Expandera | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
|
Inledning
Nomenklatur
...
|
Sektion | ||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
InledningNomenklatur
SyfteAutentiseringstjänstens syfte är att möta e-tjänsters behov av att autentisera användare över multipla plattformar och operativsystem. Autentisering av användare kan nyttjas för såväl säker inloggning som för elektronisk underskrift. Autentiseringstjänsten används tillsammans med en IdP och SITHS eID apparna för att förmedla en begäran om inloggning via en Säkerhetskanal som är separerad från informationskanalen, även kallat Out-of-band authentication. Denna teknik ger ett mer enhetligt inloggningsförfarande över olika plattformar och möjliggöra också lagring av och inloggning med SITHS eID som lagras i Mobila enheter. MålgruppDe huvudsakliga målgrupperna för detta dokument är: systemägare, systemförvaltare, systemarkitekter och utvecklingsteam samt Inera Arkitektur. ReferenserNyttjade plattformsfunktioner
|
...
Dokument inom kategori
...
Nyttjade tjänstekontraktDetta kapitel refererar till de tjänstekontrakt (API:er) som publiceras eller konsumeras av detta system. Autentiseringstjänsten använder enbart api:er som tillhandahålls av Utfärdandeportalen för Mobilt SITHS Utfärdandeportal för Mobilt SITHS För fullständig API-dokumentation, se: https:// |
...
...
...
Nyttjade tjänstekontrakt
...
siths.se/openapi/swagger-ui/index.html?url=/v3/api-docs/ Dessa API:er används:
Styrande dokument
Stödjande dokumentation
Arkitekturell översiktBilden nedan visar en översikt över den del av infrastrukturen för Identitet och Åtkomst som är relevant för användning av Autentiseringstjänsten. Autentiseringstjänsten använder sig av FIDO2 WebAuthn för att säkra att kommunikation mellan klient och server. IdP används för att:
Utfärdandeportalen används för att:
SITHS eID klienterna används för att:
SITHS eID Mobilklient används dessutom för att:
OCSP- och CRL-tjänster hos certifikatsutfärdaren används för att:
Arkitekturella mål
Prioriterade områden
Följsamhet till T-boken
AnvändningsfallAnvändningsfall - Översikt
|
...
AktörsinformationEj sammanställt Logisk realisering av signifikanta användningsfallAF1 – Administrera AutentiseringstjänstenTextuell beskrivningAutentiseringstjänsten har en tillhörande administrativ komponent. Exmpelvis kan man i denna konfigurera vilka Relying Partys/IdP:er som tillåts använda Autentiseringstjänsten. RealiseringEn aktör med behörighet vill administrera Autentiseringstjänsten.
|
...
AF2 – Utfärda nytt mobilt SITHS eIDTextuell beskrivningEn användare vill utfärda (beställa och ladda ner) ett Mobilt SITHS eID till sin mobila enhet. Realisering |
...
/wiki/spaces/ST/pages/3475216222 och Användarhandbok - SITHS eID Mobilklient för information om detta användningsfall. AF3 – Registrera SITHS eID i AutentiseringstjänstenTextuell beskrivningInnan SITHS e-legitimation på kort kan användas för att utföra legitimering eller underskrift mot Autentiseringstjänsten behöver certifikaten registreras. Denna process sker automatiskt för Mobilt SITHS i samband med utfärdandet eller vid användning om certifikatet av någon anledning skulle ha fallit bort ur databasen. Realisering
|
...
Diagrammet nedan visar registreringsflödet:
Anropen i steg 3 och 5 i figuren nedan följer och AF4 - LegitimeringTextuell beskrivningAnvändaren vill autentisera sig med eID som är registrerat hos Autentiseringstjänsten enligt ovan. Realisering
|
...
|
...
|
...
Diagrammet nedan visar flödet vid Legitimering:
AF5 - Underskrift (Legitimering för Underskrift)Textuell beskrivningAnvändaren ska kunna använda SITHS e-legitimation för att elelktroniskt underteckna information (ex. dokument) via /wiki/spaces/INR/pages/3582230940 RealiseringAnropsflödet är i stort sett identiskt för Underskrift och Legitimering, se diagrammet i AF4 - Legitimering ovan. Det som skiljer dessa två användningsfall är att i samband med angivelse av legitimeringskoden kommer appen förutom att visa upp vilken tjänst som begär underskrift även visa ett Underskriftsmeddelande, som talar om vilken information Användaren skriver under. Detta görs som en bekräftelse till Användaren för att undvika tveksamheter om vad man skriver under. Meddelandet kommer från IdP / RP i steg 4 ovan, och förmedlas till klienten i steg 8. Icke-funktionella kravDenna information är låst åtkomst sker via länken nedan som kräver inloggning.
Teknisk LösningDenna information är låst åtkomst sker via länken nedan som kräver inloggning.
SäkerhetDenna information är låst åtkomst sker via länken nedan som kräver inloggning.
InformationshanteringDomäninformationsmodellAutentiseringstjänsten har ingen egen domäninformationsmodell Informationens ursprungInformation som konsumerasAll information som behandlas i systemet kommer ifrån användarcertifikatet förmedlat av anslutna klienter, samt via autentiseringsanrop från IdP/RP för legitimering och underskrift. Information som skapasIngen information skapas i systemet. DriftaspekterDenna information är låst åtkomst sker via länken nedan som kräver inloggning.
|