Jämförda versioner

Version Gammal version 12 Ny version Aktuell
Ändringar gjorda av

Stefan Ehlert

Stefan Ehlert

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Innehållsförteckning

Expandera
titleVisa innehållsförteckning

Innehållsförteckning

Revisionshistorik

Expandera
titleVisa revisionshistorik


VersionDatumAktörKommentar
0.1

  

Stefan Ehlert

  • Kopierad från gammalt dokument
0.2 Stefan Ehlert
  • Lagt till nya frågor
  • Rensat bort irrelevanta frågor
  • Grupperat frågor i kategorier
0.3 Stefan Ehlert
  • (AUT-982) Lagt till information kring sömlösa nyckelbyten


Undersidor

Expandera
titleVisa undersidor

Underordnade sidor (visning av underordnade)

Ineras support

Hur tar jag kontakt med Ineras support?

...

Såvida det inte gäller någon av kategrierna nedan så behöver ingen specifik information inkluderas.

Jag vill göra en felanmälan:

  • Detaljerad information om vad som går fel för dig och/eller andra användare.
  • Inkludera så exakta tidsstämplar som möjligt för när problemet uppstått.
  • Om ni hamnar på IdP:ns felsida (https://idp.inera.se/_error), inkludera den kompletta URL:en med samtliga URL-parametrar.
  • Om ni får ett fel levererat via ett protokoll-svar (OIDC/SAML), inkludera gärna felkoder och felmeddeladen ni får via svaret.

Jag behöver hjälp med felsökning:

  • Detaljerad information om vad som går fel för dig och/eller andra användare.
  • Inkludera så exakta tidsstämplar som möjligt för när problemet uppstått.
  • Inkludera ert client ID (OIDC) eller ert entityID (SAML).
  • Hur ser ert användarflöde ut? Inkludera gärna information kring HTTP-trafik och OIDC- eller SAML-meddelanden.
  • Vad har du/ni redan testat för att komma vidare?

Anslutningen mot IdP:n fungerar inte:

  • Detaljerad information om vad som går fel för dig och/eller andra användare.
  • Inkludera så exakta tidsstämplar som möjligt för när problemet uppstått.
  • Inkludera ert client ID (OIDC) eller ert entityID (SAML).
  • Hur ser ert användarflöde ut? Inkludera gärna information kring HTTP-trafik och OIDC- eller SAML-meddelanden.

...

Indikerar att någon är fel uppsatt mellan IdP:n och RP:n/SP:n. Vanliga fel brukar vara fel elller utgånget certifikat i RP:ns JWKS eller SP:ns metadata som finns inläst hos IdP:n. Som användare bör man kontakta systemadministratören för systemet man försöker logga in på och som systemadministratör bör man kontrollera med IdP-förvaltningen att metadata är korrekt och inläst.

...

No certificate selected / Inget certifikat användes

Image Modified

Kortets certifikat lyckades inte föras över till IdP. Kontrollera att kortet sitter i kortläsaren, NetId är installerat och har information om kortet/certifikaten under E-legitimationer, kortläsaren fungerar och att det är rätt kort för aktuell miljö (testkort fungerar inte i produktionsmiljöer och tvärtom).

...

  • SITHS e-id Root CA v2
    • SITHS e-id Person HSA-id 3 CA v1
    • SITHS e-id Person HSA-id 2 CA v1
    • SITHS e-id Person ID 2 CA v1
    • SITHS e-id Person ID 3 CA v1
    • SITHS e-id Person ID Mobile CA v1

Error Error during authentication: Non-matching Levels of Assurance

E-tjänst begärde autentisering med annan nivå än den som användarens certifikat utvärderades till. Vanligaste felet är att legitimeringsbegäran förväntar sig tillitsnivå 3 men legitimeringen slutförs med tillitsnivå 2.


...

Frågor kring användarflöden

Hur och när påverkas min autentiseringsanslutning av störningar i nationell HSA katalog?

Om er anslutning INTE begär valbara attribut (via registrerat metadata) vars källa anges som HSA på Attributlista utan endast har behov av attribut från autentiseringen i sig (t ex tidpunkt och certifikatsutfärdare) och själva certifikatet (t ex personnummer/HSAid och tillitsnivå) är er anslutning ej beroende av HSA. För detaljer rekommenderas studier av hela Attributlista-sidan och dess mappningsmatriser. OBS: beroende beroende till de på certifikaten angivna OSCP/CRL-tjänsterna kan av uppenbara skäl inte undvikas.

