...

Anslutning till IdP kan ske direkt för en e-tjänst, men det går också att ansluta en lokal IdP som en proxy till Ineras IdP. För jämförelse mellan olika anslutningsmönster, se Att ansluta e-tjänster.

För att anslutande e-tjänst skall få ut ytterligare användarattribut måste slutanvändare som skall autentiseras existera i den nationella HSA-katalogen. Beroende på vilka attribut som efterfrågas för en aktör kan eventuella val behöva göras i inloggningsflödet. Exempel på detta är medarbetaruppdrag och/eller autentiseringsmetod.

De e-tjänster som vill nyttja elektronisk underskrift kan ansluta till Underskriftstjänsten. I och med denna anslutning möjliggörs autentisering för underskrift via Ineras IdP, se Underskriftstjänsten /wiki/spaces/UST/pages/3475212609.

Exempel på e-tjänsts anslutning till Ineras IdP som Service Provider och med ny auteniseringsmetod och klient:Image Removed

...

Tekniska förutsättningar för användning Inera IdP

Nedan följer information om de övergripande tekniska kraven och komponenterna för anslutning och användning

I dagsläget utfärdas identitetsintyget enligt två protokoll, SAML (Security Assertion Markup Language) och OIDC (OpenID Connect).

...

I de fallen då ADFS metadata är tänkt att läsas in ska inte Sambi Metadata validatorn användas. I de fallen bör endast IdP Public tools användas.

• IdP Public tools - IdP:ns egen metadata validator. Valideras metadatat korrekt i detta verktyg går det att läsa in i IdP:n.

• Sambi Metadata validator - Sambis egen SAML metadatavalidator

• Chilkat Online Tools - XML Digital Signature verification - Verktyg för att validera signerad XML. Går signaturen inte att verifiera kan metadatat inte läsas in i IdP:n.

• CSR Decoder and Certificate Decoder - Verktyg för att kontrollera giltigheten av certifikat

Förmedling av SAML metadata

...

Vid detta alternativ anges en URL varifrån metadatat kan hämtas som ska bli inläst till IdP:n. Säkerställ gärna en extra gång att URL:en funkar och att metadatat som fås via URL:en är rätt metadata för anslutningen. Under förstudiegranskningen kommer samma metadata som hämtas från URL:en användas för granskning.

 Metdata fil exempel

• SP Metadata exempel 

OIDC

Registrering av OIDC-klienter i Inera IdP sköts manuellt. Se OIDC-Profil och Attributstyrning OIDC för detaljer kring hur Inera IdP implementerar OIDC-protokollet.

För åtkomst till IdP:s OIDC-metadata, se Adresser och portar nedan.

Sjunet

Ankare
sjunet sjunet

Ineras IdP är tillgänglig från både internet och Sjunet med samma instans och domän (se Adresser och portar nedan).

Se Nätverksinställningar för IAM-tjänster för gemensam nätverksteknisk information för alla IAM-tjänsterna (IdP, Autentiseringstjänsten, Utfärdandeportalen, etc.), inklusive information om Sjunet-routing.

...

För tillgång till SITHS eID på kort för test, vänd er till www.inera.se/siths.

Livscykelhantering - förändring av existerande anslutningar

Anslutningen till IdP kan förändras t.ex. om e-tjänsten har nya kontaktuppgifter, har förnyat sitt funktionscertifikat, vill få tillgång till ytterligare användarattribut eller tillgängliggöra flera (eller andra) autentiseringsmetoder för sina slutanvändare.

Vid önskade förändringar i anslutningen följs följande principiella mönster:

1. Inkom med en uppdaterad förstudie för testmiljö(er) där ni fyller i relevanta ändringar och noterar i revisionstabellen vad som ändrats. Bifoga även eventuellt metadata
   

   1. Efter godkänd förstudie justeras anslutningen hos den aktuella test-IdP:n. Vid nekad förstudie kontaktas e-tjänstens förvaltning

2. Verifiera funktionen i testmiljö(erna) genom att
   

   1. Inkom med en motsvarande uppdaterad förstudie för produktionsmiljön.

   2. Bifoga testrapport från testmiljö.

   3. Ange eventuellt önskat datum och tidpunkt för aktivering av ny funktionalitet.

3. Vid godkänd förstudie justeras anslutningen i prod-IdP:n, direkt eller vid vald tidpunkt. Vid nekad förstudie kontaktas e-tjänstens förvaltning

Anslutningsmönster

Anslutning av e-tjänst till Ineras IdP

En e-tjänst kan ansluta till Ineras IdP som en SAML SP (Service Provider) eller OIDC RP (Relying Party).

