Lade till information om att PIN-SSO över mTLS också kan etableras vid första inloggningen via out-of-band.
1.02
2023-02-02
SITHS Förvaltning
Lade till lite förtydliganden om SITHS eID för Windows MD-paketering och att dessa innehåller SAC minidriver för att ge stödet för mTLS som autentiseringsmetod.
1.03
SITHS Förvaltning
Gjorde om avsnittet för användardialoger per autentiseringsmetod. Klistrade även in hur pin-dialogen ser ut för underskriftskoden om underskriftscertifikatet anropas via Microsoft CAPI2 för SAC minidriver och hur det ser ut när det anropas via CAPI2 eller webbläsaren och Net iD plugin.
1.04
SITHS Förvaltning
Lade till information om Microsofts turordning för presentation av certifikat vid ceritfikatvalsdialog/API via Microsoft CryptoAPI/CNG vid användning av SAC minidriver
1.05
SITHS Förvaltning
Lagt till information om PIN-SSO för macOS och förtydligat när PIN-SSO är aktuellt mha. en matris.
...
Översikt
SITHS har två olika autentiseringslösningar:
...
För mer information om hur du ansluter till att använda autentiseringslösningen out-of-band se följande länkar:
Vid användning av SITHS och autentiseringslösningar baserade på dubbelriktad TLS (mTLS) finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran om legitimering/autentisering
Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering eftersom användaren inte behöver ange sin pin-kod upprepade gånger eller när man ska logga in i en annan tjänst som hanterar autentisering via samma AD-miljö som den AD-miljö som hanterar användarens inloggning till själva Windows-datorn.
I referensarkitekturen baseras Single Sign-On (SSO) upplevelsen på att man utfärdar identitetsintyg som är giltiga för inloggning i flera tjänster som använder samma IdP (enligt standarderna SAMLv2 eller OIDC).
Pin-cache är aktiverad som default ienligt:
Paketeringar av
Applikation
Autentiseringsmetod
PIN-SSO
Net iD Enterprise
under Ineras licensDe paketeringar av
*
mTLS
Ja
SITHS eID-
appen som har tillägget
app för Windows MD
MD-paketen
(MD=Minidriver, dvs. paket som innehåller SAC minidriver
som står
för att hantera stödet för autentiseringsmetoden mTLS)
Pin-cachen över mTLS aktiveras också
mTLS
Ja
OOB**
Nej
SITHS eID-app för macOS
mTLS
Nej
OOB
Nej
SAC minidriver för Linux
mTLS
Nej
* Paketeringar av Net iD Enterprise under Ineras licens
** Pin-cache för mTLS aktiveras både vid första inloggningen med mTLS via SAC minidriver OCH i samband med den första inloggningen användaren gör i SITHS eID-appen över autentiseringslösningar baserade på out-of-band. Out-of-band använder sig dock INTE av pin-cachen själv utan den aktiveras bara för mTLS.
3 - Användare öppnar appen i mobiltelefonen och väljer att skanna QR-kord
4 - Användare skannar QR-kod
5 - Användare anger pin-kod eller skannar biometri
Dubbelriktad TLS/Mutual TLS (mTLS) - SITHS-kort på denna enhet
Info
Här exemplifierat med SITHS eID för Windows MD(SAC minidriver).
Olika certifikatvalsdialog beroende på webbläsare. PIN-dialogen hanteras av Windows användargränssnitt
Turordningen för certifikaten i certifikatvalsdialogen och via Microsoft CryptoAPI/CNG styrs av Windows och presenterar det certifikat som har längst giltighetstid först.
Eventuellt val av metod i IdP
Certifikatväljare: Google Chrome
Certifikatväljare: Microsoft Edge
Certifikatväljare: Internet Explorer 11 och IE11-mode i Edge
Svårt att se vad som är rätt:
Svårt att se vad som är rätt (men lite lättare):
PIN-dialoger (samma för alla)
Legitimering
Underskrift
Dubbelriktad TLS/Mutual TLS (mTLS) - SITHS eID för Windows MD (SAC minidriver)
Info
Här exemplifierat med Net iD Enterprise
Olika certifikatvalsdialog beroende på webbläsare. PIN-dialogen hanteras av Net iD Enterprise.
Eventuellt val av metod i IdP
Certifikatväljare: Google Chrome
Certifikatväljare: Microsoft Edge
Certifikatväljare: Internet Explorer 11 och IE11-mode i Edge
