Revisionshistorik
Expandera | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||
|
Expandera | ||||
---|---|---|---|---|
|
Sektion | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
InledningAllmäntInera IdP är en autentiseringstjänst som tillhandahåller säker autentisering av användare via både SAML- och OIDC-standarden. Tjänsten finns installerad nationellt och kan även installeras lokalt av aktörer som slutit sådant avtal med Inera. Handbokens målgruppDenna dokumentation riktar sig till applikationsförvaltare som skall administrera en redan installerad instans av Inera IdP och den tillhörande komponenten IdP Administration. Konventioner i handbokenI detta dokument finns vissa typografiska markeringar för att klargöra instruktioner. Dessa bör tolkas enligt följande:
Termer och begrepp
AdministrationsgränssnittetÅtkomstFör att kunna administrera applikationen krävs dels att behörighetsregler finns konfigurerade, se avsnitt Behörighet, samt att administratörer har registrerad behörighet i HSA katalogen. UppbyggnadInloggning till administrationsgränssnittet sker via den publika URL:en till IdP Administration: "https://<hostname:port>/admin". I produktion använder IdP den egna funktionaliteten (OIDC) för att autentisera användare. Det är användarens attribut (egenskaper) i HSA katalogen som utgör vad användaren får se och om den för över huvud taget har rätt att logga in. Tjänsten kan vara konfigurerad att acceptera användarnamn och lösenord som inloggning, detta skall bara användas när applikationen konfigureras. Vilka användarnamn och lösenord som ger access konfigureras i systemkonfigurationen innan uppstart av systemet. Det finns även möjlighet att helt inaktivera säkerheten, men denna inställning är framförallt framtagen för dem som utvecklar applikationen. Administrationsgränssnittet är indelat i fyra delar:
Bild 1. Administrationsgränssnittets förstasida efter en inloggning. Referenser
Användning av administrationsgränssnittetSAML klienterVyn SAML klienter hanterar SP-metadata för autentiseringstjänsten. Här kan metadata importeras, exporteras, ändras och tas bort. Vyn är uppdelad i tre delar: Importera metadata, Manuellt tillagd metadata samt Federationens metadata, se bild 2. Bild 2. Vy för att hantera SP-metadata. Importera metadataFör att manuellt importera metadata:
För att importen ska lyckas behöver filen vara av typen .xml eller .json och följa kraven för metadata enligt SAML specifikationen (samt de anpassningar som behövs enligt [Ref 1]). I tabellen under Manuellt tillagd metadata visas all metadata som importerats manuellt.Detta ska skiljas från metadata som automatiskt hämtas från federationen som visas i tabellen under Federationens metadata. Båda tabellerna innehåller funktionalitet för att visa, exportera och ta bort metadata. Exportera metadataVid export av metadata finns två alternativ; användaren kan välja att exportera enskild metadata för en utvald SAML-klient eller att exportera all inläst metadata i en och samma fil. Både manuellt tillagd metadata samt federationens metadata kan exporteras. Funktionalitet för att exportera all metadata i en tabellform sker genom att klicka på knappen Exportera alla som laddar ned all metadata till en enda fil. Beroende på vilket val användaren har gjort namnges filen till "nonfederated.json" eller "federated.json". För att exportera enskilda metadata:
Konfigurera metadataManuellt importerad metadata kan ändras direkt i webbläsaren genom att klicka på en rad i tabellen, se bild 3a. Då öppnas dialogrutan Konfigurera metadata där det är möjligt att se samt editera och Spara filen för valt metadata, se bild 3b. Notera att samma krav som gäller för import av metadata gäller för att ändra och spara metadata i denna dialogruta. Det ändrade metadatafilen valideras direkt i webbläsaren när användaren klickar på Spara. Federationens metadata finns ingen möjlighet att ändra. För att konfigurera manuellt importerat metadata:
Filtrera metadataFör att filtrera värden i tabellerna anges ett värde i inmatningsfältet Filter. Filtreringsfunktionen finns för både den importerade- och federationens metadata. Filtrering sker på alla tre kolumnerna; Id, Ägare samt Senast använd. Ta bort metadataFör att ta bort enskilda metadata:
OIDC klienterI vyn OIDC Klienter kan klienter importeras, exporteras, ändras och tas bort. Tillgängliga klienter visas i en tabell, se bild 4a. Bild 4a. Översikt av OIDC klienter. Skapa klientAlla obligatoriska fält måste fyllas i innan klienten kan sparas. En ny klient skapas enligt följande:
I delen Autentisering väljs Klient Autentisering. Det finns fyra val att göra :
Rekommenderat är att använda autentiseringsmetoden Private Key JWT. För autentiseringsmetoden Private Key JWT visas en ny meny för Nycklar, se bild 4c. Nycklar läggs till antingen genom att klicka på fliken Jwks (A) och sedan Välj en fil (B). Filen presenteras i fältet JWKSet (C). Filformat som accepteras är .pem, .p12, .key, .crt, .json Man kan även skapa upp ett JWKSet själv och klistra in i rutan (C). JwkSet:et ska bara innehålla den publika nyckeln. Bild 4c. Nyckelimport för JWKSet. Alternativt anges en URI för nyckeln in under fliken Jwks URI (D). RP:n är ansvarig för att ett giltigt JWKSet exponeras på den angivna adressen. Bara den publika nyckeln ska exponeras. Bild 4d. URI för nyckeln. För övriga autentiseringsmetoder används Secret fältet i formuläret, se bild 4e. Det finns olika scopes under Claims. Användaren har valen att välja alla, authorization_scope, personal_identity_number scope eller commission scope. Claims är inte obligatoriska men anger vad klienten är behörig att se för information. Bild 4e. Val av inloggnings metod och olika Claims för en klients behörigheter. För delen Övrigt längre ner i formuläret kan Kontakter, Logout Redirect URIs, Klient URI, Logo URI, Policy URI och Terms Of Service URI anges för klienten. Dessa fält är inte obligatoriska, se bild 4f. För att kunna spara en klient behöver obligatoriska fält vara ifyllda och ha rätt format, först då aktiveras knappen Spara. Efter att ha tryckt på knappen Spara visas tabellen med klienter igen och det nya värdet listas. Användaren kan när som helst backa tillbaka utan att spara genom att klicka på knappen Avbryt. Bild 4f. Övrig information för en klientregistrering. Ändra klientkonfigurationEn OIDC-klients information kan ändras genom att skriva i inmatningsfälten eller klicka i markeringsrutorna för de Claims som finns. Efter ändringen har sparats visas klientlistan återigen. Det finns ingen restriktion för mängden information som kan ändras så länge användaren har behörigheten.
Exportera klientAnvändare kan välja att exportera en enskild OIDC-klient eller alla från den befintliga tabellen. Vid klick på exportknapparna laddas filerna ner automatiskt i webbläsaren. Filer för klienter är av filtypen JSON.
Importera klientFör att importen ska lyckas behöver filen vara av typen JSON. Användaren behöver vara uppmärksam på vilken typ av import som sker beroende på innehållet i JSON-filen. Är JSON-filen exporterad från en befintlig OIDC klient innehåller den ett id-tagg som lagras i databasen. Raderas inte detta id från JSON-filen innan import kommer all data om klienten skrivas över vid en import. Är id:et borttagen från JSON-filen kommer importen resultera i att en ny OIDC-klient skapas och sparas.
Filtrera värdenVärden i tabellen kan filtreras genom att ange ett värde i inmatningsfältet Filter. Filtrering sker på alla tre kolumnerna; Namn, Id samt Senast använd. Ta bort klient
CertifikatsutfärdareI vyn Certifikatsutfärdare finns de utfärdare som stöds av IdP. Här läggs nya utfärdare till och administreras beroende på hur de ska användas. Från listan kan användaren välja att exportera samt ta bort enskilda utfärdare. Bild 6. Översikt av tillagda certifikatsutfärdare. Lägga till utfärdareFör att lägga till utfärdare:
Exportera utfärdareFör att Exportera enskilda certifikat:
Konfigurera utfärdareUtfärdare konfigureras efter vilket användningsområde de ska användas i. Vidare förklaring finns i tabellen nedan.
För att Konfigurera enskilda utfärdare:
Filtrera utfärdareFör att filtrera bland utfärdarna i tabellerna anges ett värde i inmatningsfältet Filter i vyn Utfärdare i Certifikatshantering. Filtrering sker på kolumnen Namn. Ta bort utfärdareFör att Ta bort enskilda certifikatsutfärdare:
LOA reglerMed version 2.0 och senare av IdP:n kan man styra LoA-nivåer på utfärdarnivå med möjlighet till att finjustera efter behov. Med justering av O.I.D-typer kan man specificera andra nivåer inom en och samma utfärdare. Denna konfiguration kan sättas utan att behöva deploya om autentiseringstjänsten. Bild 9. Tillitsnivåer (LoA) Lägga till utfärdare för LoA-hanteringFör att lägga till utfärdare där LoA-nivåer ska hanteras efter så är det samma steg som i kap. 2.3.1 Lägga till utfärdare. Se bild 6 och 7.