• Vilka metoder som är tillgängliga för slutanvändarna konfigureras i IdP per e-tjänst, det går således att i förstudien att endast använda ett urval av de autentiseringsmetoder som Ineras IdP tillhandahåller.

• e-tjänsten anger i sitt metadata (om SAML) eller i autentiseringsanropet (om OIDC) vilka användarattribut som önskas. Se Attributstyrning SAML alternativt Attributstyrning OIDC.

• Inera IdP tillhandahåller begärda användarattribut som finns på certifikatet och eventuella attribut på personposten i den nationella HSA-katalogen samt presenterar uppdragsval för användaren.

• Inera IdP tolkar och förmedlar tillitsnivå (LoA) utifrån användarens certifikat.

Anslutning av lokal IdP till Ineras IdP (proxy-anslutning)

Lokala e-tjänster kan erhålla identitetsintyg från Ineras IdP via en lokal IdP genom anslutning som en OIDC RP eller SAML SP och agera som en "proxy-IdP". Anslutningen sker som en vanlig anslutning (som ovan) av en e-tjänst till Ineras IdP men skillnaderna består i stor sett av en förskjuten ansvarsfördelning från Ineras till den lokala IdPn.

Inera IdP:

• tillhandahåller eventuellt autentiseringsmetod samt de attribut som rör autentisering av användaren, se nästa avsnitt för de idag rekommenderade

• revokeringskontroll

Lokal IdP:

• implementerar en SAML-SP eller en OIDC-RP som ansluts till Ineras IdP,

• väljer vilken eller vilka autentiseringsmetoder som Inera IdP skall exponera för slutanvändare,

• ansvarar för eventuellt uppdragsval,

• (valbart men starkt rekommenderat, revokeringskontroll)

• beräknar tillitsnivå (LoA) utifrån certifikatsattribut som Ineras IdP tillhandahåller

  • Se Tillitsnivå (LoA) för information om hur Ineras IdP tolkar tillitsnivåer för en rekommendation.

• hämtar eventuella övriga användarattribut från en lokal katalogtjänst

...

...

Användning av iframes

System som har för avsikt att använda sig av iframes för att visa IdP:ns användargränssnitt för slutanvändaren blir inte godkända för att ansluta sig mot IdP:n. Detta med anledning av att vi inte kan lämna några garantier för att IdPn:s funktionalitet bibehålls när iframes används. Detta är ett hårt krav där inga undantag kommer göras. Vidare så avrekommenderar även DIGG emot användningen av iframes, se DIGGs artikel för mer information.

...

Förutom attribut som alltid anges i SAML-biljetten eller OIDC-tokens per default (se Attributlista), så är följande attributlista för en rekommendation på en "maximal" lista för lokal IdP att begära från Inera IdP. Detta för att undvika att slutanvändare presenteras uppdragsvalsdialogen i Ineras IdP och förbättra mönstrets effektivitet.

Vill man i den anslutande lokala IdP:n även få med HSA-id för användaren går det också bra, men om det finns flera HSA-id för samma användare så leder det till ett uppdragsval eller tjänsteidval. Vill man undvika det så kan man ta med alla HSA-id för användaren .

Dokumentation

Utöver denna guide finns följande dokumentation framtagen för tjänsten.

...

Adresser och portar

Ankare
Adresser och portar Adresser och portar

Se Nätverksinställningar för IAM-tjänster för gemensam nätverksteknisk information för alla IAM-tjänsterna (IdP, Autentiseringstjänsten, Utfärdandeportalen, etc.) och övriga tjänster.

Följande adressmatris används för anslutning till Inera IdP och tydliggör i vilken HSA miljö som slutanvändare förväntas finnas. Dessa adresser och IP-adresser är samma för både Internet och Sjunet.
HSA adresserna anger både Sjunet respektive internetgränssnitten för administration.