...

Ja, förutsatt att verksamheterna för sina medarbetare har angivet dessa i sin katalog (HSA), se /wiki/spaces/CHDOK/pages/3475212224

Vi kommer byta våra signeringsnycklar, hur säkerställer vi att det blir ett sömlöst byte?

Både OIDC och SAML möjliggör sömlösa nyckelbyten. För att åstadkomma detta behöver IdP:n få tag i den nya nyckeln inför att den befintliga/gamla nyckeln går ut. Dokumentation för hur ett sömlöst nyckelbyte genomförs hittas här för OIDC och här för SAML.


...

Anslutningsfrågor SAML

Hur ska vi exportera vår SP:s SAML V2.0 Metadata?

...

  1. Setup
    1. Starta Chrome, Firefox, IE11 eller annan webbläsare med utvecklarverktyg
    2. Tryck F12, utvecklarverktygen kommer fram
    3. Om det inte är aktiverat, starta registrering av nätverkstrafik genom att välja flik som heter "Nätverk/Network" eller liknande
    4. "Play/record" om det inte redan spelas in
    5. Klicka i "Preserve log" (Chrome) eller klicka ur "Rensa poster vid navigering" (Edge)
    6. Läget ska likna ett av dessa i Chrome respektive Edge (klicka för större bild):
      Image Modified
  2. Browsa till etjänsts inloggningssida och påbörja autentisering
  3. Notera när en rad med SAMLRequest= i anropet syns, då har AuthNRequest-et fångats
  4. Kopiera den urlen/raden i anropslistan med HTTP-Redirect?SAMLRequest i sig enligt 4) ovan (högerklicka på raden och Kopiera URL eller liknande)
  5. Gå till https://www.samltool.com/url.php
  6. Klistra in url i rutan "Data to be URL Decoded"
  7. Tryck ”URL Decode Data”
  8. Kopiera den resulterade (väldigt likartad) texten
  9. Gå till menyalternativet två steg ner, "Base 64 Decode + Inflate", https://www.samltool.com/decode.php
  10. Klistra in i översta rutan "Deflated and Encoded XML"
  11. Ta bort all text innan är-likamed tecknet (t ex ”https://idp.ineratest.org/saml/sso/HTTP-Redirect?SAMLRequest=”)
  12. Klicka "Decode and Inflate XML"
  13. AuthNRequest- finns nu troligen i nedersta rutan

...

  1. Se avsnittet om Setup ovan (verkar endast fungera i Edge. Chrome visar inte innehållet)
  2. Browsa till etjänsts inloggningssida och påbörja autentisering
  3. Välj eventuellt medarbetaruppdrag
  4. Notera när en rad med "indentity-response" fångats (Innehållstyp: Dokument)
    Image Modified
  5. Kopiera hela värdet i fältet "SAMLResponse" under "Text"->"Svarstext" tabben.
  6. Gå till https://www.samltool.com/decode.php och klistra in hela respons-värdet och dekoda så kommer SAML biljetten visas:
  7. Image Modified


...

Felsökningsfrågor OIDC

...

  1. Se avsnittet om Setup ovan
  2. Browsa till etjänsts inloggningssida och påbörja autentisering
  3. Notera när anropet mot <IdP-domän>/oidc/authenticate skett (oftast första utanför etjänstens domän)
  4. Filtrera "Innehållstyp" på Annat/Other så bör anropet ligga överst (metoden ska vara POST)
  5. Titta på detaljerna för "Headers"->"Form Data" (Chrome) och "Text"→"Begärantext" (Edge) om de inte syns till höger när du markerat anropet
  6. Läget ska likna följande i Chrome respektive Edge (klicka för större bild):
    Image Modified
  7. Markera och kopiera värdet av "request" parametern (i Chrome kan man behöva rensa "request")
  8. Gå till https://jwt.io/ och klistra in i "Encoded" fältet (algithmen RS256 sätts från jwt:n).
  9. Under Payload finns nu den autentiseringsförfrågan som etjänsten skickade.:
    Image Modified