InledningIneras tjänster för Identitet och åtkomsthantering (IAM-tjänster), Personuppgiftstjänsten och /wiki/spaces/CHDOK/pages/3475219675 finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing. Med IAM-tjänster avses: - IdP
- Autentiseringstjänst SITHS
- Utfärdandeportal för Mobilt SITHS
Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras IAM-tjänster eller anställda som administrerar spärrar i den nationella tjänsten.
Info |
---|
Kunder med Sjunetuppkoppling ska ha tagit del av avsnitten om: |
NätverksinställningarNedan hittar du information om om vilka Domännamn, IP-adresser, Subnät, Portar och protokoll som används samt en konnektivitetsmatris Observera |
---|
title | Proxy och TLS-inspektion |
---|
| Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från användarnas datorer till SITHS eID Portal, Mina sidor, Certificate Services, IdP eller Autentiseringstjänsten. Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö. |
Info |
---|
För information om Nätverksinställningar för SITHS i samband med Utfärdande av certifikat till smarta kort och Mobilt SITHS, samt för information om spärrkontroll för certifikat, se: Nätverksinställningar för SITHS |
Konnektivitet- Användarnas SITHS eID-klienter behöver kunna kommunicera med SITHS eID Portal, Mina sidor, Certificate Services och Autentiseringstjänsten
- För att kunna utfärda/administrera Mobilt SITHS eID så måste användarnas browser kunna komma åt SITHS eID Mina sidor den instans av Ineras IdP som SITHS eID Portal och Mina sidor använder sig av för autentisering.
- Organisationer som sitter på Sjunet och internet samtidigt behöver välja över vilket nät och hur trafiken skall routas (se avsnitt Nätverksinställningar för tjänster inom identitet och åtkomst#sjunet)
Detta kan sammanfattas på matrisform. Kommunikation behövs mellan.. | eID klient | Autentiseringstjänst | SITHS eID Portal/Mina sidor | Browser | Ineras IdP | Lokal IdP | SITHS eID-app |
| ja | ja |
|
|
| Autentiseringstjänst SITHS | ja |
|
|
| ja | ja | SITHS eID Portal/Mina sidor | ja |
|
| ja | ja |
| Browser |
|
| ja |
| ja |
| Ineras IdP |
| ja | ja | ja |
|
| Lokal IdP |
| ja |
|
|
|
|
IP-adresser Observera |
---|
För att säkerställa funktionalitet ska ni för öppna för trafik från hela nätverkssegmenten nedan. |
IPv4- 82.136.182.0/24
- 82.136.183.0/24
IPv6IP-adresser per miljö Expandera |
---|
title | Visa IP-adresser per miljö och tjänst |
---|
|
Miljö | Tjänst | Domännamn | Adress (IPv4) | Ny adress från hösten 2023 | Adress (IPv6) |
---|
TEST | IdP för autentisering | Landningssida https://idp.ineratest.org
| 82.136.182.16 |
|
|
---|
mTLS https://secure.idp.ineratest.org https://secure0.idp.ineratest.org https://secure1.idp.ineratest.org ...osv. https://secure9.idp.ineratest.org | 82.136.182.27
|
|
| Autentiseringstjänst SITHS för autentisering med SITHS eID-apparna | Anslutande SITHS eID-app https://authservice.test.siths.se
| 82.136.183.38 |
|
| Anslutande IdP https://secure-authservice.test.siths.se | 82.136.183.40 |
|
| Testportal | https://test.idp.ineratest.org | 82.136.182.16 |
|
| Personuppgiftstjänstens användargränssnitt | https://pu.ineratest.org https://ws.pu.ineratest.org https://api.pu.ineratest.org | 82.136.182.17 |
|
| /wiki/spaces/CHDOK/pages/3475353158 | https://sparradmin.ineratest.org https://ws.sparradmin.ineratest.org https://ws.sparrtjanst.ineratest.org | 82.136.182.18 |
