Innehållsförteckning

...

Observera

Obligatorisk uppgradering

Från och med 1 januari 2023 krävs minst version 2.0 av SITHS eID-Windowsapp.

Observera även att SITHS Admin och Mina sidor hos Telia är beroende av Net iD Enterprise för att fungera. Det är därför viktigt att installera rätt paket av SITHS eID-appen för Windows på datorer som används tillsammans med dessa tjänster (Inte MD-paketen). SITHS eID Portal som lanseras våren 2023 kommer att fungera med valfri paketering av SITHS eID-appen för Windows.

Info

Viktig information kring installation

Starta alltid om datorn efter avinstallation
Blanda inte paket:
- Det går att byta version inom samma paketering genom att bara installera över tidigare version
- Vill man byta paket måste man: 1. Avinstallera, 2. Starta om datorn, 3. Installera det nya paketet
Eftersom SITHS eID-appen inte är lika "känd" som programvaror från Microsoft eller andra stora utvecklare. Kan det hända att ni måste göra vissa undantag på er klientmiljö för att det ska gå att ladda ner och/eller installera och köra SITHS eID-appen.

...

Expandera

title	Visa mer information om installation

Meddelanden vid installation

Vid installation SITHS eID-appen installeras även ett antal olika drivrutiner från Thales. Detta görs för implementera stöd för SITHS-korten som kan användas av SITHS eID-appen eller för att möjliggöra autentiseringslösningen Dubbelriktad TLS/Mutual TLS (mTLS) i Windows mha. SAC minidriver.

Exempel på ett sådant meddelande:

Image Added

Utdrag

Installationsparameterar

Installationspaketet för SITHS eID Windowsklient levereras endast som en .exe fil. Detta beror på att att denna installation i sin tur består av ett antal MSI-paket från Ineras olika leverantörer. Installationspaketet stödjer ett antal flaggor som kan användas om installationen ska köras via en kommandotolk eller som en oövervakad installation. Vilka installationsflaggor som finns kan visas genom flaggan /?.

Exempel: <installationsfilensnamn> /?

Image RemovedImage Added

Tyst installation

Kan genomföras genom installationsflaggorna /quiet eller /passive

Firefox

Vid tyst installation på klientdatorer med webbläsaren Firefox får man två olika beteenden för Autentiseringslösningar baserade på mTLS beroende på om webbläsaren är öppen när den tysta installationen körs:

Firefox öppen:
- certifikatval hanteras av Firefox.
- pin-dialog hanteras av Windows.
Firefox stängd
- certifikatval hanteras av Firefox.
- pin-dialog hanteras av Firefox.

Dessa olika beteenden beror på att SAC PKCS#11 inte kan installeras om Firefox är öppen när den tysta installationen körs.

Avinstallation

Vid tyst avinstallation gäller det att tänka på att användarens dator måste startas om innan SITHS eID Windowsklient installeras på nytt.

Detta beror på att avinstallationen tar bort viktiga filer från datorn vid nästa omstart. Har man då redan installerat SITHS eID Windowsklient på nytt kommer viktiga filer att tas bort vid omstart och göra att SITHS eID Windowsklient inte kommer gå att använda.

...

Expandera

title	Visa konfiguration som kan justeras efter installation

Paketeringar som innehåller SAC minidriver (MD-paketen)

Info
Detta avsnitt gäller endast för autentiseringslösningar baserade på Dubbelriktad TLS (mTLS) och därmed de paket av SITHS eID-Windowsapp som innehåller SAC minidriver. Se mer information om hur certifikat läses från SITHS-kortet till datorn och de två olika autentiseringslösningarna på denna sida: Inläsning av SITHS-kort på Windows

Aktivera "PIN-SSO"

Vid installation kommer användarens pin-kod för legitimering att "cachas" av SAC minidriver för att användaren inte ska behöva ange sin pin-kod upprepade gånger.

