...
SITHS eID på kort respektive mobil enhet (out-of-band) går att integrera som primära alternativt kompletterande autentiseringsmetoder i en lokal Windows-miljö ansluten till Azure AD. Detta möjliggör autentisering mot kopplade applikationsresurser i Windows-miljön, t.ex. Office365, Google Apps eller dylikt.
För att åstadkomma detta behöver Azure organisationens AD-installationen agera lokal IdP (Legitimeringstjänst) och anslutas till Ineras IdP enligt anslutningsmönstret “IdP-proxy”installation (Azure AD eller ADFS) anslutas för att konsumera autentiseringsmetoderna som tillhandahålls av Inera Autentiseringstjänst.
Det är även möjligt att integrera en lokal “on-prem” AD-installation med Azure AD och på så sätt skapa en hybrid-lösning där användare som är kopplade till den lokala AD-installationen kan autentiseras via Azure AD, som i sin tur är kopplad till autentiseringsmetoderna för SITHS eID.
...
Generella förutsättningar
Lokalt i er organisation
Azure AD alternativt ADFS används i rollen som lokal IdP . Denna behöver anslutas till Inera IdP för konsumtion av autentiseringsmetoderna SITHS eID på kort respektive mobil enhet.
Följ anvisningar för anslutning hos Inera Säkerhetstjänster enligt referens nedan. Se även MS dokumentation för anslutning av en SAML 2.0 Identity Provider (IdP).(Legitimeringstjänst). Anslutning för autentiseringsmetoderna görs enligt något av nedanstående anslutningsmönster.
Klientprogramvaran SITHS eID-app för Windows-datorer installeras
Vid behov laddas SITHS eID-app för mobila enheter ner och användarna hämtar Mobilt SITHS
Inom ramen för Azure AD-installationen konfigureras med vilka applikationsresurser som ska kräva/använda vilken autentiseringsmetod.
Vid behov hanteras eventuell hybridlösning med on-prem AD-installation i kombination med Azure AD.
Inera IdP tillhandahåller autentisering med SITHS eID och out-of-band-teknik med hjälp av Inera Autentiseringstjänst.
...
Referenser
...
Anslutning till Ineras IdP och legitimering med SITHS eID
...
Anslutningsmönster “IdP-proxy”
I detta alternativ ansluts AD-installationen till Ineras IdP enligt anslutningsmönstret “IdP-proxy”. Endast Azure AD stöds av Microsoft i detta anslutningsmönster.
Förutsättningar
Lokalt i er organisation
Azure AD används i rollen som lokal IdP. Denna behöver anslutas till Inera IdP för konsumtion av autentiseringsmetoderna SITHS eID på kort respektive mobil enhet.
Följ anvisningar för anslutning hos Inera Säkerhetstjänster enligt referens nedan. Se även MS dokumentation för anslutning av en SAML 2.0 Identity Provider (IdP)
Hybrid-lösning med AD och Azure AD
SITHS eID “out-of-band” som kompletterande autentiseringsmetod vid multi-faktor-autentisering i Windows-miljö
SITHS eID på kort respektive mobil enhet går även att integrera som kompletterande autentiseringsmetoder för s k multi-faktor-autentisering (MFA) i en lokal Windows-miljö ansluten till AD FS (Active Directory Federation Services) alternativt Azure AD.
...
.
Inera IdP tillhandahåller autentisering med SITHS eID och out-of-band-teknik med hjälp av Inera Autentiseringstjänst.
...
Anslutningsmönster: Anslutning till Inera Autentiseringstjänst
I detta alternativ ansluts lokal AD FS eller en Azure AD-installation till Inera Autentiseringstjänst.
I denna konfiguration stödjer Microsoft officiellt s.k. multifaktorautentisering (MFA) i Windows-miiljön, vilket innebär att autentisering med SITHS eID kan användas som komplement till en primär autentiseringsmetod. Exempelvis om den primära metoden är användarnamn+lösenord, kan man även kräva autentisering med SITHS eID i ett extra användarsteg.För att åstadkomma detta behöver lokal AD FS eller en Azure AD-installation agera lokal IdP (Legitimeringstjänst) och anslutas till Ineras Autentiseringstjänst.
Förutsättningar
Lokalt i er organisation
AD FS alternativt Azure AD används i rollen som lokal IdP. Denna behöver anslutas ansluts till Inera Autentiseringstjänst för konsumtion av autentiseringsmetoderna SITHS eID på kort respektive mobil enhet. Följ anvisningar för anslutning hos Inera Säkerhetstjänster.
Inera Autentiseringstjänst tillhandahåller autentisering med SITHS eID och out-of-band-teknik.
...
Referenser
Hybrid-lösning med AD och Azure AD
...
Om man vill använda SITHS-kortet för den interaktiva inloggningen till Windows-datorer, kan SITHS installationspaket för Windows-datorer användas. I denna paketering en av paketeringarna ingår en Minidriver med stöd för SITHS-korten. Denna inloggning sker alltså lokalt i klientdatorn med det inbyggda stödet för smarta kort i Windows. I paketeringen ingår även en funktion för att låsa upp ett låst SITHS-kort vid Windows inloggningsskärm med hjälp av upplåsningskod (puk).
Notera att inloggningen med SITHS-kortet sker lokalt mot Windows/AD med hjälp av det inbyggda stödet för smarta kort i Windows. I Windows/AD-miljön ställs ut s.k. Kerberos-biljetter för att användaren ska få åtkomst till olika Windows-resurser. Denna teknik är dock inte kopplad till den IdP-baserade inloggning som beskrevs ovan, vilket medför att kortinloggning i Windows/AD i sig inte ger SSO-funktionalitet mot tjänster som är kopplade till IdP. Dock har Minidrivern stöd för cachning av pin på datorn vilket i vissa fall kan ge upplevd SSO för användaren (t.ex. om mTLS-teknik används mot tjänster).
Förutsättningar
Lokalt i er organisation
SITHS eID installationspaket för Windows-datorer (version 10 och 11), se referenser nedanInstallera paket för SITHS eID-app på aktuella Windows-datorer
Välj paketering med tillägget “MD” = Minidriver för att få med stödet för interaktiv kortinloggning till Windows/AD.
Konfigurera AD-installationen och aktuella AD-konton utifrån Microsoft krav på Smart card logon i Windows.
Referenser
...