Jämförda versioner

Gammal version 196

changes.mady.by.user Former user

Sparat den

jämfört med

Ny version 197

changes.mady.by.user Former user

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Innehållsförteckning

...

Observera

Obligatorisk uppgradering

Från och med breddlanseringen av SITHS eID Portal krävs minst version 2.0.8481 av SITHS eID-appen för Windows.

Inloggning och konfiguration av SITHS eID Portal, samt legitimering och underskrift i andra tjänster kommer fortsatt att fungera med tidigare supporterad version.

Observera även att SITHS Admin och Mina sidor hos Telia är beroende av Net iD Enterprise för att fungera. Det är därför viktigt att installera rätt paket av SITHS eID-appen för Windows på datorer som används tillsammans med dessa tjänster (Inte MD-paketen).

Den kommande SITHS eID Portal som ska ersätta SITHS Admin kommer att fungera med valfri paketering av SITHS eID-appen för Windows.


Info

Viktig information kring installation

  • Starta alltid om datorn efter avinstallation
  • Blanda inte paket:
    • Det går att byta till en nyare version inom samma paketering genom att bara uppgradera/installera det nyare paketet.
    • Vill man byta paket måste man: 1. Avinstallera, 2. Starta om datorn, 3. Installera det nya paketet
  • Eftersom SITHS eID-appen inte är lika "känd" som programvaror från Microsoft eller andra stora utvecklare. Kan det hända att ni måste göra vissa undantag på er klientmiljö för att det ska gå att ladda ner och/eller installera och köra SITHS eID-appen.

...

Certifikatinläsning för MD-paketering

För optimal hantering av autentiseringslösningar baserade på Dubbelriktad TLS/Mutual TLS (mTLS) bör Microsofts egen certifikatpropageringstjänst stängas av. Detta görs med fördel med hjälp av Microsoft grupp principer (GPO). 

Gruppprincipen hittas här: Computer Configuration\Administrative templates\Windows Components\Smartcard

Följande inställningar ska inaktiveras:

  • Activate certificate propagation from smartcard
  • Activate root certificate propagation from smartcard

Image Modified

Även Microsofttjänsten CertPropSvc inaktiveras

Image Modified

Installationsparameterar

Installationspaketet för SITHS eID Windowsklient levereras endast som en .exe fil. Detta beror på att att denna installation i sin tur består av ett antal MSI-paket från Ineras olika leverantörer. Installationspaketet stödjer ett antal flaggor som kan användas om installationen ska köras via en kommandotolk eller som en oövervakad installation. Vilka installationsflaggor som finns kan visas genom flaggan /?.

Exempel: <installationsfilensnamn> /?

Image Modified

Image Modified

Oövervakad/Tyst installation

Kan genomföras genom installationsflaggorna /quiet eller /passive

Varning om att lita programvara från Thales DIS

Expandera
titleVisa detaljerad information om installation och oövervakad/tyst installation
Utdrag
Info
Tyst installation

Från och med version 2.0.8481 av SITHS eID-appen för Windows (som använder SAC minidriver 10.8.2701) får man INTE längre denna varning.

För äldre versioner av SITHS eID-appen för Windows i MD-

paketering kräver för tillfället installation av

paketering (SAC minidriver) måste man för tyst installation installera tillit till Thales kodsigneringscertifikat.

Arbete pågår för att certifiera drivrutinerna från Thales hos Microsoft så att detta inte ska behövas i framtiden.

Se rubriken Installera tillit till Thales kodsigneringscertifikat för information om hur tillit installeras

Varningen kommer från hur Windows hanterar installation av drivrutiner som inte är certifierade av Microsoft. Drivrutinerna från Thales som används för autentiseringslösningen Dubbelriktad TLS/Mutual TLS (mTLS) är ännu inte certifierade av Microsoft. För användare som gör denna installation manuellt kan man gå vidare genom att välja "Installera" i användardialogen nedan.

Valet i rutan "Lita alltid på programvara från Thales DIS CPL USA, Inc." avgör huruvida tillit till Thales kodsigneringscertifikat ska installera permanent på aktuellt dator eller om datorn endast ska lita på certifikatet för den pågående installationen.

Image Modified

Installera tillit till Thales kodsigneringscertifikat 

Ankare
tillit_thales_kodsigneringscertifikat
tillit_thales_kodsigneringscertifikat

För att kunna genomföra en oövervakad installation av behöver Thales kodsigneringscertifikat vara betrott på de datorer där SITHS eID i MD-paketering ska installeras. Thales kodsigneringscertifikat publiceras som en del av releasen och återfinns.

