...

...

...

...

...

Innehåll

...

Introduktion

Autentiseringstjänsten tillhandahåller autentisering för legitimering och underskrift via SITHS eID Windowsklient och SITHS eID Mobilklient (SITHS eID-klienterna) för användare som har e-legitimation från Identifieringstjänst SITHS.

Denna guide har som syfte att stödja stötta organisationer som avser att ansluta en e-tjänst eller ansluta en lokal IdP till Inera Autentiseringstjänst (mönster 3 nedan).

Övergripande information och val av integrationsmönster

...

Integrationsmönster

Läs Att ansluta e-tjänster för en övergripande beskrivning av tillgängliga integrationsmönster och hjälp med att välja vilket integrationsmönster som är bäst för ert behov.

Det finns tre integrationsmönster för organisationer som vill koppla e-tjänster mot autentisering via Autentiseringstjänsten De tre integrationsmönstren som erbjuds vid autentisering av e-tjänsters användare via Autentiseringstjänsten och SITHS eID-klienterna.

1. Anslutning av en eller flera lokal e-tjänst tjänster till Ineras IdP
2. Anslutning av lokal IdP till Ineras IdP (proxy-anslutning)
3. Anslutning av lokal IdP till Autentiseringstjänsten (direktanslutning)

I integrationsmönster 1 och 2 ovan så kommunicerar den lokala e-tjänsten eller IdP:n med Ineras IdP via SAML- eller OIDC-protokollet. Ineras IdP är i sin tur ansluten till Autentiseringstjänsten och tillhandahåller dess autentiseringsmetoder som den lokala tjänsten kan välja att exponera för sina användare. I integrationsmönster 3 så ansluter den lokala IdP:n direkt till Autentiseringstjänsten via Ineras proprietära API. Alla tre integrationsmönstren beskrivs närmare under respektive rubrik nedan.Detta dokument innehåller framförallt information om direktanslutning till Autentiseringstjänsten (fall 3 ovan). Anslutningsguide till IdP beskriver motsvarande för de två första mönstren.

Övergripande information

Oavsett val av integrationsmönster så finns det hänsynstaganden som behöver hanteras av alla organisationer som avser att använda sig av Autentiseringstjänsten för legitimering och signering, dessa hänsynstaganden följer nedan.

Generellt anslutningsflöde

1. Anmäl intresse, teckna avtal med Inera för valt anslutningsmönster och därmed tjänst:
2. 1-2: Se

   Beställ tjänsten för information om hur en beställning av IdP/Autentiseringstjänst-anslutning går till

3. 3: Se Beställ anslutning SITHS TODO (denna är placeholder)

4. Fakturering påbörjas.
5. Fyll i relevant förstudiemall (anslutning mot IdP, 1 och 2 ovan, eller anslutning mot Autentiseringstjänsten) Autentiseringstjänst / Förstudie vid anslutning till IdP för testanslutning och skicka in för granskning via etjanster.inera.se/DokumentGranskning.
6. När förstudien är godkänd kan anslutning upprättas mellan den lokala tjänstens testmiljö och testmiljö hos Ineras tjänst (IdP eller Autentiseringstjänsten).
7. Testa anslutningen och funktionen i test.
8. Fyll i ny separat förstudie för produktionsanslutning, bifoga testrapport som visar att integrationen fungerar som tänkt för de tänkta nyttjandescenarierna.
9. När förstudien mot produktion är godkänd kan anslutning ske mellan produktionsmiljöerna.

Förutsättningar

...

• Användarna har SITHS eID personcertifikat på kort (används för inloggning via windowsklienten, samt för att utfärda Mobilt SITHS eID).
• Den anslutande tjänsten har ett SITHS funktionscertifikat.
• Det finns en regional/lokal supportorganisation och en utrullingsplan för att distribuera SITHS eID-klienterna till användarna och utbilda dem i användningen.
• Det finns en livscykelprocess för att hålla eID-klienterna uppdaterade.

Nätverk

• Användarnas SITHS eID-klienter behöver kunna kommunicera med Autentiseringstjänsten och Utfärdandeportalen.
• För att kunna utfärda/administrera Mobilt SITHS eID så måste användarnas browser kunna komma åt Utfärdandeportalen samt den instans av Ineras IdP som Utfärdandeportalen använder sig av för autentisering.
• Organisationer som sitter på Sjunet och internet samtidigt behöver välja över vilket nät och hur trafiken skall routas

Detta kan sammanfattas på matrisform.