|
| Samtyckestjänst | https://samtyckestjanst.ineratest.org https://ws.samtyckestjanst.ineratest.org | 82.136.182.19 |
|
| Loggtjänst | https://loggtjanst.ineratest.org https://ws.loggtjanst.ineratest.org | 82.136.182.20 |
|
| QA | IdP för autentisering | Landningssida https://idp.ineraqa.org | 82.136.182.9 |
|
|
---|
mTLS https://secure.idp.ineraqa.org https://secure0.idp.ineraqa.org https://secure1.idp.ineraqa.org ...osv. https://secure24.idp.ineraqa.org | 82.136.182.9 | From 12/9-2023: 82.136.182.29 |
| Autentiseringstjänst SITHS för autentisering med SITHS eID-apparna | Anslutande SITHS eID-app https://authservice.qa.siths.se
| 82.136.183.71 |
|
| Anslutande IdP https://secure-authservice.qa.siths.se | 82.136.183.72 |
|
| Testportal | https://test.idp.ineraqa.org | 82.136.182.9 |
|
| Personuppgiftstjänstens användargränssnitt | https://pu.ineraqa.org https://ws.pu.ineraqa.org https://api.pu.ineraqa.org | 82.136.182.21 |
|
| Spärradministration | https://sparradmin.ineraqa.org https://ws.sparradmin.ineraqa.org https://ws.sparrtjanst.ineraqa.org | 82.136.182.23 |
|
| Samtyckestjänst | https://samtyckestjanst.ineraqa.org https://ws.samtyckestjanst.ineraqa.org | 82.136.182.22 |
|
| Loggtjänst | https://loggtjanst.ineraqa.org https://ws.loggtjanst.ineraqa.org | 82.136.182.24 |
|
| PROD | IdP för autentisering | Landningssida https://idp.inera.se | 82.136.182.2 |
|
|
---|
mTLS https://secure.idp.inera.se https://secure0.idp.inera.se https://secure1.idp.inera.se ...osv. https://secure24.idp.inera.se | 82.136.182.2 | From 26/9-2023: 82.136.182.3 |
| Autentiseringstjänst SITHS för autentisering med SITHS eID | Anslutande SITHS eID-app https://authservice.siths.se
| 82.136.183.103 |
|
| Anslutande IdP https://secure-authservice.siths.se | 82.136.183.104 |
|
| Testportal | https://test.idp.inera.se | 82.136.182.2 |
|
| Personuppgiftstjänstens användargränssnitt | https://pu.inera.se https://admin-pu.inera.se https://ws.pu.inera.se https://api.pu.inera.se | 82.136.182.28 |
|
| Spärradministration | https://sparradmin.inera.se https://ws.sparradmin.inera.se https://ws.sparrtjanst.inera.se | 82.136.182.25 |
|
| Samtyckestjänst | https://samtyckestjanst.inera.se https://ws.samtyckestjanst.inera.se | 82.136.182.26 |
|
| Loggtjänst | https://loggtjanst.inera.se https://ws.loggtjanst.inera.se | 82.136.182.31 |
|
|
|
Portar- 443
- 80 (redirectas till https (443)
TransportkrypteringAllt trafik mot Ineras IAM-tjänster krypteras över HTTPS. För anrop mot vissa tjänster krävs Mutal TLS över HTTPS TLS-protokollLägsta TLS protokollversion som stöds är TLSv1.2 Cipher suitesEftersom Ineras IAM-tjänster i dagsläget har två olika driftleverantörer har olika tjänster vissa variationer i vilka Cipher Suites som stöds. Se Cipher Suites per protokoll och funktion genom att expandera nedan fält Expandera |
---|
title | Visa cipher suites över TLSv1.2 - Legitimeringstjänst IdP för medarbetare, Testsida för IdP, PU och Spärradministrationens gränssnitt |
---|
| Dubbelriktad TLSFör IdP används dubbelriktad TLS på domännamnen secure[0-24].idp.inera<miljö>.[se/org] och följande cipher suites Cipher suite |
---|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
Enkelriktad TLS- test.idp.inera<miljö>.[se/org]
- idp.inera<miljö>.[se/org]
Cipher suite |
