Innehållsförteckning
...
Observera |
---|
Obligatorisk uppgradering Från och med breddlanseringen av SITHS eID Portal krävs minst version 2.0.8481 av SITHS eID-appen för Windows. Inloggning och konfiguration av SITHS eID Portal, samt legitimering och underskrift i andra tjänster kommer fortsatt att fungera med tidigare supporterad version. Observera även att SITHS Admin och Mina sidor hos Telia är beroende av Net iD Enterprise för att fungera. Det är därför viktigt att installera rätt paket av SITHS eID-appen för Windows på datorer som används tillsammans med dessa tjänster (Inte MD-paketen). Den kommande SITHS eID Portal som ska ersätta SITHS Admin kommer att fungera med valfri paketering av SITHS eID-appen för Windows. |
Info |
---|
Viktig information kring installation
|
...
Expandera | |||||||||
---|---|---|---|---|---|---|---|---|---|
| |||||||||
Utdrag | Certifikatinläsning för MD-paketeringFör optimal hantering av autentiseringslösningar baserade på Dubbelriktad TLS/Mutual TLS (mTLS) bör Microsofts egen certifikatpropageringstjänst stängas av. Detta görs med fördel med hjälp av Microsoft grupp principer (GPO). Gruppprincipen hittas här: Computer Configuration\Administrative templates\Windows Components\Smartcard Följande inställningar ska inaktiveras:
Även Microsofttjänsten CertPropSvc inaktiveras InstallationsparameterarInstallationspaketet för SITHS eID Windowsklient levereras endast som en .exe fil. Detta beror på att att denna installation i sin tur består av ett antal MSI-paket från Ineras olika leverantörer. Installationspaketet stödjer ett antal flaggor som kan användas om installationen ska köras via en kommandotolk eller som en oövervakad installation. Vilka installationsflaggor som finns kan visas genom flaggan /?. Exempel: <installationsfilensnamn> /? Oövervakad/Tyst installationKan genomföras genom installationsflaggorna /quiet eller /passive Varning om att lita programvara från Thales DIS
För äldre versioner av SITHS eID-appen för Windows i MD- paketering kräver för tillfället installation avpaketering (SAC minidriver) måste man för tyst installation installera tillit till Thales kodsigneringscertifikat. Arbete pågår för att certifiera drivrutinerna från Thales hos Microsoft så att detta inte ska behövas i framtiden.Se rubriken Installera tillit till Thales kodsigneringscertifikat för information om hur tillit installeras Varningen kommer från hur Windows hanterar installation av drivrutiner som inte är certifierade av Microsoft. Drivrutinerna från Thales som används för autentiseringslösningen Dubbelriktad TLS/Mutual TLS (mTLS) är ännu inte certifierade av Microsoft. För användare som gör denna installation manuellt kan man gå vidare genom att välja "Installera" i användardialogen nedan. Valet i rutan "Lita alltid på programvara från Thales DIS CPL USA, Inc." avgör huruvida tillit till Thales kodsigneringscertifikat ska installera permanent på aktuellt dator eller om datorn endast ska lita på certifikatet för den pågående installationen. Installera tillit till Thales kodsigneringscertifikat För att kunna genomföra en oövervakad installation av behöver Thales kodsigneringscertifikat vara betrott på de datorer där SITHS eID i MD-paketering ska installeras. Thales kodsigneringscertifikat publiceras som en del av releasen och återfinns. OBS! Säkerställ att installation av tillit sker i datorns certifikatslagring och INTE i användarens certifikatlagring. Certifikatet behöver installeras i datorns certifikatlagring under "Betrodda utgivare/Trusted publishers". Här kan du Ladda ner Thales kodsigneringscertifikat Tillit till dessa certifikat kan med fördel installeras med Microsoft grupp principer (GPO). FirefoxVid tyst installation på klientdatorer med webbläsaren Firefox får man två olika beteenden för Autentiseringslösningar baserade på mTLS beroende på om webbläsaren är öppen när den tysta installationen körs:
Dessa olika beteenden beror på att SAC PKCS#11 inte kan installeras om Firefox är öppen när den tysta installationen körs. AvinstallationVid tyst avinstallation gäller det att tänka på att användarens dator måste startas om innan SITHS eID Windowsklient installeras på nytt. Detta beror på att avinstallationen tar bort viktiga filer från datorn vid nästa omstart. Har man då redan installerat SITHS eID Windowsklient på nytt kommer viktiga filer att tas bort vid omstart och göra att SITHS eID Windowsklient inte kommer gå att använda. |
Konfiguration efter installation
...
Expandera | |||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||
Aktivera "PIN-SSO"Vid installation kommer användarens pin-kod för legitimering att "cachas" av SAC minidriver för att användaren inte ska behöva ange sin pin-kod upprepade gånger. Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till att PIN-SSO är Aktiv:
PIN-SSO nollställs automatiskt när:
För att stänga av detta beteende justeras registervärdet enligt nedan
Möjliga värden för denna inställning är:
Hantera timeout för PIN-SSO
Vid installation kommer cachningen av användarens pin-kod att upphöra efter en given tid Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till en timeout om 4h:
För att ändra detta beteende justeras registervärdet enligt nedan:
Utöver denna timeout nollställs pin-SSO när:
Stäng av installation av rotcertifikat
För tidigare versioner av MD-paketen kommer SAC minidriver som standard att vilja installera tillit till rotcertifikat som finns på SITHS-korten på användarens dator. Denna funktion kan stängas av genom att skapa nedan registernyckel. Rotcertifikat fanns på SITHS-korten för 410-korten (produkter vars produktnummer börjar med "4" eller "9" (4XX resp. 9XX).För att ändra detta beteende justeras registervärdet enligt nedan:
Möjliga värden för denna inställning är:
Aktivera loggning för Dubbelriktad TLS/Mutual TLS (mTLS) - SAC minidriver
Övriga registervärden för logginställningar:
Loggning för Dubbelriktad TLS/Mutual TLS (mTLS) med SAC minidriver i Windows loggbok (event viewer)
För organisationer som inte använder AD-inloggning med SITHS eID på kortOM ni inte använder AD-inloggning kan denna funktionalitet stängas av via följande registerinställningar Inaktivera upplåsning med PUK (Lås upp PIN) vid Windows inloggningsskärmSkapa ett REG_DWORD i underföljande registernyckel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{673FACBC-6DF0-425b-B558-48DF53E95EC3}
Möjliga värden för denna inställning är:
Inaktivera valet för användaren att logga in med smartkort vid Windows inloggningsskärmSkapa ett REG_DWORD i underföljande registernyckel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
Möjliga värden för denna inställning är:
|
...