Jämförda versioner

Gammal version 23

changes.mady.by.user Tobias Haraldsson

Sparat den

jämfört med

Ny version 24

changes.mady.by.user Fadi.Jazzar@inera.se

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

...

Expandera
titleVisa revisionshistorik

Version

Datum

Författare

Kommentar

1.0

2022-09-07

SITHS Förvaltning

Etablering av sidan.

1.01

2022-09-29

SITHS Förvaltning

Lade till information om att PIN-SSO över mTLS också kan etableras vid första inloggningen via out-of-band.

1.02

2023-02-02

SITHS Förvaltning

Lade till lite förtydliganden om SITHS eID för Windows MD-paketering och att dessa innehåller SAC minidriver för att ge stödet för mTLS som autentiseringsmetod.

1.03

SITHS Förvaltning

Gjorde om avsnittet för användardialoger per autentiseringsmetod. Klistrade även in hur pin-dialogen ser ut för underskriftskoden om underskriftscertifikatet anropas via Microsoft CAPI2 för SAC minidriver och hur det ser ut när det anropas via CAPI2 eller webbläsaren och Net iD plugin.

1.04

SITHS Förvaltning

Lade till information om Microsofts turordning för presentation av certifikat vid ceritfikatvalsdialog/API via Microsoft CryptoAPI/CNG vid användning av SAC minidriver

1.05

SITHS Förvaltning

Lagt till information om PIN-SSO för macOS och förtydligat när PIN-SSO är aktuellt mha. en matris.

1.06

SITHS Förvaltning

Borttag av Net iD

...

Översikt

SITHS har två olika autentiseringslösningar:

  • Inloggning via dubbelriktad TLS (mTLS):

    • Användare - för legitimering och underskrift av användare med hjälp av Net iD Enterprise eller SITHS eID-appen för Windows i MD-paketering

      • MD-paketen innehåller SAC minidriver som står för stödet för autentiseringsmetoden mTLS

    • Servrar - för identifiering av tjänster vid kommunikation mellan IT-system

  • Inloggning via separat säkerhetskanal (Out-of-band): för legitimering och underskrift av en användare med hjälp av SITHS eID-apparna

...

Denna autentiseringslösning har historiskt tillhandahållits via Net iD Enterprise, men kommer under hösten 2022 även levereras som en del av SITHS eID-appen för Windows.

I denna lösning lagras certifikaten på det smarta kortet och importeras till Windows certifikatlagring. Vid inloggning integrerar sedan tjänsten mot operativsystemets och webbläsarens inbyggda funktioner för att be användaren välja ett certifikat som hen vill använda vid legitimering.

...

Expandera
titleLäs mer om Pin-cache och PIN-SSO

Vid användning av SITHS och autentiseringslösningar baserade på dubbelriktad TLS (mTLS) finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran om legitimering/autentisering

Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering eftersom användaren inte behöver ange sin pin-kod upprepade gånger eller när man ska logga in i en annan tjänst som hanterar autentisering via samma AD-miljö som den AD-miljö som hanterar användarens inloggning till själva Windows-datorn.

I referensarkitekturen baseras Single Sign-On (SSO) upplevelsen på att man utfärdar identitetsintyg som är giltiga för inloggning i flera tjänster som använder samma IdP (enligt standarderna SAMLv2 eller OIDC).

Pin-cache är aktiverad som default enligt:

Applikation

Autentiseringsmetod

PIN-SSO

Net iD Enterprise*

mTLS

Ja

SITHS eID-app för Windows MD

(MD=Minidriver, dvs. paket som innehåller SAC minidriver för att hantera stödet för autentiseringsmetoden mTLS)

mTLS

Ja

OOB**

Nej

SITHS eID-app för macOS

mTLS

Nej

OOB

Nej

SAC minidriver för Linux

mTLS

Nej

* Paketeringar av Net iD Enterprise under Ineras licens

** Pin-cache för mTLS aktiveras både vid första inloggningen med mTLS via SAC minidriver OCH i samband med den första inloggningen användaren gör i SITHS eID-appen över autentiseringslösningar baserade på out-of-band. Out-of-band använder sig dock INTE av pin-cachen själv utan den aktiveras bara för mTLS.

Referenser

...