Sidjämförelse

Utfärdande av SITHS funktionscertifikat består av 3 primära delar:

1. Skapande av en privat nyckel och uttag av en så kallad CSR-fil som skickas in till den ID-administratör som ska utfärda certifikatet. Utförs av systemägare eller teknisk förvaltare av tjänsten i fråga

2. Utfärdande av certifikatet från SITHS. Detta steg utförs av någon med behörighet i SITHS

3. Installation av certifikatet. Utförs av systemägare eller teknisk förvaltare av tjänsten i fråga.

För mer information se: SITHS Funktionscertifikat - Användarguide

Vid inloggning med SITHS e-legitimation på SITHS-kort finns det en funktion som gör att användaren inte behöver ange sin pin-kod igen så länge kortet sitter kvar i kortläsaren och så länge datorn inte startas om.

För att Användaren ska bli helt utloggad från en tjänst måste hen:

1. Använda tjänstens egen funktion för utloggning

2. Avlägsna SITHS-kortet från kortläsaren

3. Utöver detta bör även alla tjänster komplettera med en egen inaktivitetstimeout. Denna hjälper dock inte om användare glömmer att avlägsna sitt SITHS-kort.

Certifikat för Mobilt SITHS publiceras INTE till HSA

Publicering

SITHS Publiceringstjänst kollar var tredje minut vilka certifikat som inte är publicerade genom kontroll mot en flagga i databasen.

Publicering sker vid följande tillfällen:

• Certifikat skapas i SITHS Admin - Funktionscertifikat

• Certifikat skapas i Mina sidor - Hämtning av tilläggscertifikat och certifikat till reservkort

• Vid inläsning av kunddatafilen från Thales - För nytillverkade kort 1 gång per natt.

Publicering via kunddatafilen

Kortinformationen ska publiceras vid inläsning av kunddatafilen om kortet har status ”SentToAdmin” och certifikaten har status ”Issued”.

Det här betyder egentligen bara att vi publicerar till HSA när vi får information från Thales att det kort är producerat.

Avpublicering

Vi avpublicerar varje gång man spärrar ett certifikat, hittar vi inga fler giltiga SITHS-certifikat på kortet tar vi även bort kortinformationen från HSA.

Städning av utgångna och spärrade certifikat

Information som publiceras är attributen:

• certifikat (userCertificate)

• kortserienummer (cardNumber)

• kortserienummer@mifareserienummer (hsaMifareSerialNumber)

• validNotAfter

• validNotBefore

• certifikatserienummer (serialNumber).

Alla certifikat som tillhör kortet eller funktionen publiceras.

Processen ska fungera även om det bara finns en kortläsare ansluten till den dator som används hos kortmottagaren och ID-administratör 2. Många kortläsare har dock inställningar för att automatiskt gå ner i strömsparläge när kort avlägsnas, vilket kan orsaka problem. Störst problem är det vid användning av inbyggda kortläsare i ex. laptops (Ex. Alcor i HPs datorer)

OM ni vill använda processen med endast en kortläsare rekommenderar vi att ni:

1. Testar varje dator där processen införs innan ni tar den i bruk

2. Försöker inaktivera strömsparläge för kortläsarna på aktuell dator:

   1. För inbyggd kortläsare görs detta i BIOS

   2. För extern kortläsare görs detta via enhetshanteraren per dator, alt. så kan det modifieras i INF-filen för den drivrutin som används.

3. Använder externa kortläsare om möjligt då strömsparläget verkar hanteras bättre på dessa om ni har svårt att stänga av det enl. punkt 2 ovan.

Vad är status på utgivning av LoA3 till utländska personer?

Dialog pågår, men DIGG:s regelverk för svensk e-legitimation möjliggör inte att man kan ge ut en svensk e-legitimation till en utländsk medborgare. Vi tittar på olika alternativ, men har inga lösning på det ännu, men arbete pågår i frågan.

Distansutgivning av LOA3-kort (reservkort) finns det något mer att säga här? Den här frågan måste ju lösas under året eller?

Vi tittar inte på en distansutgivning för reservkort LoA3, däremot har vi en pågående utredning för distansutgivning för ordinarie kort och en dialog med DIGG.

Det återstår några frågeställningar innan vi kan landa i ett förslag som kan vara realiseringsbart.

