Paketeringar som innehåller SAC minidriver (MD-paketen) Info |
---|
Detta avsnitt gäller endast för autentiseringslösningar baserade på Dubbelriktad TLS (mTLS) och därmed de paket av SITHS eID-Windowsapp som innehåller SAC minidriver. Se mer information om hur certifikat läses från SITHS-kortet till datorn och de två olika autentiseringslösningarna på denna sida: Inläsning av SITHS-kort på Windows |
Aktivera "PIN-SSO"Vid installation kommer användarens pin-kod för legitimering att "cachas" av SAC minidriver för att användaren inte ska behöva ange sin pin-kod upprepade gånger. Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till att PIN-SSO är Aktiv: Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL
DWORD: SingleLogon value=2 |
PIN-SSO nollställs automatiskt när: - Den timeout som kan definieras enligt rubriken nedan uppnås, se Hantera timeout för SSO
- Datorn startas om
- När användaren drar ut sitt SITHS-kort ur kortläsaren
För att stänga av detta beteende justeras registervärdet enligt nedan Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL
DWORD: SingleLogon value=0 (SSO AVSTÄNGD) |
Info |
---|
Om ni lägger till ovan nämnda registervärden under ALLA användarprofiler på datorn (HKEY_CURRENT_USER) med hjälp av Grupprinciper/Group policies (GPO:er) i er miljö kan ni få PIN-SSO att nollställas även vid: - Strömsparläge/Viloläge
- Låst användarsession
|
Möjliga värden för denna inställning är: - 0 - SAC begär pin när det behövs
- 1 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2
- 2 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2 och PKCS#11
Hantera timeout för PIN-SSO Vid installation kommer cachningen av användarens pin-kod att upphöra efter en given tid Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till en timeout om 4h:
Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL
DWORD: SingleLogonTimeout value=14400 (timeout i sekunder --> dvs 4h) |
För att ändra detta beteende justeras registervärdet enligt nedan: Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL
DWORD: SingleLogonTimeout value=<ange timeout i sekunder> |
Utöver denna timeout nollställs pin-SSO när: - Datorn startas om
- När användaren drar ut sitt SITHS-kort ur kortläsaren
Stäng av installation av rotcertifikat Info |
---|
Efter att ni skapat denna registernyckel och registervärde behöver datorn startas om |
Vid installation av MD-paketen kommer SAC minidriver som standard att vilja installera tillit till rotcertifikat som finns på SITHS-korten på användarens dator. Rotcertifikat fanns på SITHS-korten för 410-korten (produkter vars produktnummer börjar med "4" eller "9" (4XX resp. 9XX). För att ändra detta beteende justeras registervärdet enligt nedan: Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\CertStore\
DWORD: PROP_PROPAGATECACER value=0 (Installation inaktiverad) |
Möjliga värden för denna inställning är: - 0 - SAC försöker inte installera tillit till rotcertifikat från SITHS-kortet på användarens dator
- 1 - SAC försöker installera tillit till rotcertifikat från SITHS-kortet på användarens dator
Aktivera loggning för Dubbelriktad TLS/Mutual TLS (mTLS) - SAC minidriver Info |
---|
Aktivera endast loggning när du försöker återskapa felet och ska ta ut en logg att skicka in till supporten. Detta eftersom loggningen skriver stora mängder loggar. |
- Skapa en registernyckel vid namn Log
- På följande plats i Windows-registret: HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC
- Under registernyckeln Log skapas nedan värden följande registervärden som 32-bitars värde (DWORD)
- Enabled = 1
- 0 - Logning Loggning avstängd
- 1 - Loggning startad
- TotalMaxSize = 20000000 (20 miljoner = 20Mb)
- Maximal filstolek på hela mappen eToken.log
- När loggning aktiverats kommer följande även följande defaultvärden användas. Dessa kan justeras via egna 32-bitars värden (DWORD), men vi rekommenderar att ni låter dem vara kvar på default.
- Days = 1
- Antal dagar som loggen skapas
- MaxFileSize = 2000000 (2Mb)
- Maxstorlek för respektive loggfil mappen
TotalMaxSize- Maximal filstolek på hela mappen i mappen eToken.log
- Starta om datorn för att börja fånga loggar
- Loggfilerna samlas i mappen C:\Windows\Temp\eToken.log på datorn
Loggning för Dubbelriktad TLS/Mutual TLS (mTLS) med SAC minidriver i Windows loggbok (event viewer)- Skapa värdet EnableLogEvents som ett 32-bitars värde (DWORD)
- På följande plats i Windows-registret HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\General
- Dessa syns sedan i Windows Event Viewer i loggen Application med Source=SAC
ENV-paketeringar (Stäng av miljöbytesmöjlighet)Vid installation av ENV-paketen kan miljöbytesfunktionaliteten inaktiveras och appen styras mot en specifik miljö via Windowsregistret. För att göra detta behöver: - Nedan 2st registervärden justeras
- Appen startas om eller refreshas genom tangentbordsknappen F5 efter att värdena har ändrats
Stäng av miljöbyteMöjliga värden: - True - Tillåter miljöbyte
- False - Tillåter inte miljöbyte
Exempel för hur man stänger av miljöbytesfunktionaliteten genom att ändra följande strängvärde under HKLM. Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Inera\AuthenticationClient\LocalConfiguration
String: AllowConfigurationChange value=False |
Styr standardmiljö Info |
---|
För att ändring av detta registervärde ska innebära byte av miljö måste HKEY_LOCAL_MACHINE\SOFTWARE\Inera\AuthenticationClient\LocalConfiguration\[AllowConfigurationChange] vara satt till False |
Möjliga värden: Exempel för hur man styr appen att alltid gå mot Produktionsmiljön genom att ändra följande strängvärde under HKLM. Kodblock |
---|
HKEY_LOCAL_MACHINE\SOFTWARE\Inera\AuthenticationClient\LocalConfiguration
String: LocalConfiguration value=Produktion |
|