...

Se Adresser, brandväggsöppningar & routing för mer detaljerad information.

Distribution av SITHS eID-klienterna

Mobilklienterna laddas ner via App Store eller Google Play. Windowsklienten tillgängliggörs i detta confluence-space och organisationer kan välja att distribuera den själva eller att dela länken med sina användare.

Se nedan för länkar till specifik information kring respektive applikation.

Windowsklienten

Användarhandbok - SITHS eID Windowsklient.

SAD - SITHS eID Windowsklient

Guide för supporterade enheter - SITHS eID Windowsklient

Mobilklienten

Användarhandbok - SITHS eID Mobilklient

SAD - SITHS eID Mobilklient

Guide för supporterade enheter - SITHS eID Mobilklient

Nerladdningslänkar

• Windows: Ladda ner SITHS eID Windowsklient
• iOS: https://apps.apple.com/se/app/siths-eid/id1498029661
• Android: https://play.google.com/store/apps/details?id=se.inera.authclient.produktion

Mönstren finns på Att ansluta e-tjänster så nedanstående kanske ska kortas/tas bort/komplettera den sidan?

...

Anslutning av lokal e-tjänst till Ineras IdP

En e-tjänst kan ansluta till Ineras IdP som en SAML SP (Service Provider) eller OIDC RP (Relying Party). Vilka autentiseringsmetoder som är tillgängliga för användarna konfigureras i IdP per e-tjänst, det går således att välja vid anslutningen att endast använda ett urval av de autentiseringsmetoder som Ineras IdP tillhandahåller.

• e-tjänsten väljer vilka autentiseringsmetoder som skall vara valbara för användare.
• e-tjänsten anger i sitt metadata (om SAML) eller i autentiseringsanropet (om OIDC) vilka användarattribut som önskas.
• Inera IdP tillhandahåller användarattribut som finns i den nationella HSA-katalogen samt presenterar uppdragsval för användaren.
• Inera IdP tolkar och förmedlar tillitsnivå (LoA) utifrån användarens certifikat.

Förstudie vid anslutning till IdP.

Se Guide till IdP för vidare information om anslutning till Ineras IdP.

Image Removed

Åtkomst till Autentiseringstjänsten för existerande anslutningar e-tjänst → IdP

E-tjänster som redan nu är anslutna till IdP för autentisering via mTLS m.h.a. Net iD Enterprise behöver utföra följande steg för att få åtkomst till autentisering via Autentiseringstjänsten och SITHS eID-klienterna:

1. Se över kraven som ställs gällande distribution och uppdatering av SITHS eID-klienterna.
2. Se över nätverksinställningar.
3. Inkom med en ny uppdaterad förstudie för testmiljö(er) där ni fyller i vilka autentiseringsmetoder ni vill ha aktiva.
4. Efter godkänd förstudie aktiveras autentiseringmetoderna för den anslutna e-tjänsten i IdP.
5. Verifiera funktionen i testmiljöerna
6. Inkom med en ny uppdaterad förstudie för prodmiljön där ni fyller i vilka autentiseringsmetoder ni vill ha aktiva.
   1. Bifoga testrapport från testmiljöerna.
   2. Ange önskat datum och tidpunkt för aktivering.
7. Efter godkänd förstudie så aktiveras autentiseringsmetoderna i IdP för den anslutna e-tjänsten.

Anslutning av lokal IdP till Ineras IdP (proxy-anslutning)

En lokal IdP kan anslutas som en OIDC RP eller SAML SP mot Ineras IdP och agera som en "proxy-IdP". Anslutningen sker (med några undantag) som en vanlig anslutning av en e-tjänst till Ineras IdP.

• Lokal IdP implementerar en SAML-SP eller en OIDC-RP som ansluts till Ineras IdP.
• Lokal IdP väljer vid anslutningen vilka autentiseringsmetoder som Inera IdP skall tillhandahålla för användare.
• Inera IdP tillhandahåller attribut som rör autentisering av användaren.
• Övriga användarattribut hämtar lokal IdP från den lokala katalogtjänsten. Lokal IdP ansvarar därmed för eventuellt uppdragsval.
• Lokal IdP beräknar tillitsnivå (LoA) utifrån certifikatsattribut som Ineras IdP tillhandahåller.
  • Se Tillitsnivå (LoA) för information om hur Ineras IdP tolkar tillitsnivåer.