Följande konfiguration i installationspaketet för SITHS eID-Windowsapp som styr att detta är aktivt vid installationWindowsregistret styr denna timeout och är som standard konfigurerad till att PIN-SSO är Aktiv:

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL DWORD: SingleLogon value=2

PIN-SSO nollställs automatiskt när:

Den timeout som kan definieras enligt rubriken nedan uppnås, se Hantera timeout för SSO
Datorn startas om
När användaren drar ut sitt SITHS-kort ur kortläsaren

För att stänga av detta beteende justeras följande registervärderegistervärdet enligt nedan

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL DWORD: SingleLogon value=0 (SSO AVSTÄNGD)

Info

Om ni lägger till ovan nämnda registervärden under ALLA användarprofiler på datorn (HKEY_CURRENT_USER) med hjälp av Grupprinciper/Group policies (GPO:er) i er miljö kan ni få PIN-SSO att nollställas även vid:

Strömsparläge/Viloläge
Låst användarsession

Möjliga värden för denna inställning är:

0 - SAC begär pin när det behövs
1 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2
2 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2 och PKCS#11

Hantera timeout för PIN-SSO
Ankare
timeout_sso
timeout_sso

Vid installation kommer cachningen av användarens pin-kod att upphöra efter en given tid om 4 timmar

Följande konfiguration i installationspaketet för SITHS eID-Windowsapp som Windowsregistret styr denna timeout vid installationoch är som standard konfigurerad till en timeout om 4h:

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL DWORD: SingleLogonTimeout value=14400 (timeout i sekunder --> dvs 4h)

För att ändra detta beteende justeras följande registervärderegistervärdet enligt nedan:

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL DWORD: SingleLogonTimeout value=<ange timeout i sekunder>

Utöver denna timeout nollställs pin-SSO när:

Datorn startas om
När användaren drar ut sitt SITHS-kort ur kortläsaren

Stäng av installation av rotcertifikat

Info
Efter att ni skapat denna registernyckel och registervärde behöver datorn startas om

Vid installation av MD-paketen kommer SAC minidriver som standard att vilja installera tillit till rotcertifikat som finns på SITHS-korten på användarens dator. Rotcertifikat fanns på SITHS-korten för 410-korten (produkter vars produktnummer börjar med "4" eller "9" (4XX resp. 9XX).

För att ändra detta beteende justeras registervärdet enligt nedan:

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\CertStore\ DWORD: PROP_PROPAGATECACER value=0 (Installation inaktiverad)

Möjliga värden för denna inställning är:

0 - SAC försöker inte installera tillit till rotcertifikat från SITHS-kortet på användarens dator
1 - SAC försöker installera tillit till rotcertifikat från SITHS-kortet på användarens dator

ENV-paketeringar (Stäng av miljöbytesmöjlighet)

Vid installation av ENV-paketen kan miljöbytesfunktionaliteten inaktiveras och appen styras mot en specifik miljö via Windowsregistret.

För att göra detta behöver:

Nedan 2st registervärden justeras
Appen startas om eller refreshas genom tangentbordsknappen F5 efter att värdena har ändrats

Stäng av miljöbyte

Möjliga värden:

True - Tillåter miljöbyte
False - Tillåter inte miljöbyte

Exempel för hur man stänger av miljöbytesfunktionaliteten genom att ändra följande strängvärde under HKLM.

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Inera\AuthenticationClient\LocalConfiguration String: AllowConfigurationChange value=False

Styr standardmiljö

Info
För att ändring av detta registervärde ska innebära byte av miljö måste HKEY_LOCAL_MACHINE\SOFTWARE\Inera\AuthenticationClient\LocalConfiguration\[AllowConfigurationChange] vara satt till False

Möjliga värden:

Test
QA
Produktion

Exempel för hur man styr appen att alltid gå mot Produktionsmiljön genom att ändra följande strängvärde under HKLM.

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Inera\AuthenticationClient\LocalConfiguration String: LocalConfiguration value=Produktion

...

Jämförda versioner

Gammal version 172

Ny version 173

Nyckel