Bild 10. Konfiguration av utfärdare
Skapa regel för utfärdareEn regel skapas för att sätta den tillitsnivå som en användares SITHS-kort med matchande utfärdare ska erhålla. En förutsättning är att utfärdarens certifikat är importerat så som det är beskrivet i kap. 2.4.1 Lägga till utfärdare för LoA-hantering. För att skapa en regel, gå in i LoA Regler i menyn:
Nu har utfärdarens certifikat fått den tillitsnivå som sattes i regeln.
Bild 11. Skapa regel för tillitsnivå. Justera regel för certifikatsfältVårdgivare har ibland behov av att finjustera reglerna för tillitsnivåer. Detta är nu möjligt genom att ange Regex-värden styrda efter de OID-typer som SITHS-kort har. De certifikatsfält som kan användas är certifikatsprinciper samt SITHS attribute OID. För att justera finjustera reglerna för en utfärdare:
OBS! Notera att ett Regex-värde inte är nödvändigt för att skapa en regel utan ett värde kan vara godtyckligt beroende på vad kortets certifikatsfält har. Bild 12. Justera regel för certifikatsfält. Ta bort regelNär behovet inte finns längre eller om en regel är felaktigt kan tillitsreglerna enkelt tas bort.
Bild 13. Ta bort regel. NyckelhanteringI vyn Nyckelhantering hanteras nycklar som applikationen använder. En Nyckel är en lagringsenhet för certifikat och tillhörande kryptografiska nycklar. Varje nyckelgrupp kan innehålla flera nycklar men det är endast en nyckel i varje grupp som är Aktiv, d.v.s används av systemet. Den aktiva nyckeln går ej att ta bort utan att ta bort hela nyckelgruppen. Bild 14a. Vy över nyckelgrupper. Lägga till nyckelgruppObservera att tomma grupper utan certifikat inte kan skapas! För att lägga till ny nyckelgrupp:
Lägga till nyckel till befintlig gruppFör att lägga till nyckel till nyckelgrupp:
Byta aktiv nyckelAtt byta aktiv nyckel sker genom att klicka på knappen Sätt aktiv för ett värde i tabellen och välja Byt i dialogrutan. Det kan bara finnas en aktiv nyckel per grupp åt gången. Ta bort nyckelInaktiva nycklar tas bort genom att:
Ta bort nyckelgruppHela nyckelgrupper kan tas bort genom att klicka på knappen Ta bort grupp för den grupp som önskas tas bort, klicka sedan på knappen Ta bort i efterföljande dialogruta. Standard nyckelgrupperFöljande grupper är de som behövs för att IdP skall fungera.
KonfigurationI vyn Konfiguration kan organisation och kontaktpersoner redigeras. Nuvarande värden visas i vyns formulär. Det kan endast finnas en Organisation och denna måste ha ett Namn, Visningsnamn och en URL. Det som anges i denna vy blir en del av IDP metadatat. Bild 16. Formulär för att redigera/hantera organisation och kontaktpersoner. Lägga till kontaktpersonDet kan finnas flera kontaktpersoner och det måste finnas minst en av typen Technical och en av typen Support. Samma kontaktperson kan stå som ansvarig för båda typerna. Varje kontaktperson måste ha minst en e-post adress, utöver det är informationen frivillig. För att lägga till kontaktperson:
För att ångra ändringar klickar man på knappen Återställ och formuläret går tillbaka till senast sparade version. Ändra kontaktpersonEn kontaktperson kan ändras genom att ändra värden i formuläret och klicka på knappen Spara. Ta bort kontaktpersonKontaktpersoner tas bort genom att klicka på kryss-ikonen ovanför respektive kontaktperson. StatistikI vyn Statistik listas statistik för de klienter som nyttjar tjänsten, OIDC samt SAML. Här visas alla de in- och utloggningar som skett och eventuellt misslyckade sådana försök. Användare kan välja att filtrera fram statistik för ett angivet tidsspann med hjälp av en datumfiltrering för start- och slutdatum. Det går att på fil (.csv format) exportera summeringen samt den detaljerade informationen om varje in- och utloggning som har skett. Bild 17. Statistiktabell där varje klients in- samt utloggningar listas. Exportera summeringEtt klick på knappen Exportera summering skapar en CSV-fil som innehåller data i enlighet med den summering som visas på skärmen. Filen laddas ner automatiskt. Exportera alltEtt klick på knappen Exportera allt skapar