OBS! Säkerställ att installation av tillit sker i datorns certifikatslagring och INTE i användarens certifikatlagring. Certifikatet behöver installeras i datorns certifikatlagring under "Betrodda utgivare/Trusted publishers".

Här kan du Ladda ner Thales kodsigneringscertifikat

Tillit till dessa certifikat kan med fördel installeras med Microsoft grupp principer (GPO).

Image Modified

Firefox

Vid tyst installation på klientdatorer med webbläsaren Firefox får man två olika beteenden för Autentiseringslösningar baserade på mTLS beroende på om webbläsaren är öppen när den tysta installationen körs:

  • Firefox öppen:
    • certifikatval hanteras av Firefox.
    • pin-dialog hanteras av Windows. 
  • Firefox stängd
    • certifikatval hanteras av Firefox.
    • pin-dialog hanteras av Firefox.

Dessa olika beteenden beror på att SAC PKCS#11 inte kan installeras om Firefox är öppen när den tysta installationen körs.

Avinstallation

Vid tyst avinstallation gäller det att tänka på att användarens dator måste startas om innan SITHS eID Windowsklient installeras på nytt.

Detta beror på att avinstallationen tar bort viktiga filer från datorn vid nästa omstart. Har man då redan installerat SITHS eID Windowsklient på nytt kommer viktiga filer att tas bort vid omstart och göra att SITHS eID Windowsklient inte kommer gå att använda.

Konfiguration efter installation

...

Expandera
titleVisa urval av inställningar som kan justeras för MD-paketeringar (SAC minidriver) efter installation


Info

Detta avsnitt gäller endast för autentiseringslösningar baserade på Dubbelriktad TLS (mTLS) och därmed de paket av SITHS eID-Windowsapp som innehåller SAC minidriver. Se mer information om hur certifikat läses från SITHS-kortet till datorn och de två olika autentiseringslösningarna på denna sida: Inläsning av SITHS-kort på Windows

Följande inställningar kan även justeras med hjälp av de ADMX/ADML-filer som finns publicerade på Thales sidor för respektive version av SAC

Aktivera "PIN-SSO"

Vid installation kommer användarens pin-kod för legitimering att "cachas" av SAC minidriver för att användaren inte ska behöva ange sin pin-kod upprepade gånger.

Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till att PIN-SSO är Aktiv:

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL

DWORD: SingleLogon value=2

PIN-SSO nollställs automatiskt när:

  • Den timeout som kan definieras enligt rubriken nedan uppnås, se Hantera timeout för SSO
  • Datorn startas om
  • När användaren drar ut sitt SITHS-kort ur kortläsaren

För att stänga av detta beteende justeras registervärdet enligt nedan

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL

DWORD: SingleLogon value=0 (SSO AVSTÄNGD)


Info

Om ni lägger till ovan nämnda registervärden under ALLA användarprofiler på datorn (HKEY_CURRENT_USER) med hjälp av Grupprinciper/Group policies (GPO:er) i er miljö kan ni få PIN-SSO att nollställas även vid:

  • Strömsparläge/Viloläge
  • Låst användarsession

Möjliga värden för denna inställning är:

  • 0 - SAC begär pin när det behövs
  • 1 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2
  • 2 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2 och PKCS#11

Hantera timeout för PIN-SSO 
Ankare
timeout_sso
timeout_sso

Vid installation kommer cachningen av användarens pin-kod att upphöra efter en given tid

Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till en timeout om 4h:

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL

DWORD: SingleLogonTimeout value=14400 (timeout i sekunder --> dvs 4h)

För att ändra detta beteende justeras registervärdet enligt nedan:

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL

DWORD: SingleLogonTimeout value=<ange timeout i sekunder>

Utöver denna timeout nollställs pin-SSO när:

  • Datorn startas om
  • När användaren drar ut sitt SITHS-kort ur kortläsaren

Stäng av installation av rotcertifikat

Info

Efter att ni skapat denna registernyckel och registervärde behöver datorn startas om

Vid installation

Från och med version 2.0.8481 av SITHS eID-appen för Windows (som använder SAC minidriver 10.8.2701) är denna funktion avstängd som standard.

