InledningIneras tjänster för Identitet och åtkomsthantering (IAM-tjänster), Personuppgiftstjänsten och Spärrtjänsten finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing. Med IAM-tjänster avses: - IdP
- Autentiseringstjänst SITHS
- Utfärdandeportal för Mobilt SITHS
Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras IAM-tjänster eller anställda som administrerar spärrar i den nationella tjänsten.
| Info |
|---|
Kunder med Sjunetuppkoppling ska ha tagit del av avsnitten om: |
NätverksinställningarNedan hittar du information om om vilka Domännamn, IP-adresser, Subnät, Portar och protokoll som används samt en konnektivitetsmatris | Observera |
|---|
| title | Proxy och TLS-inspektion |
|---|
| Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från SITHS eID apparna till Autentiseringstjänsten och Utfärdandeportalen. Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö. |
| Info |
|---|
| För information om Nätverksinställningar för SITHS i samband med Utfärdande av certifikat till smarta kort och Mobilt SITHS, samt för information om spärrkontroll för certifikat, se: Nätverksinställningar för SITHS |
Konnektivitet- Användarnas SITHS eID-klienter behöver kunna kommunicera med Autentiseringstjänsten och Utfärdandeportalen.
- För att kunna utfärda/administrera Mobilt SITHS eID så måste användarnas browser kunna komma åt Utfärdandeportalen samt den instans av Ineras IdP som Utfärdandeportalen använder sig av för autentisering.
- Organisationer som sitter på Sjunet och internet samtidigt behöver välja över vilket nät och hur trafiken skall routas (se avsnitt sjunet)
Detta kan sammanfattas på matrisform. | Kommunikation behövs mellan.. | eID klient | Autentiseringstjänst | Utfärdandeportal | Browser | Ineras IdP | Lokal IdP | | eID klient |
| ja | ja |
|
|
| | Autentiseringstjänst SITHS | ja |
|
|
| ja | ja | | Utfärdandeportal | ja |
|
| ja | ja |
| | Browser |
|
| ja |
| ja |
| | Ineras IdP |
| ja | ja | ja |
|
| | Lokal IdP |
| ja |
|
|
|
|
IP-adresser| Observera |
|---|
För att säkerställa funktionalitet ska ni för öppna för trafik från hela nätverkssegmenten nedan. |
IPv4- 82.136.182.0/24
- 82.136.183.0/24
IPv6IP-adresser per miljöPortar- 443
- 80 (redirectas till https (443)
TransportkrypteringAllt trafik mot Ineras IAM-tjänster krypteras över HTTPS. För anrop mot vissa tjänster krävs Mutal TLS över HTTPS TLS-protokollLägsta TLS protokollversion som stöds är TLSv1.2 Cipher suitesEftersom Ineras IAM-tjänster i dagsläget har två olika driftleverantörer har olika tjänster vissa variationer i vilka Cipher Suites som stöds. Se Cipher Suites per protokoll och funktion genom att expandera nedan fält
SjunetIAM-tjänsterna finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing. Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras komponenter för Identitet- och åtkomsthantering WebbadresserHuvuddomäner
SubdomänerVarje subdomän inom Ineras komponenter för identitet- och åtkomsthanteringhar ett syfte som beskrivs nedan Fullständiga adresserNedan finns en tabell över samtliga hostnamn/adresser som används av Ineras komponenter för identitet- och åtkomsthantering samt övriga tjänster Anslutning av tjänst eller IdP → Ineras IdPFör att i en egen tjänst möjliggöra legitimering av användare via Ineras IdP För e-tjänster eller lokala IdP:er som skall ansluta till IdP för autentisering. - SAML-metadata exponeras på /saml
- OIDC-metadata exponeras på /oidc/.well-known/openid-configuration
Direktanslutning lokal IdP → AutentiseringstjänstenFör lokala IdP:er som skall ansluta direkt till Autentiseringstjänsten via Relying Party API enligt Anslutningsguide till Autentiseringstjänsten. Integrationer mot externa systemIdP:ns integration mot HSA-miljöerIdP interagrerar direkt mot HSA-katalogen för att hämta användarattribut, ej via den nationella tjänsteplattformen.
För Spärradministrationstjänstens integrationer, se Beroenden i tjänstens SAD Personuppgifttjänstens gränssnitt har beroenden till IdP för slutanvändares autentisering samt för Skatteverkets tjänst Navet, se Översikten i tjänstens SAD. Felsökningsguide| Ankare |
|---|
| Felsökningsguide |
|---|
| Felsökningsguide |
|---|
|
Innehåller en översikt och målgruppsanpassade felsökningsguider
| Expandera |
|---|
| title | Allmän felsökning för nätadminitratörer |
|---|
| - DNS uppslag:Får klienten DNS-uppslag mot rätt IP-adresser? (Testet inkluderar ett DNS-namn från respektive subnät)
- Routing: Vilken väg tar trafiken (Sjunet/Internet)?