en CSV-fil som innehåller alla in- och utloggnings detaljer för varje klient för det angivna tidsspannet. Filen laddas ner automatiskt, men beroende på vald tidsperiod och antalet poster kan nedladdningen ta några minuter. Detaljerad informationFör att se detaljerad information om varje klient klickar användaren på önskad rad. En tabell visas där varje Händelse skapar en rad med Status, Metod, Utfärdare, Användare, Fel och tid, se bild 18 om detaljerad vy över klients statistik. Användaren kan välja att filtrera tabellen genom att skriva i inmatningsfältet Filter. Filtrering sker på alla kolumner.Klicka på Tillbaka knappen för att komma tillbaka till Statistik vyn. Genom att klicka på knappen Exportera skapas en CSV-fil som innehåller det underliggande data för enbart den valda klienten. Filen laddas ner automatiskt, men beroende på vald tidsperiod och antalet poster kan nedladdningen ta några minuter. Bild 18. Detaljerad information om en specifik klients statistik. Behörighetsstyrd statistiksidaEn användare som inte är administratör för autentiseringstjänsten kan få behörighet att se statistik i användargränssnittet för Idp Administration. Denna behörighet sätts i menyn Behörighet, se kap 2.9.3 Behörighet för statistik. Vyn för statistiken begränsas inte i och med att denna behörighet är satt på användarens HSA-id. De vanliga funktionaliteterna är tillgängliga som för en administratör.
Bild 19. Vy för en behörighetsstyrd användare av statistiksidan. BehörighetI vyn Behörighet visas behörighetsreglerna för IdP. Här kan en användare administrera behörighetsträdet vilket innehåller de rättigheter en användare kan erhålla i systemet genom att uppfylla attributvillkor. I bild 20. Behörighetsträdet visas resursen ADMIN som en användare kan ha genom att uppfylla kriterierna för READ eller WRITE eller båda. T ex för att en användare skall få ADMIN med READ behörighet krävs att den har attributen "commissionPurpose" med värde "Administration", "systemRole" med värde "BIF;Administratör" och "employeeHsaId" för att lägga accessen på fingranulär nivå. Observera! IdP skall endast ha en resurs med namn ADMIN. Bild 20. Behörighetsträdet. Editera behörighetNy resursI detta exempel skapas en ny resurs med namn "Ny resurs", se bild 21a. För att en användare skall få tillgång till denna resurs med READ behörighet krävs att den har ett attribut med
Editera befintlig resursI detta exempel editeras resursen ADMIN och READ behörigheten, se bild 22a. Här läggs ett nytt attributvärde för attributet systemRole, se figur 22b.
Bild 22a. Editera ADMIN resurs.
DENYNedan exempel visar hur en DENY regel kan användas, se bild 23a. I detta fall ska användare som har attributet "employeeHsaId" och värde "employee1" eller "employee2" eller "employee3" inte få tillgång till ADMIN resursen, se bild 23b.
Importera behörighetsfil (json format)
Behörighet för statistikAnvändare som är i behov av att se statistik för autentiseringstjänsten har möjlighet till det i och med version 1.2 av IdP. Denna behörighet sätts som behörighetsregel ADMIN.STATISTICS i behörighetsträdet med READ-rättighet, samt attributvillkoret employeeHsaId. RP InformationI vyn RP Information visas den konfiguration som Relying Party (RP) klienten (admin. gränssnittet) använder för att autentisera användare via en OpenID Provider (OP). Informationen här är främst till för att underlätta klientregistreringen av RP klienten hos OP. Se tabellen nedan för beskrivning av de olika attributen. Bild 24. Information om RP klienten.
HjälpHjälpavsnittet visar information om användaren samt ger åtkomst till denna användarhandbok. Bild 25. Hjälpmenyns användarinformation. AnvändarinformationI vyn Användarinformation visas information om den inloggade medarbetaren. Informationen listar några av de viktigaste egenskaper som den inloggade användaren har samt vilken IdP som har autentiserat användaren. AnvändarhandbokGenom att klicka på Användarhandbok kommer användaren automatiskt till denna användarhandbok i en separat webbläsarflik. |
...