För tidigare versioner av MD-paketen kommer SAC minidriver som standard att vilja installera tillit till rotcertifikat som finns på SITHS-korten på användarens dator. Denna funktion kan stängas av genom att skapa nedan registernyckel.

Rotcertifikat fanns på SITHS-korten för 410-korten (produkter vars produktnummer börjar med "4" eller "9" (4XX resp. 9XX).För att ändra detta beteende justeras registervärdet enligt nedan:

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\CertStore\
DWORD: PropagateCACertificates value=0 (Installation inaktiverad)

Möjliga värden för denna inställning är:

  • 0 - SAC försöker inte installera tillit till rotcertifikat från SITHS-kortet på användarens dator
  • 1 - SAC försöker installera tillit till rotcertifikat från SITHS-kortet på användarens dator

Aktivera loggning för Dubbelriktad TLS/Mutual TLS (mTLS) - SAC minidriver

Info

Aktivera endast loggning när du försöker återskapa felet och ska ta ut en logg att skicka in till supporten. Detta eftersom loggningen skriver stora mängder loggar.

  1. Töm mappen C:\Windows\Temp\eToken.log på eventuella gamla loggfiler
  2. Skapa en registernyckel vid namn Log
  3. På följande plats i Windows-registret: HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC
  4. Under registernyckeln Log skapas följande registervärden som 32-bitars värde (DWORD)
    1. Enabled = 1
      1. 0 - Loggning avstängd
      2. 1 - Loggning startad
  5. Starta om datorn för att börja fånga loggar
  6. Återskapa felet
  7. Stäng av loggning igen genom att sätta Enabled= 0
  8. Starta om datorn
  9. Loggfilerna samlas i mappen C:\Windows\Temp\eToken.log på datorn
  10. Spara mappen eToken.log som en zip-fil och bifoga den till ärendet
    1. Om filen blir stor kan vi behöva be Thales skapa en länk för uppladdning av filen. Denna kommer då att skickas direkt till den kontaktperson som skapade ärendet hos Inera support.

Övriga registervärden för logginställningar:

  1. När loggning aktiverats kommer följande även följande defaultvärden användas.  Dessa kan justeras via egna 32-bitars värden (DWORD), men vi rekommenderar att ni låter dem vara kvar på default.
    1. Days = 1
      1. Antal dagar som loggen skapas
    2. MaxFileSize = 2000000 (2Mb)
      1. Maxstorlek för respektive loggfil i mappen eToken.log
  2. Registervärdet TotalMaxSize = 20000000 (20 miljoner = 20Mb) kan skapas för att styra den totala maxstorleken på hela mappen eToken.log. Observera dock att denna inställning kan medföra att äldre loggar som behövs vid felsökning kan komma att skrivas över av nyare loggar.
    1. Maximal filstolek på hela mappen eToken.log

Loggning för Dubbelriktad TLS/Mutual TLS (mTLS) med SAC minidriver i Windows loggbok (event viewer)

  1. Skapa värdet EnableLogEvents som ett 32-bitars värde (DWORD)
  2. På följande plats i Windows-registret HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\General
  3. Dessa syns sedan i Windows Event Viewer i loggen Application med Source=SAC

För organisationer som inte använder AD-inloggning med SITHS eID på kort

OM ni inte använder AD-inloggning kan denna funktionalitet stängas av via följande registerinställningar

Inaktivera upplåsning med PUK (Lås upp PIN) vid Windows inloggningsskärm

Skapa ett REG_DWORD i underföljande registernyckel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{673FACBC-6DF0-425b-B558-48DF53E95EC3}

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{673FACBC-6DF0-425b-B558-48DF53E95EC3}
DWORD: Disabled value=1 (Döljer valet att låsa upp ett blockerat kort med PUK-koden. Menyvalet vid namn "Lås upp PIN")

Möjliga värden för denna inställning är:

  • 1 = Valet att låsa upp med puk är dolt
  • 0 = Valet att låsa upp med puk syns

Inaktivera valet för användaren att logga in med smartkort vid Windows inloggningsskärm

Skapa ett REG_DWORD i underföljande registernyckel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8FD7E19C-3BF7-489B-A72C-846AB3678C96}

Kodblock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
DWORD: Disabled value=1 (Döljer valet för smartkort)

Möjliga värden för denna inställning är:

  • 1 = Valet att logga in med smartkort är dolt
  • 0 = Valet att logga in med smartkort syns

...