHS Admin

Kortproduktion

Kortproduktion

Via API om det är problem att producera kort

Realisering av spärr

När en spärr har begärts av respektive Utförare kan det beroende på metod för kontroll ta en viss tid innan ett system kan få uppdaterad information om detta och använda den för att neka en användare att logga in.

OCSP

Är en metod där ett system kontrollerar ett certifikat åt gången

För denna metod realiseras spärren I princip omedelbart

Varje OCSP-svar får en tidsstämpel som säger hur länge svaret får användas av förlitande part. För SITHS gäller:

  • notBefore → Tidpunkt då frågan ställs

  • notAfter → 48 h framåt från notBefore

CRL

att logga in.

OCSP

Är en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare

För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part.

Varje CRL kontrollerar ett certifikat åt gången

För denna metod realiseras spärren I princip omedelbart

Varje OCSP-svar får en tidsstämpel som säger hur länge den svaret får användas av en förlitande part, för . För SITHS gäller:

Spärrlistor för certifikat till slutanvändare och funktionscertifikat:

  • lastUpdate → Tidpunkten då CRL skapas av CA

  • nextUpdate → 72h från lastUpdate

Spärrlistor som utfärdas av Root CA för utfärdande CAs:

  • lastUpdate → Tidpunkten då CRL skapas manuellt då rooten är offline

  • nextUpdate → ~12 månader

Info

Net iD Client är en annan produkt från SecMaker med liknande funktionalitet som Net iD Enterprise. Net iD Client ingår inte i Ineras avtal med Telia och stöds därför inte av Inera i dagsläget.

Legitimering och underskrift av användare kan ske med olika tekniker. Samtliga är förknippade med någon form av inloggningsmetod, ofta med en tillhörande applikation som installeras på användarens dator.

I SITHS finns i dagsläget två applikationer som används för att möjliggöra användning av SITHS e-legitimation vid legitimering och underskrift av användare:

  • SITHS eID appen som även innefattar Mobilt SITHS

  • Net iD

Applikationer för användning av SITHS e-legitimation

Här hittar du information om och länkar/instruktioner för hur du hämtar de applikationer som användaren behöver vid användning av SITHS e-legitimation: Programvaror och tillbehör för SITHS

Referensarkitekturer för Legitimering och Underskrift

Ineras har tillsammans med kommuner och regioner tagit fram arkitekturdokument för hur tjänster med behov av legitimering och underskrift ska integrera mot infrastrukturen för legitimering och underskrift av användare:

Klicka nedan för att läsa mer om Referensarkitekturerna

Expandera
titleReferensarkitekturer för Legitimering och Underskrift

Filmer som beskriver referensarkitekturerna återfinns här: Referensarkitekturer för IAM och e-underskrift, deras realisering på Inera - YouTube

Dokument som beskriver referensarkitekturerna:

CRL

Är en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare

För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part.

Varje CRL får en tidsstämpel som säger hur länge den får användas av en förlitande part, för SITHS gäller:

Spärrlistor för certifikat till slutanvändare och funktionscertifikat:

  • lastUpdate → Tidpunkten då CRL skapas av CA

  • nextUpdate → 72h från lastUpdate

Spärrlistor som utfärdas av Root CA för utfärdande CAs:

  • lastUpdate → Tidpunkten då CRL skapas manuellt då rooten är offline

  • nextUpdate → ~12 månader

Info

Net iD Client är en annan produkt från SecMaker med liknande funktionalitet som Net iD Enterprise. Net iD Client ingår inte i Ineras avtal med Telia och stöds därför inte av Inera i dagsläget.

Legitimering och underskrift av användare kan ske med olika tekniker. Samtliga är förknippade med någon form av inloggningsmetod, ofta med en tillhörande applikation som installeras på användarens dator.

I SITHS finns i dagsläget två applikationer som används för att möjliggöra användning av SITHS e-legitimation vid legitimering och underskrift av användare:

  • SITHS eID appen som även innefattar Mobilt SITHS

  • Net iD

...

