Inledning
Nomenklatur
Begrepp | Definition |
---|---|
Autentisering | Kontroll av uppgiven identitet, t.ex. vid inloggning, vid kommunikation mellan två system eller vid utväxling av meddelande mellan användare |
Auktorisation / Behörighetskontroll | Kontroll av att en Autentiserad entitet (person eller system) är behörig att komma åt en begärd resurs. |
e-legitimation, e-identitet, e-id | Elektronisk legitimation. Används för att identifiera en person eller ett system. T.ex. ett användarcertifikat på ett smartkort. |
SITHS | Identifieringstjänst SITHS, en säkerhetslösning som används för att utfärda elektroniska identitetshandlingar (e-identiteter) till både personer och system. |
SITHS eID | Den nya generationen SITHS e-identiteter, kan finnas både på smartkort och på mobila enheter. |
Mobilt SITHS eID | SITHS eID på mobila enheter. |
SITHS eID-klienter | SITHS eID Windowsklient och SITHS eID Mobilklient. Användarklienter på dator repektive mobila enheter som låter användare använda SITHS eID på kort eller i en mobil enhet för legitimation och underskrift. |
CA (Certification Authority) | Certifikatutfärdare. System som utfärdar certifikat för användare och system. |
OCSP/CRL | Protokoll för revokeringskontroll av certifikat. |
PKCS#11 | Kryptografisk standard som definierar ett gränssnitt för hantering av kryptografiska nycklar. |
LoA, Tillitsnivå | Level of Assurance. Grad av säkerhet och tillförlitlighet för en given e-legitimation. Ju högre tillitsnivå en e-legitimation har desto säkrare är den, både när det gäller teknisk och administrativ säkerhet. |
E-tjänst | System som erbjuder en funktionalitet för användare eller andra system. |
IdP (Identity Provider) | Infrastrukturkomponent som använder olika metoder för att autentisera användare och förmedla ett identitetsintyg till e-tjänster som använder IdP för autentisering av användare. Ur Autentiseringstjänstens perspektiv agerar IdP en RP. |
RP (Relying Party) | Ett system som förlitar sig på ett annat system för någon funktionalitet. Som exempel så kan en e-tjänst agera RP mot en IdP om e-tjänsten använder sig av IdP för autentisering av användare. Men IdP:n kan också i sin tur agera RP mot Autentiseringstjänsten. |
SP (Service Provider) | Se begreppet e-tjänst ovan. |
AT (Autentiseringstjänsten) | Infrastrukturkomponent som förmedlar autentiseringsbegäran mellan IdP och SITHS eID-klienter, samt förmedlar begäran om certifikatsutfärdande mellan SITHS eID Mobilklient och Utfärdandeportalen. |
Utfärdandeportalen | Infrastrukturkomponent som låter användare utfärda Mobilt SITHS eID, och som förmedlar certifikatsbegäran och certifikat till och från CA. |
Katalogtjänst HSA | Användarkatalog. Datakälla för information om vårdpersonal, inklusive behörighetsinformation. |
...
Autentiseringstjänstens syfte är att möta e-tjänsters behov av att autentisera användare över multipla plattformar och operativsystem. Autentisering av användare kan nyttjas för såväl säker inloggning som för elektronisk underskrift.
Målgrupp
De huvudsakliga målgrupperna för detta dokument är: systemägare, systemförvaltare, systemarkitekter och Autentiseringstjänsten används tillsammans med en IdP och SITHS eID apparna för att förmedla en begäran om inloggning via en Säkerhetskanal som är separerad från informationskanalen, även kallat Out-of-band authentication.
Denna teknik ger ett mer enhetligt inloggningsförfarande över olika plattformar och möjliggöra också lagring av och inloggning med SITHS eID som lagras i Mobila enheter.
Målgrupp
De huvudsakliga målgrupperna för detta dokument är: systemägare, systemförvaltare, systemarkitekter och utvecklingsteam samt Inera Arkitektur.
...
Ref | Dokument ID | Dokument inom kategori |
---|---|---|
P1 | SITHS |
Nyttjade tjänstekontrakt
...
P2 | SITHS eID apparna | https://confluence.cgiostersund.se/x/MlYgDQ |
Nyttjade tjänstekontrakt
Ej applicerbart
Styrande dokument
Ankare | ||||
---|---|---|---|---|
|
...
Autentiseringstjänsten använder sig av FIDO2 WebAuthn för att säkra att kommunikation mellan klient och server.
Vid en lyckad autentisering returneras användarens certifikat och metadata om inloggningen till anropande tjänst, typiskt en IdP.
...
- Starta inloggnings- och underskriftsuppdrag. IdP agerar här i rollen RP (Relying Party) mot Autentiseringstjänsten.
