Jämförda versioner

Gammal version 26

changes.mady.by.user Hasanein Alyassiri

Sparat den

jämfört med

Ny version 27

changes.mady.by.user Christoffer Johansson

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Denna checklista innehåller sammanfattande information om vad respektive organisation måste göra med anledning av införandet av SITHS nya autentiseringslösning, vilken även inkluderar Mobilt SITHS. Det är viktigt att du som ansvarig utgivare tar ansvar för detta arbete och planerar samtliga aktiviteter inom din organisation. Om inte dessa aktiviteter genomförs, kommer ni inte att kunna använda Mobilt SITHS för inloggning i tjänster, inte heller någon av de andra autentiseringsmöjligheterna som den nya autentiseringstjänsten innebär.

...

För att kunna kommunicera med nya Autentiseringstjänsten och Utfärdandeportalen för Mobilt SITHS eID under era integrationstester, vilka kommer utföras mot Ineras PreacceptanstestmiljöTEST-miljö, krävs det öppningar från er tekniska miljö enligt:

Sökvägar och brandväggsöppningar - ATprojekt

4. Generellt om IdP-inloggning

...

  • Egen IdP ansluts till Relying party API för Ineras Autentiseringstjänst, se figur 1 nedan

  • E-tjänsten ansluts (är ansluten) som SP till egen IdP. Här väljs också vilka autentiseringsmetoder som ska finnas tillgängliga för användare

  • Användarorganisationerna administrerar nödvändiga användarattribut i den aktuella katalogtjänsten.

  • Användarnas datorer / mobiler förses med programvara för SITHS eID, antingen på dator och/eller Mobil enhet .

Figur 1 - Lokal IdP ansluts direkt till Relying party API för Ineras Autentiseringstjänst

...

...

Mo

6. Förberedelser för att kunna använda SITHS Autentiseringsklient

...

  1. befinner sig på nätverk med aktuella brandväggsöppningar

  2. har SITHS eID Preacctest TEST klienten för Windows 10 installerad: Nedladdningssida för SITHS eID app till Windows 10

...

  1. OBS! För integrationstester i Preacctestmiljön TEST-miljön krävs att användaren har tillgång till ordinarie SITHS TEST-kort  med TEST SITHS eID certifikat på tillitsnivå 3. Anledningen till detta är att det initialt bara kommer gå att utfärda Mobilt SITHS efter autentisering av användaren på tillitsnivå 3.

  2. Införskaffa mobila enheter enligt Ineras kravlista. Se följande sida för krav och supportade Mobila enheter Mobila enheter och OS som uppfyller kraven för SITHS eID version 1.0

  3. Mobila enheter måste ha tillgång till Internet och aktuella brandväggsöppningar.

  4. Säkerställ att användarnas datorer har SITHS eID Preacctest TEST klienten för Windows 10 installerad: Nedladdningssida för SITHS eID app till Windows 10

  5. Säkerställt att användarna har appen för SITHS eID Preacctest TEST installerad på sina mobiltelefoner eller surfplattor. Appen ligger dold i nuläget, men kommer vara tillgänglig för betatestning via direktlänkar till appbutiken för  iOS respektive Android.

  6. Hänvisa era användare till nedladdning av Mobilt SITHS eID via följande länk https://enrollmentmobiltsiths-temp.preacctest.ineratest.org

7. Förberedelser för att kunna använda SITHS Autentiseringstjänst

...

  1. Säkerställ att era användare har tillgång till aktuella versioner av SITHS eID Autentiseringsklient och även har hämtat Mobilt SITHS eID om detta ska ingå i era tester, se: Förberedelser för att kunna använda SITHS eID Autentiseringsklient

  2. Hämta IdP:ns metadata konfiguration baserat på vald teknik för anslutning OIDC eller SAMLv2 (måste bytas ut vid övergång till förvaltningens IdP):

    1. OIDC konfiguration: https://idp.mobiltsiths-temp.ineratest.org/oidc/.well-known/openid-configuration

    2. SAMLv2 Metadata-URL:  https://idp.mobiltsiths-

    oob

    1. temp.

    preacctest.

    1. ineratest.org/saml

  3. Utfärda SITHS funktionscertifikat för TEST från er egen organisation och använd det för att signera SP:ns metadata

    1. Om ni inte kan beställa SITHS-funktionscertifikat på egen hand finns det möjlighet att beställa SITHS-funktionscertifikat från Inera: https://

    www.inera.se/kundservice/dokument-och-lankar/tjanster/identifieringstjanst-siths/siths-funktionscertifikat/

    1. idp.mobiltsiths-temp.ineratest.org/

    2. OBS! Notera giltighetstiden för certifikatet och kom ihåg att förnya det i tid och förmedla ny metadata med IdP:n innan ni byter utd et. Om certifikatet blir ogiltigt eller ny metadata för SP inte förmedlats kommer inloggning att sluta fungera för din organisation

  4. Ta reda på följande information om er lokala miljö

    1. Er tjänsts (SPs) metadata

    2. Bestäm vilka attribut er tjänst vill hämta från Ineras IdP, se https://confluence.cgiostersund.se/display/ST/Attributlista

      1. Utökad läsning om attributsstyrning inom Ineras IdP: Attributstyrning SAMLv2 och Attributsstyrning OIDC

      2. Utökad lösning läsning om de profiler som används inom Ineras IdP: SAMLv2 profil och OIDC-profil

    3. Vilka autentiseringsmetoder ni vill ha:

      1. SITHS-kort med hjälp av Net iD

      2. SITHS eID på samma enhet (Både Mobilt SITHS eID och SITHS-kort)

      3. SITHS eID på annan enhet (Primärt usecase för Mobilt SITHS eID)

  5. Maila in uppgifterna under punkt 5 4 ovan till: hasanein.alyassiri@inera.se och/eller magnus.vallstedt@inera.se

  6. Samtliga SITHS-kort som har SITHS-certifikat på sig kommer gå att använda för inloggning med Inera Autentiseringstjänst och SITHS eID Autentiseringsklient på Windows 10.

