Sidjämförelse

Autentisering med SITHS eID “out-of-band” till applikationsresurser i Windows-miljö

SITHS eID på kort respektive mobil enhet (out-of-band) går att integrera som primära alternativt kompletterande autentiseringsmetoder i en lokal Windows-miljö. Detta möjliggör autentisering mot kopplade applikationsresurser i Windows-miljön, t.ex. Office365, Google Apps eller dylikt.

...

Det är även möjligt att integrera en lokal “on-prem” AD-installation med Azure AD och på så sätt skapa en hybrid-lösning där användare som är kopplade till den lokala AD-installationen kan autentiseras via Azure AD, som i sin tur är kopplad till autentiseringsmetoderna för SITHS eID.

Generella förutsättningar

• Lokalt i er organisation

  • Azure AD alternativt ADFS används i rollen som lokal IdP (Legitimeringstjänst). Anslutning för autentiseringsmetoderna görs enligt något av nedanstående anslutningsmönster.

  • Klientprogramvaran SITHS eID-app för Windows-datorer installeras

    • Vid behov laddas SITHS eID-app för mobila enheter ner och användarna hämtar Mobilt SITHS

  • AD-installationen konfigureras med vilka applikationsresurser som ska kräva/använda vilken autentiseringsmetod.

  • Vid behov hanteras eventuell hybridlösning med on-prem AD-installation i kombination med Azure AD.

Anslutningsmönster “IdP-proxy”

I detta alternativ ansluts AD-installationen till Ineras IdP enligt anslutningsmönstret “IdP-proxy”. Endast Azure AD stöds av Microsoft i detta anslutningsmönster.

...

• Lokalt i er organisation

  • Azure AD används i rollen som lokal IdP. Denna behöver anslutas till Inera IdP för konsumtion av autentiseringsmetoderna SITHS eID på kort respektive mobil enhet.

    • Följ anvisningar för anslutning hos Inera Säkerhetstjänster enligt referens nedan. Se även MS dokumentation för anslutning av en SAML 2.0 Identity Provider (IdP).

• Inera IdP tillhandahåller autentisering med SITHS eID och out-of-band-teknik med hjälp av Inera Autentiseringstjänst.

...

Anslutningsmönster: Anslutning till Inera Autentiseringstjänst

I detta alternativ ansluts lokal AD FS eller en Azure AD-installation till Inera Autentiseringstjänst.

I denna konfiguration stödjer Microsoft officiellt s.k. multifaktorautentisering (MFA) i Windows-miiljön, vilket innebär att autentisering med SITHS eID kan användas som komplement till en primär autentiseringsmetod. Exempelvis om den primära metoden är användarnamn+lösenord, kan man även kräva autentisering med SITHS eID i ett extra användarsteg.

Förutsättningar

• Lokalt i er organisation

  • AD FS alternativt Azure AD ansluts till Inera Autentiseringstjänst för konsumtion av autentiseringsmetoderna SITHS eID på kort respektive mobil enhet. Följ anvisningar för anslutning hos Inera Säkerhetstjänster.

• Inera Autentiseringstjänst tillhandahåller autentisering med SITHS eID och out-of-band-teknik.

...

Referenser

• Anslutning till Ineras IdP och legitimering med SITHS eID

• Use a SAML 2.0 Identity Provider (IdP) for Single Sign On

• Hybrid-lösning med AD och Azure AD

  • Integrate on-premises AD with Azure

  • Integrate on-premises AD domains with Azure AD

  • Plan your hybrid Azure Active Directory join implementation

• Inera Referensarkitektur för Identitet och åtkomst

• Configure Additional Authentication Methods for AD FS

• How it works: Azure AD Multi-Factor Authentication

Interaktiv inloggning till Windows-dator med SITHS-kort

Interaktiv inloggning till en dator (“lokal datorinloggning”) med Windows styrs enligt Windows-arkitekturen av s k autentiseringsmoduler (authentication providers) i operativsystemet. Microsoft rekommenderar inte att byta ut de inbyggda autentiseringsmodulerna till tredje-parts-programvara. Det gör att de autentiseringsmöjligheter som finns är begränsade till det som tillhandahålls i Windows. En sådan möjlighet är att använda smarta kort som följer Microsofts Minidriver-specifikation.

...

Notera att inloggningen med SITHS-kortet sker lokalt mot Windows/AD med hjälp av det inbyggda stödet för smarta kort i Windows. I Windows/AD-miljön ställs ut s.k. Kerberos-biljetter för att användaren ska få åtkomst till olika Windows-resurser. Denna teknik är dock inte kopplad till den IdP-baserade inloggning som beskrevs ovan, vilket medför att kortinloggning i Windows/AD i sig inte ger SSO-funktionalitet mot tjänster som är kopplade till IdP. Dock har Minidrivern stöd för cachning av pin på datorn vilket i vissa fall kan ge upplevd SSO för användaren (t.ex. om mTLS-teknik används mot tjänster).

Förutsättningar

• Lokalt i er organisation

  • Installera paket för SITHS eID-app på aktuella Windows-datorer

    • Välj paketering med tillägget “MD” = Minidriver för att få med stödet för interaktiv kortinloggning till Windows/AD.

  • Konfigurera AD-installationen och aktuella AD-konton utifrån Microsoft krav på Smart card logon i Windows.

Referenser

• Programvaror och tillbehör för SITHS

• Ladda ner SITHS eID Windowsklient

...