Image Removed

Tillgängliga attribut för en lokal IdP

Förutom attribut som alltid anges i SAML-biljetten eller OIDC-tokens per default (se Attributlista), så är följande attribut tillgängliga för en lokal IdP att begära från Inera IdP:

...

amr

...

urn:sambi:names:attribute:x509IssuerName

http://www.w3.org/2000/09/xmldsig#X509IssuerName

...

http://www.w3.org/2000/09/xmldsig#X509SubjectName

...

Anslutning av lokal IdP till Autentiseringstjänsten (direktanslutning)

En lokal IdP kan anslutas direkt till Autentiseringstjänsten via Ineras proprietära API.

• Lokal IdP ansvarar för eventuellt val av inloggningsmetod
• Lokal IdP förmedlar autostarttoken till SITHS eID-klienterna
  • Se SITHS eID Appväxling - Exempel för inbäddade webbläsare ifall er IdP använder sig av en inbäddad webbläsare.
• Lokal IdP ansvarar för att tolka och förmedla tillitsnivå, utifrån information från användarcertifikatet som levereras från Autentiseringstjänsten.
  • Se Tillitsnivå (LoA) för information om hur Ineras IdP tolkar tillitsnivåer.

Image Removed

Förutsättningar för direktanslutning av lokal IdP till Autentiseringstjänsten

...

Utöver de angivna generella förutsättningarna i Gemensam anslutningsinformation behöver följande förutsättningar vara på plats;

Anslutande lokal IdP SKALL;

...

1. initalt förmedla HSA-id och IP-adress för inläsning i Autentiseringstjänsten
   1. Relying party API:et skyddas av bl a mTLS. För att kunna anropa detta API behöver IdP:n presentera sig med ett SITHS funktionscertifikat (utgivet av SITHS e-id Function CA v1) vars subject matchar tjänstens HSA-id som läses in i Autentiseringstjänsten vid anslutningstillfället.
   2. IP-adresslåsning (OBS! I produktion tillåts öppning endast för enstaka utpekade IP-adresser, inga IP-spann)
2. vara en central IdP för den anslutande organisationen. Varje kund tillåts ha en ansluten IdP, med eventuellt undantag för exempelvis de största regionerna.
   1. Denna begränsning ämnar dels till att möjliggöra följsamhet mot referensarkitekturen, som specificerar att autentisering skall centraliseras till en specialiserad tjänst.
   2. Att hålla nere antalet anslutna tjänster är också avgörande för att kunna säkerställa att anslutna system håller sina anslutningar uppdaterade i takt med att Autentiseringstjänsten förändras.
3. Den anslutande IdP:n måste hållas uppdaterad i takt med att Autentiseringstjänsten och dess API:er förändrasinom 6 månader kunna anpassa sig till nya versioner av API:et hos Autentiseringstjänsten.
   1. När nya versioner av API:erna släpps så kommer de gamla API-versionerna att ligga aktiva parallellt med de nya under en övergångsperiod på 6 månader under vilken den anslutande IdP:n måste anpassas för att använda den nya versionen av API:erna.
4. Den anslutande IdP:n stödjer stödja appväxling. IdP:n behöver kunna anropa det externa protokollet "siths://" för att kunna autostarta SITHS eID-klienterna vid inloggning "på samma enhet".
5. Relying party API:et skyddas av mTLS. För att kunna anropa detta API behöver IdP:n presentera sig med ett SITHS funktionscertifikat (SITHS e-id Function CA v1) vars subject matchar tjänstens HSA-id som läses in i Autentiseringstjänsten vid anslutningstillfället.

Teknisk Information

2. hantera
   1. QR kod,
   2. tolkning av tillitsnivå (LoA) och
   3. medarbetaruppdragsval
      
3. eventuellt hantera
   1. val av autentiseringsmetod och
      
   2. integration mot lokal katalogtjänst

Anslutande organisation SKALL;

1. upprätthålla kontaktvägar mot Inera:
   1. Minst en funktionsbrevlåda anges som kontaktpunkt i produktionsmiljö.
   2. Testanslutningar tillåts ha personkopplad epostadress
   3. prenumerara på nyhetsbrev från Inera och Säkerhetstjänster

Konnektivitet och nätverk

Se Nätverksinställningar för IAM-tjänster för mer detaljerad information.

