Jämförda versioner

Gammal version 10

changes.mady.by.user Christoffer Johansson

Sparat den

jämfört med

Ny version Aktuell

changes.mady.by.user Tobias Haraldsson

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Innehållsförteckning

Expandera
titleVisa innehållsförteckning
Innehållsförteckning
minLevel1
maxLevel7
excludeInnehållsförteckning

Revisionshistorik

Expandera
titleVisa revisionshistorik

Version

Datum

Författare

Kommentar

1.0

2022-08-26

SITHS Förvaltning

Etabering av sidanEtablering av sidan.

1.1

2022-09-07

SITHS Förvaltning

Justering av innehålls då beskrivning av autentiseringslösningarna för SITHS passade bättre in under andra delar av dokumentationen.

Översikt

När ett SITHS-kort sätts in i kortläsaren på en dator behövs först och främst en programvara/drivrutiner som kan kommunicera med just SITHS-kortet. Denna programvara har under många år varit Net iD Enterprise.

...

Info

Denna sida handlar primärt om inläsning av SITHS eID-certifikat från SITHS-korten oavsett vilken autentiseringslösning och applikation som används.

Mer information om de olika applikationerna för SITHS finns på dessa sidor:

Autentiseringslösningar

SITHS eID-appen för Windows innehåller också en alternativ autentiseringslösning, så att det totalt finns två primära sätt att genomföra autentisering med SITHS eID på SITHS-kort.

...

Dubbelriktad TLS (mTLS)

Den metod som funnits med Net iD Enterprise i alla år och som baserar sig på att certifikaten på kortet importeras till Windows certifikatlagring.

Vid inloggning integrerar tjänsten mot Windows och webbläsaren som är den applikation som ber användaren att logga in. Net iD Enterprise står primärt för kommunikationen med SITHS-kortet.

Inloggning via separat säkerhetskanal (out-of-band)

Den metod som tillhandahålls av själva SITHS eID-appen och som baserar sig på att en IdP integrerar mot ett gränssnitt på en Autentiseringstjänst som har en direktkommunikation med SITHS eID-appen som hanterar inloggning med användaren istället för att det hanteras av datorns operativsystem och webbläsaren.

I denna lösning lagras certifikaten i datorns minne för användning av SITHS eID-appen så länge kortet sitter i kortläsaren.

Inloggningsupplevelse med de olika autentiseringslösningarna

Inloggningsupplevelsen skiljer mellan de två autentiseringslösningarna Dubbelriktad TLS och Out-of-band.

  • Out-of-band - SITHS eID-appen förfogar över majoriteten av användarinteraktionen

  • Dubbelriktad TLS - Nästan hela användarinteraktionen hanteras av Operativsystemet och webbläsaren

Expandera
titleVisa exempel på användarens inloggningsupplevelse per autentiseringslösning

Out-of-band (denna enhet)

Image Removed

Out-of band (annan enhet)

Image Removed

Dubbelriktad TLS (SITHS eID med SAC minidriver)

Image Removed

Dubbelriktad TLS (Net iD Enterprise)

Image Removed

Datorns kommunikation med SITHS-kortet

Det båda dessa autentiseringslösningar har gemensamt är att de behöver drivrutiner på datorn för att kunna kommunicera med SITHS-kortet.

...

Observera

Drivrutinen som möjliggör metoden Dubbelriktad TLS (mTLS) bör inte installeras samtidigt med både SITHS eID-appen och Net iD Enterprise.

Därför kommer SITHS eID-appen att levereras i flera olika paketeringar. Paketeringarna kan delas in i tre grundkategorier:

  • Paket som fortsatt använder Net iD Enterprise som drivrutin för mTLS

    • Använder SAC PKCS#11 som drivrutin för out-of-band metoden.

  • Paket istället använder drivrutinen SAC minidriver för mTLS

  • Paket som bara stödjer autentiseringslösningen out-of-band med drivrutinen SAC PKCS#11. Dessa pakteringar har alltså inte stöd för mTLS.

...

Paketeringar

De olika pakteringarna för SITHS eID-appen för Windows beskrivs på sidanLadda ner SITHS eID Windowsklient.

Detaljerad arkitektur för applikationer och drivrutiner för SITHS-kort

De olika applikationerna och autentiseringslösningarna har olika integration mot drivrutinerna för SITHS-korten. Nedan finns mer detaljerade skisser över hur integrationen mot SITHS-kortet går till beroende på vald autentiseringslösning.