Använd tracert för att se vilken väg trafiken tar:- tracert -d 82.136.182.2 (Om den i slutet passerar 10.9.34.6 så går trafiken över sjunet)
- tracert -d 82.136.183.103 (Om den i slutet passerar 81.89.159.168 så går trafiken över sjunet)
- tracert -d 82.136.182.4
- NAT: Säkerställ att era klienter NAT:as bakom rätt adress beroende på vilken routing ni väljer så att trafiken hittar tillbaka
- Routing Sjunet → NAT bakom en Sjunet IP-adress
- Routing Internet → NAT bakom en Internet IP-adress
- Om ni inte kan Source-routa och ha olika NAT-adresser för era olika Interna nät måste samtliga nät NAT:as bakom rätt IP-adress beroende på ert val av routing (Internet/Sjunet)
|
| Expandera |
|---|
| title | För eTjänsts slutanvändare |
|---|
| - Kan du inte logga in i etjänsten?
- har du provat från fler datorer?
- JA: felanmäl till din lokala IT support och hänvisa gärna till den sida du nu läser: Nätverksinställningar för tjänster inom identitet och åtkomst
- NEJ: prova gärna med annan dator
- Anges något servicefönster med beräknad användarpåverkan på www.inera.se/driftstatus/kommande-atgarder/ eller allmän driftstörning på www.inera.se/driftstatus/ för etjänsten eller dess stödtjänster?
- JA: avvakta tills störningen/servicefönstret är avslutat
- NEJ: Kan du surfa till idp.inera.se eller och få fram bilden:
 Image Added
- JA: Kan en kollega logga in i etjänsten?
- NEJ: kontakta Inera Support (inera@support.se) och ange problem med etjänsten
- JA: kontakta lokal katalogansvarig för att säkerställa att du har rätt medarbetaruppdrag, attribut i HSA etc
- NEJ: din organisations nätadministratörer behöver öppna brandväggar och/eller justera DNS. Felanmäl till din lokala IT support och hänvisa gärna till denna sida.
- Har du testat ditt eID på test.idp.inera.se och det fungerar där?
- JA: felet ligger troligen i den etjänst du försöker nå, om det är en etjänst från Inera, kontakta Inera Support (inera@support.se) och ange problem med etjänsten
- NEJ: problemet är ditt eID (mobilt eller på SITHS kort) och du behöver felanmäla till din lokala SITHS eller HSA förvaltning
|
| Expandera |
|---|
| title | För eTjänsts förvaltning |
|---|
| - Erbjuds er eTjänst på Sjunet?
- JA: genomför vanliga informationsinsatser när tjänst finns på ny IP adress
- NEJ: Sitter vissa/alla av eTjänstens slutanvändare i organisation med Sjunet?
- Genomför tester innan övergång till IdP:n i så breda (geografiskt spridda) organisatoriska enheter som möjligt för att i god tid fånga och hantera de användargrupper på nätsegment som har konntektivitetsproblem
- Eventuellt implementera loggning av konnektivitet och kontakta Säkerhetstjänsters förvaltning genom ett ärende till support@inera.se
- Fungerar autentisering i Testportalen (test.idp.inera.se)
- JA: felet ligger troligen etjänsten
- NEJ: problemet är den aktuella personenens eID:t (mobilt eller på SITHS kort) och behöver felanmälas till den lokala SITHS förvaltningarna (IT support)
|
| Expandera |
|---|
| title | För sjunetansluten organisations nätverksadministratörer |
|---|
| - Kontrollera att portar öppnats och instruktioner följts i avsnitt Sjunet?
- Har organisationen olika routrar för Sjunet och internet? (d v s separat routing)?
- JA: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
- Inera rekommenderar att ni routar trafiken över sjunet där ni har en högre tillgänglighetsgaranti
- Justera tabell / BGP
- NEJ: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
- Båda routrarna bör få näten annonserade till sig - alternativt static/default route
- Justera tabell / BGP
- Har organisationen brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet? Öppna dessa efter behov och nät
|
| Expandera |
|---|
| title | För EJ sjunetansluten organisations nätverksadministratörer |
|---|
| - Har ni brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet?
- JA: Öppna dessa mot 82.136.182.0/24 och/eller 82.136.183.0/24
- NEJ: Om klienter på aktuella nät för slutanvändare besöker idp.inera.se och idp.ineratest.org (eller motsvarande tjänsts adress/miljö) i webbläsare ser de då "404"?
Image Added
- NEJ: Kontrollera att portar öppnats och instruktioner följts i avsnitt Sjunet?
- JA: Kommunikationen med Ineras IdP och andra Ineratjänster fungerar
|
| Expandera |
|---|
| title | Fullständigt fråga-svarsträd och översikt |
|---|
| Översikt: tre olika nätscenarier för slutkund | Observera |
|---|
| Dessa bilder är under arbete att bli mer generella för alla tjänster och komponenter |
 Image Added
Fullständigt fråga-svarsträd  Image Added
|
|