Applikationer för användning av SITHS e-legitimation

Här hittar du information om och länkar/instruktioner för hur du hämtar de applikationer som användaren behöver vid användning av SITHS e-legitimation: Programvaror och tillbehör för SITHS

SITHS eID och Mobilt SITHS

...

...

Info

Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte behöver ange pin-kod igen så länge SITHS-kortet sitter kvar i kortläsaren. För att Användaren ska bli helt utloggad från en tjänst måste hen:

  1. Använda tjänstens egen funktion för utloggning

  2. Avlägsna SITHS-kortet från kortläsaren

  3. Utöver detta bör även alla tjänster komplettera med en egen inaktivitetstimeout. Denna hjälper dock inte om användare glömmer att avlägsna sitt SITHS-kort.

...

Flöden för legitimering och underskrift

Om du expanderar nedan fält finns flödesbilder för legitimering och underskrift med Net iD (Mutual TLS respektive SITHS eID (Out-of-Band)

Expandera
titleFlöden för legitimering respektive underskrift med SITHS eID appen

Legitimering med SITHS eID

Lucidchart
pageCount1
autoUpdatefalse
alignleft
typerich
autoSize1
macroId9e93c55f-29e9-4a77-96ef-aa16c55f7862
pages
instanceId674ee3b4-0aa5-36fc-b851-9fe526cc2041
width700
documentIdac2d9f5d-7a62-435c-87f6-dbbe8d36e6d6
documentTokenac2d9f5d-7a62-435c-87f6-dbbe8d36e6d6|115406879|358875327|mPGb4zi+oITK3JgFf+jHqcHEDxPKIVNrW0YtUlfHjU4=
updated1610362515755
height500

Underskrift med SITHS eID

Lucidchart
pageCount1
autoUpdatefalse
alignleft
typerich
autoSize1
macroIdae37d44b-1df5-48a6-b00c-0aac222ae7b5
pages
instanceId674ee3b4-0aa5-36fc-b851-9fe526cc2041
width700
documentIdbec967b9-89ee-4a9f-a0ba-3c92bd11d282
documentTokenbec967b9-89ee-4a9f-a0ba-3c92bd11d282|115406879|358875327|oljU79HaTsOuo3Dd1LiDI7D+LZozpmnuSd6A9ZYNXXI=
updated1610362598741
height500
Expandera
titleFlöden för legitimering respektive underskrift med Net iD

Legitimering med Mutuals TLS och Net iD

Lucidchart
pageCount1
autoUpdatefalse
alignleft
typerich
autoSize1
macroId7c6f3205-37fe-4556-85bc-996a99f0c3ec
pages
instanceId674ee3b4-0aa5-36fc-b851-9fe526cc2041
width700
documentIdeb31997d-b51e-4f51-9765-81308d72e74d
documentTokeneb31997d-b51e-4f51-9765-81308d72e74d|115406879|358875327|KnQqunBN/el2cRjLVbPr/rKD3crBtfWvJEUB3ie4CGE=
updated1610362455693
height500

Underskrift med Net iD

Lucidchart
pageCount1
autoUpdatefalse
alignleft
typerich
autoSize1
macroIdce104987-4d14-433f-9426-73b899450d32
pages
instanceId674ee3b4-0aa5-36fc-b851-9fe526cc2041
width700
documentIde829c8c8-1785-4b17-8ad0-8f0fa72e94b4
documentTokene829c8c8-1785-4b17-8ad0-8f0fa72e94b4|115406879|358875327|jrK8gswJycRDcccD6dmf6HwOjyO4PO9TFVw5cjAhL2E=
updated1610362721443
height500

...

SITHS Testsida

Inkludera sida
Information om SITHS Testsida
Information om SITHS Testsida

...

Info

Utredning pågår, vi kommer att komplettera med referensmaterial

...

Användning av SITHS på tunna klienter och virtualiserade klientplattformar

Detta avsnitt är tänkt att behandla användning av SITHS på tunna klienter eller virtualiserade klientplattformar. Exempelvix Citrix eller VMWare Horizon.

Avsnittet ska skrivas

...

Funktionscertifikat - Legitimering av server

Avsnittet ska kompletteras

För att utfärda SITHS Funktionscertifikat se SITHS Funktionscertifikat - Användarguide

...