Expandera
titleVisa detaljerad arkitektur

Kontrollera att SITHS eID-certifikaten har lästs in av drivrutiner för SITHS-kort
Ankare
inlasning_av_certifikat
inlasning_av_certifikat

Innan någon av autentiseringslösningarna kan fungera måste det finnas drivrutiner för SITHS-kortet. Dessa installeras tillsammans med SITHS eID-appen from. version 2.0 (tidigare versioner använde Net iD Enterprise)

Expandera
titleVisa hur du kontrollerar att drivrutinerna har läst in SITHS eID-certifikaten

  • 1 - Sätt i kort i kortläsaren

  • 2 - Net iD ikonen ska snurra (ser lite olika ut per version

  • 3 - Högerklicka på Net iD ikonen och välj ”Administration”

  • 4 - Kontrollera att Net iD hittar kortläsaren (i exemplet finns två stycken anslutna till datorn)

  • 5 - Klicka på kortläsaren för att se vilka certifikat som Net iD hittar på kortet i högra rutan (I exemplet har jag valt ”Alcor Micro USB Smart Card Reader 0”

    • Oftast - 2 stycken Telia certifikat, ett för legitimering och ett för underskrift

    • Alltid - minst 2 stycken SITHS certifikat, ett för legitimering och ett för underskrift

    • Eventuellt - 1 stycken Rotcertifikat för att underlätta installation av tillit till SITHS, vilket krävs på klient.

Drivrutiner för kortläsare

Om datorn och kortläsaren har problem att hitta certifikaten är det en bra idé att kontrollera vilka drivrutiner kortläsaren använder

Expandera
titleVisa hur man kontrollerar vilka drivrutiner som används för kortläsaren

  • 1 - Starta enhetshanteraren på klientdatorn

  • 2 - Leta rätt på fliken för ”Smartkortsläsare”

  • 3 - Dubbelklicka på kortläsaren och välj fliken ”Drivrutin” Säkerställ att ”Leverantör” inte är Microsoft, då deras standarddrivrutiner inte är bra. Se också till att det är ett så nytt datum som möjligt i fältet för datum.

Autentiseringslösningen med SITHS eID-Windowsapp (Out-of-band)

SITHS eID-apparna använder en typ av inloggning där man inte förlitar sig på att certifikaten importerats till Windows.

...

Expandera
titleVisa steg för steg hur man ser om SITHS eID-Windowsapp har hitat

  • 1 - Så här ser SITHS eID-appen ut när:

    • det saknas kort i kortläsaren

    • Eller om certifikaten inte kunde läsas in korrekt från kortet.

      • Kan bland annat orsakas av dåliga drivrutiner för kortläsaren

  • 2 - Så här ser SITHS eID-appen ut när:

    • Kortet och certifikaten har lästs in korrekt

    • Rätt version av appen är installerad. Alt. för senare versioner appen är konfigurerad mot rätt driftsmiljö

    • Kortet innehåller certifikat för den miljö appen är konfigurerad att använda

  • 3 - Första gången ett SITHS-kort används i SITHS eID-appen måste det registreras mot servern

  • 4 - Därefter kan det användas för inloggning i olika e-tjänster

Image RemovedImage Added

Autentiseringslösningen Dubbelriktad TLS (mTLS)

En förutsättning för att kunna logga in med autentiseringslösningen Dubbleriktad TLS (mTLS) är att även Windows har importerat certifikaten.

Expandera
titleVisa steg för steg hur man kontrollerar om certifikaten har lästs in till Windows

  • 1 - Kontrollera att certifikaten lästs in till Windows genom att starta programmet certmgr.msc på klientdatorn. Detta kan du starta i ”kör-dialogen” Windows+R

  • 2 - Navigera till ”Certifikat – Aktuell användare/Personliga/Certifikat” (i exemplet hittar vi samtliga 4 personcertifikat)

Information som kan utläsas från respektive certifikat

  • 1 - När det skapades och hur länge det är giltigt

  • 2 - Vem det är utfärdat till

  • 3 - Vilken Certifikatutfärdare (CA) det utfärdades av

  • 4 - Information om personen (ex. E=E-post OBS! (Måste finnas om man ska kunna signera beställningar i SITHS Admin) SERIALNUMBER=HSA-id)

  • 5 - Vad certifikatet har för serienummer (varje tillverkat certifikat har ett unikt)

 

  • 6 - Om det är ett certifikat avsett för Legitimering/Autentisering eller Underskrift/Signering

 7 - Om certifikatet går det att använda för att logga in i AD

Se även: Instruktion - Förändring vid inloggning till Windows med SITHS-certifikat

  • 8 - Går det att använda för att kryptera/signera e-post

  • 9 - Vilket kort certifikatet utfärdades till

...