- Kommunicera med SITHS eID-klienterna för att koppla ihop sessionen mellan klient och AT med sessionen mellan IdP och AT. Detta sker antingen genom appväxling eller uppmaning till användaren om att skanna en QR-kod.
Utfärdandeportalen används för att:
- Skapa certifikatsbegäran vid utfärdande av nytt Mobilt SITHS eID
- Förmedla denna begäran till CA
- Leverera det nya certifikatet för vidare förmedling ner till SITHS eID Mobilklient via Autentiseringstjänsten.
SITHS eID klienterna används för att:
...
- Begära utfärdande av nytt Mobilt SITHS eID
OCSP- och CRLtjänster CRL-tjänster hos certifikatsutfärdaren används för att:
...
- Säker och effektiv autentisering .Följsamhet mot över flera olika plattformar, inklusive mobila enheter, som ett alternativ till Mutual TLS
- Följsamhet mot FIDO2 WebAuthn.
- Följsamhet mot Ineras Referensarkitektur.
...
- Använda etablerade ramverk och tekniker.
- Använda standarder i största möjliga utsträkningutsträckning.
- Stödja modulariserad driftmiljö(Paas).
- Undvika proprietära lösningar.
...
AF | Dokument |
---|---|
AF1 | Administrera systemAutentiseringstjänsten |
AF2 | Utfärda nytt mobilt SITHS eID |
AF3 | Registrera SITHS eID i Autentiseringstjänsten |
AF4 | Autentisering |
Aktörsinformation
N/AEj sammanställt
Logisk realisering av signifikanta användningsfall
AF1 – Administrera
...
En aktör med behörighet vill administrera systemet.
...
Autentiseringstjänsten
Textuell beskrivning
Autentiseringstjänsten har en tillhörande administrativ komponent. Exmpelvis kan man i denna konfigurera vilka Relying Partys/IdP:er som tillåts använda Autentiseringstjänsten.
Realisering
En aktör med behörighet vill administrera Autentiseringstjänsten.
- Aktören loggar in i tjänsten, och en förutsättning är att aktören har behörighet genom sina attribut i HSA-katalogen.
- Aktören är inloggad och utför den tilltänkta administrationen.
- Aktören loggar ut ur tjänsten.
AF2 – Utfärda nytt mobilt SITHS eID
Textuell beskrivning
En användare vill utfärda (beställa och ladda ner) ett Mobilt SITHS eID till sin mobila enhet.
Realisering
Se SAD - Utfärdandeportalen för information om detta användningsfall, SAD - SITHS eID Windowsklient och Användarhandbok - SITHS eID Mobilklient för information om detta användningsfall.
AF3 – Registrera SITHS eID i Autentiseringstjänsten
Textuell beskrivning
Innan SITHS e-legitimation på kort eller ett Mobilt SITHS eID kan användas för att utföra legitimering eller underskrift mot Autentiseringstjänsten behöver certifikaten registreras.Om SITHS eID-klienten är ansluten till flera instanser av Autentiseringstjänsten så måste samtliga klientens certifikat registreras hos samtliga anslutna Autentiseringstjänster. Flödet gentemot Autentiseringstjänsten är identiskt för SITHS eID Windows- respektive Mobilklient. Anropen i steg 3 och 5 i figuren nedan följer WebAuthn Client Registration och .
Realisering
- Användaren startar klienten eller laddar om huvudsidan.
- Klienten hämtar och validerar signerad konfiguration ifrån Utfärdandeportalen som innehåller information om vilka Autentiseringstjänster som klienten ska använda.
- Användaren sätter i kortet i kortläsaren.
- Klienten kontrollerar sitt/sina Credential IDs mot samtliga konfigurerade Autentiseringstjänster
- Om en eller flera Autentiseringstjänster saknar ett eller flera SITHS eID, och därmed kräver registrering, uppmanas användaren att mata in legitimeringskod för att utföra registreringen.
- Klienten använder de upplåsta certifikaten för att utföra registrering mot de Autentiseringstjänster som krävde detta.
Diagrammet nedan visar registreringsflödet:
- Anropen 2, 3 och 4 sker vid behov med flera Autentiseringstjänster samtidigt och då registreras klienten samtliga certifikat mot samtliga Autentiseringstjänster.
- Kommunikationen mellan klienten och Autentiseringstjänsten i punkt 3 och 5 följer FIDO2 WebAuthn Client Registration. Dessa resulterar i att klienten levererar en PublicKeyCredential som Autentiseringstjänsten sparar. PublicKeyCredential innehåller bland annat användarens certifikat samt ett unikt credentialId som är härlett utifrån certifikatet.
Anropen i steg 3 och 5 i figuren nedan följer och
AF4
...
- Legitimering
Användaren vill autentisera sig med eID som är registrerat hos Autentiseringstjänsten enligt ovan.
...