    1. IdP:n kommer initialt utfärda identitetsintyg på tillitsnivå 3 för alla typer Beroende på vilken typ av SITHS e-certifikat legitimation som finns på SITHS-kort. Ineras IdP gör idag tolkningar enl. https://confluence.cgiostersund.se/display/ST/Guide+till+IdP#GuidetillIdP-Tillitsniv%C3%A5(LoA)Dock kommer detta att ändras i preacctestmiljö under hösten och linjera med TEST/QA miljöerna för Ineras IdP kortet kommer identitetsintyget att förses med olika tillitsnivåer enligt: https://confluence.cgiostersund.se/pages/viewpage.action?pageId=210942615.

    IdP:n

    1. Mobilt SITHS kommer initialt att

    utfärda identitetsintyg påtillitsnivå 2 för Mobilt SITHS eID

    1. Framgent kan detta komma att justerasförses med tillitsnivå 2 i väntan på flytt till ny driftleverantör och godkännande från DIGG.

  7. Installera tillit till utfärdaren av det certifikat som används för signering av Identitetsintyget från Ineras IdP i PreacctestmiljöTEST-miljö:

...

  1. Säkerställ att era användare har tillgång till aktuella versioner av SITHS eID Autentiseringsklient och även har hämtat Mobilt SITHS eID om detta ska ingå i era tester, se: Förberedelser för att kunna använda SITHS eID Autentiseringsklient

  2. Ta reda på följande information om er lokala miljö

  3. Beställ Utfärda ett funktionscertifikat för test från TEST SITHS eID TEST från er egen organisation och ta reda på dess HSA-id. (Detta används som klientcertifikat för kommunikationen med Autentiseringstjänsten)

    1. Om ni inte kan beställa SITHS-funktionscertifikat på egen hand finns det möjlighet att beställa SITHS-funktionscertifikat från Inera. Kan beställas via följande länk (obs prod just nu i väntan på beslut om miljöer):

    2. OBS! Notera giltighetstiden för certifikatet och kom ihåg att förnya det i tid. Om det blir ogiltigt kommer inloggning att sluta fungera för din organisation

  4. Ta reda på den IP-adress er IdP kommer presentera mot SITHS eID Autentiseringstjänst

  5. Information om kapacitetsbehov 

  6. Maila HSA-id, IP-adress och kapacitetsbehov till: hasanein.alyassiri@inera.se och/eller magnus.vallstedt@inera.se

  7. Säkerställ att er IdP har relevanta brandväggsöppningar för åtkomst till SITHS eID Autentiseringstjänst Relying Party API

  8. Anpassa er lokala IdP till Autentiseringstjänstens Relying Party API: https://as.preacctest.ineratest.org/openapi/swagger-ui/index.html?url=/v3/api-docs&validatorUrl= (temporär)

    1. Kommer ersättas av https://authservice.idp.ineratest.orgopenapi/swagger-ui/index.html?url=/v3/api-docs&validatorUrl=

  9. Kommunikationen mellan Lokal IdP och Inera Autentiseringstjänst skyddas av ömsesidig TLS (MTLS) med certifikat från följande utfärdare som er IdP måste lita på:

  10. Avgör vilken tillitsnivå ni vill att respektive typ av SITHS-certifikat ska få i er lokala IdP’s identitetsintyg. Ineras IdP gör idag tolkningar enl. https://confluence.cgiostersund.se/display/ST/Guide+till+IdP#GuidetillIdP-Tillitsniv%C3%A5(LoA).

    Dock kommer detta att ändras under hösten

    kommer göra tolkningar enligt: https://confluence.cgiostersund.se/pages/viewpage.action?pageId=210942615.

    1. Observera att Mobilt SITHS eID ännu inte är godkänt av DIGG och inte återfinns i IdP:ns matris. I IdP:n i projektets testmiljöer kommer vi dock att klassa Mobilt SITHS eID somtilllitsnivå 2kommer, av Ineras IdP, inledningsvis att tolkas som tillitsnivå 2 i väntan på flytt till ny driftleverantör och godkännande från DIGG.

8. Frågor och svar

  1. Vilka av Ineras tjänster använder Ineras IdP?
    Det är flera tjänster men främst, Pascal, NPÖ, Intygtjänsterna, Personuppgiftstjänsterna, Sebra, Infektionsverktyget, Svevac, Hitta Jämför Vård, säkerhetstjänster, Pascal Admin , 1177 Admin och säkerhetstjänsterna.

  2. Vi har Android-telefoner som inte finns på er lista, kommer dessa att fungera med Mobilt SITHS eID?
    Det är inte möjligt att testa testa alla mobila enheter på marknaden men finns de på Google Enterprise lista kommer de med stor sannolikhet att fungera

  3. Kommer det behövas en ny “enrollment”/utfärdande när en användare tar över mobilen/enheten från en annan användare?
    Ja, en enrollment behövs.

  4. Finns användarguide för utfärdandet av Mobilt SITHS?
    Ja, den finns här Utfärda Mobilt SITHS - Användarguide

  5. Finns användarguide på hur en autentisering går till?
    Ja, den finns här: Autentisering - Användarguide

...

SITHS-tjänsten kommer att vidareutvecklas [HA39] med med bl.a. följande komponenter:

...