Tillitsnivå (LoA)

För hantering av tillitsnivå för olika typer av certifikat, se Tillitsnivå (LoA).

Autentiseringsmetoder

Aktivering av autentiseringsmetoder

...

Anslutna tjänster kan välja vilka inloggningsmetoder som skall vara aktiva och därmed valbara för användarna vid autentisering.

Tillgängliga metoder:

• SITHS eID på annan enhet - via SITHS eID-appen

• SITHS eID på denna enhet - via SITHS eID-appen

• SITHS-kort på denna enhet

...

Förutom det formella anslutningsförfarandet tillkommer arbete kring att

1. ordna med brandväggsöppningar mot Autentiseringstjänsten (Nätverksinställningar för IAM-tjänster),

2. säkerställa att slutanvändarna använder en webbläsare (för att anropa IdP) på ett sätt som möjliggör för autostart av SITHS eID-klienten (se även nedan samt SITHS eID Appväxling - Exempel för inbäddade webbläsare),

3. informera och eventuellt utbilda slutanvändarna i användningen av klienter/mobila enheter samt

4. distribuera klienter, (inklusive att över tid säkerställa förmåga till robust testning och uppdatering)

För mer detaljerad information om de nya autentiseringsmetoderna och vilka krav som ställs på anslutande organisationer, se Anslutningsguide till Autentiseringstjänsten.

Användarval av autentiseringsmetod

...

För slutanvändaren kan valet av autentiseringsmetod påverka det senare uppdragsvalet om ett sådant krävs. SITHS eID på denna enhet - via dubbelriktad TLS kommer alltid föredra HSA-id-certifikat medans SITHS eID på denna/annan enhet - via SITHS eID-appen föredrar ett personnummer-certifikat om ett sådant finns. Beroende på vilka uppdrag som har kopplats i HSA för personnumret och HSA-id:t respektive kan SITHS eID på denna/annan enhet - via SITHS eID-appen resultera i att användaren får fler valbara alternativ i tjänste-id- och uppdragsvalet.Image Removed

...

Nya autentiseringsmetoder

För detaljerad information kring de nya autentiseringsmetoderna och hur de fungerar i klienterna, se respektive användarhandbok

• Användarhandbok - SITHS eID Mobilklient

• Användarhandbok - SITHS eID Windowsklient

Val av tjänste-id/medarbetaruppdrag

...

I det här fallet har inget av användarens tjänste-id:n några uppdrag kopplade till sig. När detta inträffar får användaren en vy presenterad för sig där endast ett tjänste-id kan väljas.Image Removed

...

Användaren har ett tjänste-id med ett medarbetaruppdrag

...

I det här fallet kommer användaren få välja bland alla uppdrag som finns kopplade till användarens tjänste-id. Notera i bilden nedan hur HSA-id:t i kolumnen längst ut till höger är detsamma för alla uppdrag.Image Removed

...

Användaren har flera tjänste-id:n med flera medarbetaruppdrag

I detta fall kan användaren välja både mellan uppdrag och enskilda tjänsteid:n. Notera i bilden nedan hur det finns fyra olika tjänste-id:n att välja mellan där tjänste-id:n ...-10NG och ...-10NX har uppdrag medans ...-10NY och ...-10NZ saknar uppdrag. Image Removed

...

Filtrering av personnummer, HSA-id och organisationsnummer

...

Vid anslutningsförfarandet hämtas organisationsnamnet som visas under legitimerings- och signeringsflödet från SAML metadatat. IdP:n letar efter ett OrganizationDisplayName under Organization-taggen (se SAML-Profil för konkreta exempel). Namnet som finns angetts under OrganizationDisplayName ska matcha med det som angetts i förstudien under Organisationens visningsnamn. Systemets visningsnamn ska inte vara definierat i SAML metadatat utom ska endast återfinnas i förstudien.

...

OBS! Vid uppgraderingen till IdP 2.3 är visningsnamnet för OIDC-anslutningarna initialt systemets visningsnamn. IdP sakner information kring vilken den anslutande organisationen är i tidigare versioner av IdP:n och kommer behöva kompletteras allt eftersom.Image Removed

...

SSO-sessionens giltighetstid

...

Mobilklienterna laddas ner via App Store eller Google Play. Windowsklienten tillgängliggörs under SITHS eID Windowsklient-app för Windows och organisationer kan välja att distribuera den själva eller att dela länken med sina användare.