---|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | TLS_RSA_WITH_AES_128_GCM_SHA256 | TLS_RSA_WITH_AES_256_GCM_SHA384 | TLS_RSA_WITH_AES_128_CBC_SHA | TLS_RSA_WITH_AES_256_CBC_SHA | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | TLS_RSA_WITH_3DES_EDE_CBC_SHA |
|
Expandera |
---|
title | Visa cipher suites över TLSv1.3 - Legitimeringstjänst IdP för medarbetare, Testsida för IdP, PU och Spärradministrationens gränssnitt |
---|
| Dubbelriktad TLS Info |
---|
OBS! För IdP används dubbelriktad TLS på domännamnen secure[0-24].idp.inera<miljö>.[se/org]. TLS 1.3 har INTE aktiverats för detta då det inte är kompatibelt med Net iD Enterprise |
Enkelriktad TLS- test.idp.inera<miljö>.[se/org]
- idp.inera<miljö>.[se/org]
Cipher suite |
---|
TLS_AES_128_GCM_SHA256 | TLS_AES_256_GCM_SHA384 | TLS_CHACHA20_POLY1305_SHA256 |
|
Expandera |
---|
title | Visa cipher suites över TLS 1.2 - SITHS eID Portal/Mina sidor (och dedikerad IdP), Certificate Services, Autentiseringstjänst |
---|
| Dubbelriktad TLS IdP använder inte dubbelriktad TLS hos denna driftleverantör. Används t ex. för anslutande IdP mot Autentiseringstjänsten på https://secure-authservice.<miljö>.siths.se Cipher suite |
---|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
Enkelriktad TLS Cipher suite |
---|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
|
Expandera |
---|
title | Visa cipher suites över TLS 1.3 - SITHS eID Portal/Mina sidor (och dedikerad IdP), Certificate Services, Autentiseringstjänst |
---|
| Dubbelriktad TLS IdP använder inte dubbelriktad TLS hos denna driftleverantör Enkelriktad TLS Cipher suite |
---|
TLS_AES_128_GCM_SHA256 | TLS_AES_256_GCM_SHA384 | TLS_CHACHA20_POLY1305_SHA256 |
|
SjunetIAM-tjänsterna finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing. Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras komponenter för Identitet- och åtkomsthantering Expandera |
---|
BakgrundIP-adressblocken som omnämns under rubriken "Inledning" har historiskt funnits endast på Sjunet, och kan tidigare ha routats antingen via Internet eller Sjunet beroende på: tidigare kommunikation från Sjunetförvaltningen om att alla dessa nät ska routas via Sjunet tidigare kommunikation från Ineras Projekt, IdP- eller SITHS förvaltning om att 82.136.182.0/24 respektive 82.136.183.0/24 ska routas via Internet eller Sjunet beroende på hur man vill styra sina användares trafik vid inloggning till IdP:n
Beroende på hur er organisation routar dessa nät kommer ev. brandväggsöppningar att behöva utföras antingen i brandväggen för internet eller i brandväggen för Sjunet. ÅtgärderBestäm om ni vill nå dessa komponenter via Internet eller Sjunet. Säkerställ att ni routar ovanstående adressblock rätt baserat på ovan val av routing - Säkerställ att er trafik NAT:as bakom en IP-adress som matchar den routing ni väljer:
- Routing Sjunet → NAT bakom en Sjunet IP-adress
- Routing Internet → NAT bakom en Internet IP-adress
|
WebbadresserHuvuddomäner
SubdomänerVarje subdomän inom Ineras komponenter för identitet- och åtkomsthanteringhar ett syfte som beskrivs nedan Expandera |
---|
Tjänst | Subdomän | Anteckning |
---|
IdP för autentisering | idp.* |
|
---|
secure.idp.* | Användarautentisering via mTLS och Net iD Enterprise | SITHS eID Portal | portal.<miljö>.siths.se |
|
---|
Mina sidor | minasidor.miljö.siths.se |
|
---|
IdP för SITHS eID Portal och Mina sidor | idp.<miljö>.siths.se |
