Dokumenthistorik
| Version | Datum | Aktör | Förändring |
|---|---|---|---|
0.1 | Första utkast | ||
| 0.2 |
| Ytterligare teknisk information | |
| 0.9 |
| Kompletterad med ytterligare anslutningsmönster. | |
| 0.91 |
| Länkat till uppdaterad nätverksinformation. Information för existerande IdP-anslutningar. | |
| 0.92 |
| Länkat till Beställ tjänsten, småändringar. |
Innehåll
| Innehållsförteckning | ||
|---|---|---|
|
...
Läs Autentisering via SITHS eID för en övergripande beskrivning av tillgängliga integrationsmönster och hjälp med att välja integrationsmönster.
Det finns tre integrationsmönster för organisationer som vill koppla e-tjänster mot autentisering via Autentiseringstjänsten De tre integrationsmönstren som erbjuds vid autentisering av e-tjänsters användare via Autentiseringstjänsten och SITHS eID-klienterna.
...
Detta kan sammanfattas på matrisform.
| Kommunikation behövs mellan.. | eID klient | Autentiseringstjänst | Utfärdandeportal | Browser | Ineras IdP |
| eID klient | ja | ja | |||
| Autentiseringstjänst | ja |  | |||
| Utfärdandeportal | ja | ja | | ||
| Browser | ja | ja | |||
| Ineras IdP | | | ja |
Se Adresser, brandväggsöppningar & routing för mer detaljerad information.
...
- Windows: Ladda ner SITHS eID Windowsklient
- iOS: https://apps.apple.com/se/app/siths-eid/id1498029661
- Android: https://play.google.com/store/apps/details?id=se.inera.authclient.produktion
Mönstren finns på Att ansluta e-tjänster så nedanstående kanske ska kortas/tas bort/komplettera den sidan?
...
| title | Mönster 1-2 |
|---|
Anslutning av lokal e-tjänst till Ineras IdP
En e-tjänst kan ansluta till Ineras IdP som en SAML SP (Service Provider) eller OIDC RP (Relying Party). Vilka autentiseringsmetoder som är tillgängliga för användarna konfigureras i IdP per e-tjänst, det går således att välja vid anslutningen att endast använda ett urval av de autentiseringsmetoder som Ineras IdP tillhandahåller.
- e-tjänsten väljer vilka autentiseringsmetoder som skall vara valbara för användare.
- e-tjänsten anger i sitt metadata (om SAML) eller i autentiseringsanropet (om OIDC) vilka användarattribut som önskas.
- Inera IdP tillhandahåller användarattribut som finns i den nationella HSA-katalogen samt presenterar uppdragsval för användaren.
- Inera IdP tolkar och förmedlar tillitsnivå (LoA) utifrån användarens certifikat.
Förstudie vid anslutning till IdP.
Se Guide till IdP för vidare information om anslutning till Ineras IdP.
Åtkomst till Autentiseringstjänsten för existerande anslutningar e-tjänst → IdP
E-tjänster som redan nu är anslutna till IdP för autentisering via mTLS m.h.a. Net iD Enterprise behöver utföra följande steg för att få åtkomst till autentisering via Autentiseringstjänsten och SITHS eID-klienterna:
- Se över kraven som ställs gällande distribution och uppdatering av SITHS eID-klienterna.
- Se över nätverksinställningar.
- Inkom med en ny uppdaterad förstudie för testmiljö(er) där ni fyller i vilka autentiseringsmetoder ni vill ha aktiva.
- Efter godkänd förstudie aktiveras autentiseringmetoderna för den anslutna e-tjänsten i IdP.
- Verifiera funktionen i testmiljöerna
- Inkom med en ny uppdaterad förstudie för prodmiljön där ni fyller i vilka autentiseringsmetoder ni vill ha aktiva.
- Bifoga testrapport från testmiljöerna.
- Ange önskat datum och tidpunkt för aktivering.
- Efter godkänd förstudie så aktiveras autentiseringsmetoderna i IdP för den anslutna e-tjänsten.