Vi har ingen tidplan för ett införande av distansutgivning och vi måste i första hand säkerställa befintlig funktionalitet och kan därför vara tvungna att senarelägga leverans av distansutgivning till efter lanseringen av den nya eID portalen.

Om man tar användningsfallet "delad vårdmobil", hur kommer det fungera med mobilt siths om man är mer än en användare, dvs inte en personlig mobil enhet?

Du kan ha max ett aktivt SITHS eID per mobil enhet

Det innebär att är man fler användare som nyttjar samma enhet, måste man utfärda och hämta ett nytt Mobilt SITHS varje gång man byter användare på den mobila enheten. Befintligt Mobilt SITHS som finns på enheten raderas i samband med att man utfärdar och hämtar ett nytt Mobilt SITHS.

Du kan ha max 5 aktiva SITHS eID per användare

Kan bemanningspersonal med eget kort skapa vårt mobila SITHS under förutsättning att hen finns i vår HSA? Blir det då ett val vid inloggningen/skapandet?

Nej det är inget val av organisation vid inloggningen eller vid skapande av mobilt SITHS

Utfärdande organisation för Mobilt SITHS blir samma organisation som den som har utfärdat SITHS-kort som användaren använder för att hämta ett Mobilt SITHS.

Dvs. Använder du ett SITHS-kort som är utfärdat av Region Stockholm när du hämtar ett Mobilt SITHS så blir organisationstillhörigheten för ditt Mobila SITHS också Region Stockholm

Är Mobil inloggning gratis att ansluta till?

Mobilt SITHS ingår i Identifieringstjänst SITHS, men för att anpassa lokala system/e-tjänster krävs en anslutning till Ineras Idp eller autentiseringstjänsten,

Information om att ansluta en e-tjänst finns här

Aktuell prislista finns här:

Regioner

Kommuner

Privata vårdgivare

När kan vi som leverantör få tillgång till Ineras IdP-tjänst så att vi kan leverera SITHS (inklusive mobil-SITHS även till privata tjänsteleverantörer (våra kunder). Idag har vi stöd för autentisering med SITHS-kort.

För att privata leverantörer ska få möjlighet att vidareförsälja till kunder så krävs att IdPn agentifieras. Vi planerar göra det under hösten med Cerner som pilot.

Vi siktar på att agentifieringen ska vara klar under Q1 2022.

Behöver man inte ha ett SITHS-kort om man använder Mobil inloggning?

För att kunna utfärda ett Mobilt SITHS eID första gången krävs att användaren har en SITHS e-legitimation med tillitsnivå 3, dvs ett ordinarie SITHS-kort.

Om du redan har ett giltigt Mobilt SITHS eID med tillitsnivå 3 kan du även använda det för att hämta ett nytt Mobilt SITHS.

Om man använder SITHS-kort idag för ett verksamhetssystem, är det bara att ladda ner mobilt SITHS och logga in med då, eller måste vi eller leverantören av verksamhetssystemet gör något mer för att det ska fungera

Lokala verksamhetssystem/e-tjänster måste anpassas för att stödja den nya autentiseringsmetoden.

Information om att ansluta en e-tjänst finns här

Kan man använda både SITHS-kort och mobilt SITHS eID?

En användare kan ha både ett SITHS-kort och mobilt SITHS eID, men det är system/e-tjänsten som styr vilka inloggningsmetoder som är aktiverade för den e-tjänst som du vill komma åt.

Kan användaren förlänga sitt reservkort inne i e-tjänsten?

I dagsläget kan man kan förlänga reservkort LoA3 en gång via SITHS Mina sidor

Mobilt SITHS kommer bara kunna fungera för personer med svenskt person-ID?

Eftersom Mobilt SITHS är en godkänd svensk e-legitimation så innebär det att personen måste ha ett svenskt personnummer

Kommer det även i framtiden vara möjligt att använda SITHS e-id och Net iD parallellt

Det kommer att under en övergångsperiod vara möjligt att använda Net iD parallellt och just nu krävs de både Net iD och SITHS eID Windowsklient för att använda den ny autentiseringsmetoden.