|
---|
Certificate Services | websocket-certificateservices.<miljö>.siths.se cms-pki.<miljö>.siths.se api-certificateservices.<miljö>.siths.se |
|
---|
Autentiseringstjänst | authservice.<miljö>.siths.se |
|
---|
secure-authservice.<miljö>.siths.se | Kommunikation via mTLS mellan IdP och Autentiseringstjänsten. Behövs endast för kunder som har en direktanslutning lokal IdP → Autentiseringstjänsten. | Testportal | test.idp.* |
|
---|
Tjänst | Subdomän | Anteckning |
---|
Personuppgiftstjänsten | pu.* | Användargränssnitt för person- och kontaktuppgifter |
---|
Spärradministration | sparradmin.* | Användargränssnitt för administration av spärrar inom patientdatalagen |
---|
|
Fullständiga adresserNedan finns en tabell över samtliga hostnamn/adresser som används av Ineras komponenter för identitet- och åtkomsthantering samt övriga tjänster Expandera |
---|
Miljö | IdP för autentisering | IdP för SITHS eID Portal och Mina sidor | Certificate Services | Autentiseringstjänst | SITHS eID Portal | Mina sidor | Testportal |
---|
TEST | | idp.test.siths.se | websocket-certificateservices.test.siths.se cms-pki.test.siths.se api-certificateservices.test.siths.se | SITHS eID App → authservice.test.siths.se IdP → secure-authservice.test.siths.se | portal.test.siths.se Används för systemtester och acceptanstester av Inera och våra leverantörer | minasidor.test.siths.se Används för systemtester och acceptanstester av Inera och våra leverantörer. Kunder kan utfärda Mobilt SITHS här med hjälp av SITHS-kort i QA
| test.idp.ineratest.org |
---|
QA | | idp.qa.siths.se
| websocket-certificateservices.qa.siths.se cms-pki.qa.siths.se api-certificateservices.qa.siths.se | SITHS eID App → authservice.qa.siths.se IdP → secure-authservice.qa.siths.se | portal.qa.siths.se | minasidor.qa.siths.se | test.idp.ineraqa.org |
---|
PROD | | idp.siths.se
| websocket-certificateservices.siths.se cms-pki.siths.se api-certificateservices.siths.se | SITHS eID App → authservice.siths.se
IdP → secure-authservice.siths.se
| portal.siths.se | minasidor.siths.se | test.idp.inera.se |
---|
Övriga tjänster Miljö | Personuppgiftstjänsten | Spärradministration |
---|
TEST | | |
---|
QA | N/A | N/A |
---|
PROD | | |
---|
|
Anslutning av tjänst eller IdP → Ineras IdPFör att i en egen tjänst möjliggöra legitimering av användare via Ineras IdP För e-tjänster eller lokala IdP:er som skall ansluta till IdP för autentisering. - SAML-metadata exponeras på /saml
- OIDC-metadata exponeras på /oidc/.well-known/openid-configuration
Direktanslutning lokal IdP → AutentiseringstjänstenFör lokala IdP:er som skall ansluta direkt till Autentiseringstjänsten via Relying Party API enligt Anslutningsguide till Autentiseringstjänsten. Integrationer mot externa systemIdP:ns integration mot HSA-miljöerIdP interagrerar direkt mot HSA-katalogen för att hämta användarattribut, ej via den nationella tjänsteplattformen.
För Spärradministrationstjänstens integrationer, se /wiki/spaces/CHDOK/pages/3475217939 Personuppgifttjänstens gränssnitt har beroenden till IdP för slutanvändares autentisering samt för Skatteverkets tjänst Navet, se Översikten i tjänstens SAD. Felsökningsguide Ankare |
---|
| Felsökningsguide |
---|
| Felsökningsguide |
---|
|
Innehåller en översikt och målgruppsanpassade felsökningsguider
Expandera |
---|
title | Allmän felsökning för |
---|
|
|