Se nedan för länkar till specifik information kring respektive applikation.

Windowsklienten

Mobilklienterna

Net iD Enterprise (inloggning via dubbelriktad TLS)

...

Tabellen nedan visar på verifierade kombinationer av komponenter.

Operativsystem	Webbläsare				Net iD Enterprise

Image Removed

Image Added

Image Removed

Image Added Windows 7+8

Image Removed

Image Added Chrome

Image Removed

Image Added Internet Explorer 11

Image Removed

Image Added Edge Chromium

6.8.0.22 SITHS 1301, 1311 6.8.1.31 SITHS 1301, 1311 6.8.2.38 SITHS 1301, 1311 6.8.3.21 SITHS 1301, 1311

Image Removed

Image Added Windows 10

Image Removed

Image Added Chrome

Image Removed

Image Added Internet Explorer

Image Removed

Image Added Edge

Image Removed

Image Added Edge Chromium

6.8.0.22 SITHS 1301, 1311 6.8.1.31 SITHS 1301, 1311 6.8.2.38 SITHS 1301, 1311 6.8.0.22 SITHS 1301, 1311

Alla Net iD-versioner tidigare än 6.7 anses vara icke fungerande då en allvarlig sårbarhet upptäcktes relaterad till cache-tiden för PIN-koden. 

Version 6.7 av Net iD Enterprise finns inte i Ineras paketering eller tillgänglig att ladda ner på Secmakers hemsida.

Vid problem med Net iD Enterprise kan SecMakers supportsida konsulteras för att se vilka versioner som det har rapporterats problem. Idp förvaltningen har inte alltid senaste information kring vilka versioner av Net iD som slutat stödjas även om vi uppdaterar detta dokument i samband med nya Idp releaser.

Från SecMakers Windows 10 sida: https://service.secmaker.com/w10.aspx Uppdaterad senast 2020-09-23.

...

Cachning av PIN-kod

Användarupplevelsen med Net iD Enterprise kan variera beroende på hur klienten är konfigurerad lokalt. Det är bra att känna till att beteendet för cachning av PIN-koden påverkas av detta. Vid en ny inloggning kan vissa användare inte behöva slå in PIN-koden efter att de valt sitt certifikat även om det har gått lång tid sedan en tidigare inloggning. I andra fall kan PIN-koden dock krävas vid varje inloggning i de fallen där konfigurationen resulterar i en kort cachningstid.

Systemkrav

IdP kompatibilitet

Operativsystem	IE11

Image Removed

Image Added	Chrome

Image Removed

Image Added	Edge

Image Removed

Image Added	Edge Chromium

Image Removed

Image Added	Firefox

Image Removed

Image Added
Image Modified Windows 7 + 8	*, **, ***, **** Slutar supportas Juni 2022	***, ****	**, ***, ****	***	(ej mTLS)
Image Modified  Windows 10	*, ** Slutar supportas Juni 2022		**		(ej mTLS)

Image Removed

Image Added Android

Se Användarhandbok - SITHS eID Mobilklient#Plattformskrav för kompabilitet och kända begränsningar

Image Removed

					Image Added iOS

Tabell över olika webbläsares kompatibilitet med IdP 2.0 (januari 2021)

*) Kompatibilitet för e-tjänster med s k uthoppslösningar kan behöva verifiera att inställningar för IE "Trusted Zones" på den tekniska stödsidan IdP med Edge och IE 11 och Trusted sites.
**) I och med att Microsoft har avslutat sitt stöd för och uppdateringar av IE11 samt legacy Edge är det svårare att få dessa webbläsare att fungera att fungera fullt ut, i alla tjänster, i alla användningsfall och konfigurationer på ett robust sätt. Uppdateras Microsoft OS och IE11/Edge med en ny och oprövad systemuppdatering garanteras det inte att det kommer att fungera initialt med alla kombinationer. 
***) I och med att Microsoft har avslutat sitt stöd för och uppdateringar av äldre Windowsversioner ges begränsad support för dessa.

****) Full funktionalitet kan ej garanteras med SITHS eID (OOB) klienter, se Användarhandbok - SITHS eID Windowsklient#Plattformskrav.