Men Net iD Enterprise kommer framöver inte att ingå i Ineras erbjudande så har man behov av att använda Net iD behöver ni själva säkra egna avtal för fortsatt användning av Net iD enterprise

För mer information se Utgivning och användning av SITHS eID

Slipper vi Internet Explorer då?

Den nya autentiseringsmetoden möjliggör användning av flera webbläsare och vi kommer inte ha beroendet till Internet Explorer 11.

Kommer Internet Explorer att fortsätta att fungera för SITHS Admin ända till 2023, då nytt är på gång?

Ja

När tror ni att den nya eID-portalen kommer lanseras?

Lansering är planerat till våren 2023

Kan man även i framtiden lägga till egna certifikat på SITHS kortet för inloggning i tex Windows, även då NetID är avvecklat?

Det kommer fortfarande finnas plats att skriva lokala certifikat på SITHS-kortet, men ni behöver se över era implementationer. Vi tror att många kunder idag gör detta med hjälp av Net iD plugin och den produkten kommer inte ingå i Ineras erbjudande, man måste då antigen skriva lokala certifikat med andra metoder eller säkra egna avtal för fortsatt användning av Net iD Enterprise.

Hur ser tidplanen ut när det gäller införandet av underskriftstjänsten?

Vi planerar lansera möjligheten för externa e-tjänster att kunna ansluta till Underskriftstjänsten under Q3.

Finns det någon form av säkerhetsfunktion inbyggt i e-ID som gör att man blir utloggad ur en applikation (Läs: journalsystem) med automatik?

Nej, användaren ska alltid

• Logga ut

• Stäng webbläsaren

• Ta ut sitt kort

När hen har jobbat klart och lämnar arbetsstationen

Kommer det fortfarande finnas möjlighet utfärda SIS-kort?

Utredning pågår om SIS-kortet framtid.

Bakgrunden till att vi överväger att ta bort möjligheten att utfärda SIS-kort inom SITHS är den statliga utredningen ”Ett säkert statligt ID-kort – med e-legitimation SOU 2019:14” som förordar ett statligt ID-kort med e-legitimation.  Utredningen föreslår att ett antal av de godkända fysiska identitetshandlingar som vi har idag ska tas bort och SIS-korten är ett av dessa.

Kan omvänd utgivning ge problem med säkerheten om kortet även utgör en fysisk id-handling?

Utredning pågår vilka konsekvenser det medför att vända på utgivningen, dvs. att skicka kortet hem till användaren istället för att skicka kortet till ett kortkontor.

Kan man använda mobilt SITHS til Ineras system, NPÖ, Pascal?

Se Inera tjänsters införande av nya autentiseringsmetoden

Idag kan du låsa upp kortet själv om du har din puk men det kommer du inte att kunna med den nya hanteringen när det inte är kodkuvert? Dvs om du låst ditt kort måste du alltid till en ID-administratör?

Vi håller på att utreda olika alternativ för hanteringen och distribution av puk

Efter lyckad inloggning kommer SITHS eID-appen uppvisa två olika beteenden beroende på om du har en Mobil enhet med Android eller iOS OM legitimeringen/underskriften hanterades via Ineras IdP

Android

SITHS eID-appen flyttas till bakgrunden och försöker ladda senast använda app på den mobila enheten igen. Detta är som regel den app där användaren påbörjade sin legitimering/underskrift. Detta upplevs som att du sömlöst lyckats med inloggningen enligt "2.2.6 Legitimeringen lyckades" nedan.

iOS

Du får en uppmaning om att själv ta dig tillbaka till en app eller webbläsare där du påbörjade din legitimering/underskrift genom ett meddelande som lyder:

"Klar att användas. Nu kan du återvända till den föregående appen eller webbsidan"

Image RemovedImage Added

För tekniker

Använder ni en lokal IdP som integrerats mot Autentiseringstjänsten kan en "referer" skickas med som SITHS eID-appen dirigerar användaren användaren till. Detta har dock valts bort av Ineras IdP pga. risken att IdP redan är klar och har dirigerat tillbaka användaren till tjänsten. Detta skulle få som följd att användaren:

• Navigeras bort från tjänsten till IdP och får ett felmeddelande

• Att en ny webbläsarflik öppnas med ett felmeddelande och den tjänst där inloggningen lyckades ligger i en annan flik i webbläsaren som användaren måste förstå att hen ska navigera till.