Anslutning av lokal IdP till Ineras IdP (proxy-anslutning)
En lokal IdP kan anslutas som en OIDC RP eller SAML SP mot Ineras IdP och agera som en "proxy-IdP". Anslutningen sker (med några undantag) som en vanlig anslutning av en e-tjänst till Ineras IdP.
- Lokal IdP implementerar en SAML-SP eller en OIDC-RP som ansluts till Ineras IdP.
- Lokal IdP väljer vid anslutningen vilka autentiseringsmetoder som Inera IdP skall tillhandahålla för användare.
- Inera IdP tillhandahåller attribut som rör autentisering av användaren.
- Övriga användarattribut hämtar lokal IdP från den lokala katalogtjänsten. Lokal IdP ansvarar därmed för eventuellt uppdragsval.
- Lokal IdP beräknar tillitsnivå (LoA) utifrån certifikatsattribut som Ineras IdP tillhandahåller.
- Se Tillitsnivå (LoA) för information om hur Ineras IdP tolkar tillitsnivåer.
Tillgängliga attribut för en lokal IdP
Förutom attribut som alltid anges i SAML-biljetten eller OIDC-tokens per default (se Attributlista), så är följande attribut tillgängliga för en lokal IdP att begära från Inera IdP:
...
amr
...
urn:sambi:names:attribute:x509IssuerName
http://www.w3.org/2000/09/xmldsig#X509IssuerName
...
http://www.w3.org/2000/09/xmldsig#X509SubjectName
...
Anslutning via Inera IdP
Se Att ansluta e-tjänster och Guide till IdP för information om hur anslutningar till Ineras IdP går till.
Anslutning av lokal IdP till Autentiseringstjänsten (direktanslutning)
En lokal IdP kan anslutas direkt till Autentiseringstjänsten via Ineras proprietära API.
- Lokal IdP ansvarar för eventuellt val av inloggningsmetod
- Lokal IdP förmedlar autostarttoken till SITHS eID-klienterna
- Se SITHS eID Appväxling - Exempel för inbäddade webbläsare ifall er IdP använder sig av en inbäddad webbläsare.
- Lokal IdP ansvarar för att tolka och förmedla tillitsnivå, utifrån information från användarcertifikatet som levereras från Autentiseringstjänsten.
- Se Tillitsnivå (LoA) för information om hur Ineras IdP tolkar tillitsnivåer.
Förutsättningar för direktanslutning av lokal IdP till Autentiseringstjänsten
- Det finns avtal tecknat med Inera.
- HSA-id för tjänsten som önskar ansluta förmedlas för inläsning i Autentiseringstjänsten.
- Den anslutande tjänsten är en central IdP för den anslutande organisationen. Varje kund tillåts ha en ansluten IdP, med eventuellt undantag för exempelvis de största regionerna.
- Denna begränsning ämnar dels till att möjliggöra följsamhet mot referensarkitekturen, som specificerar att autentisering skall centraliseras till en specialiserad tjänst.
- Att hålla nere antalet anslutna tjänster är också avgörande för att kunna säkerställa att anslutna system håller sina anslutningar uppdaterade i takt med att Autentiseringstjänsten förändras.
- Den anslutande IdP:n måste hållas uppdaterad i takt med att Autentiseringstjänsten och dess API:er förändras.
- När nya versioner av API:erna släpps så kommer de gamla API-versionerna att ligga aktiva parallellt med de nya under en övergångsperiod på 6 månader under vilken den anslutande IdP:n måste anpassas för att använda den nya versionen av API:erna.
- Den anslutande IdP:n stödjer appväxling. IdP:n behöver kunna anropa det externa protokollet "siths://" för att kunna autostarta SITHS eID-klienterna vid inloggning "på samma enhet".
- Relying party API:et skyddas av mTLS. För att kunna anropa detta API behöver IdP:n presentera sig med ett SITHS funktionscertifikat (SITHS e-id Function CA v1) vars subject matchar tjänstens HSA-id som läses in i Autentiseringstjänsten vid anslutningstillfället.
...