SITHS eID-klienterna

Mobilklienterna laddas ner via App Store eller Google Play. Windowsklienten tillgängliggörs i detta confluence-space och organisationer kan välja att distribuera den själva eller att dela länken med sina användare.

Se SITHS eID-app (Autentiseringsklienter) för mer information.

Anslutning av lokal IdP till Autentiseringstjänsten (direktanslutning)

En lokal IdP kan anslutas direkt till Autentiseringstjänsten via Ineras proprietära API.

• Lokal IdP ansvarar för eventuellt val av inloggningsmetod
• Lokal IdP förmedlar autostarttoken till SITHS eID-klienterna
  • Se SITHS eID Appväxling - Exempel för inbäddade webbläsare ifall er IdP använder sig av en inbäddad webbläsare.
• Lokal IdP ansvarar för att tolka och förmedla tillitsnivå, utifrån information från användarcertifikatet som levereras från Autentiseringstjänsten.
  • Se Tillitsnivå (LoA) för information om hur Ineras IdP tolkar tillitsnivåer.

Image Added

Teknisk Information

Flödesbeskrivning

Image Added

1. Anslutande tjänst (RP) startar flödet med AT genom att skicka en förfrågan till "auth" med information om bland annat subject och autentiseringsförfrågans organisationstillhörighet. 
2. AT svarar på förfrågan till "auth" genom att skicka tillbaka en "orderRef" (referens till utfärdad autentiseringsförfrågan) samt en "autoStartToken". RP förmedlar denna autostarttoken till SITHS eID-klienten m.h.a. appväxling eller QR-kod.
3. RP kollar (förslagsvis kontinuerligt m.h.a pollning) mot "collect" hos AT för att se om AT fått autentiseringen legitimerad av subject. Till "collect" skickas tidigare mottagna "orderRef" som är kopplad till en autentiseringsförfrågan.
4. AT svarar på förfrågan till "collect" genom att skicka tillbaka en status och tillhörande data om huruvida kopplad autentiseringsförfrågan blivit legitimerad, om den blivit legitimerad är autentiseringsflödet nu avklarat.
   1. alternativt kan subject välja att avbryta ("cancel") en legitimering och då avslutas autentiseringsflödet och detta meddelas som svar på "collect".

Se ex. SAD IdP för information om hur Ineras IdP realiserar autentiseringsflödet med hjälp av Autentiseringstjänsten.

Autentiseringstjänstens API

Autentiseringstjänstens API är indelat i tre delar:

1. Relying Party API: API för att RP ska kunna starta och konsumera autentiserings- och signerings-förfrågningar. (../rp)
2. Client API: API API för att en klient ska kunna resolvera autentiseringsresolvera autentiserings- och signerings-förfrågningar. (../auth)
3. Registration Authority: API för att registrera och aktivera certifikat. (../ra)
   

Anslutande IdP:er kommunicerar via Relying Party API. 

Anrop där förmedling av certifikat krävs ska ske mot adresser som är prefixade med "secure". T.ex. för test: https://secure-authservice.idpmobiltsiths.ineratest.org/.

Swaggerdokumentation

Ankare
swaggerdokumentation swaggerdokumentation

Autentiseringstjänstens API-dokumentation tillgängliggörs via swagger på Autentiseringstjänsten med följande sökväg: "/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#".

Exempel för Testmiljön: 

https://authservice.idp.ineratest.org/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#

https://secure-authservice.idp.ineratest.org/. Nedan hittar du aktuella sökvägar för anslutning och dokumentation i swagger för respektive miljö.

Hänsynstaganden vid anrop mot /auth

Parametern "checkRevocation" anger huruvida Autentiseringstjänsten skall utföra revokeringskontroll på användarcertifikatet och bör sättas till "true". Det är fullt möjligt att utföra revokeringskontrollen i IdP efter autentiseringen är utförd, men det rekommenderas att delegera detta till Autentiseringstjänsten för att eventuella fel i autentiseringen skall upptäckas så tidigt som möjligt i flödet.

Parametern "enhancedAuthentication" måste sättas till "true". Den var initialt menad att kunna ange huruvida autostarttoken krävdes eller inte, men klienterna stödjer inte längre flödet utan autostarttoken. Parametern lär försvinna helt i framtida versioner.

Hänsynstaganden vid anrop mot /collect

Pollning mot autentiseringstjänsten ska göras från servern. Det vill säga en användare ska inte kunna påverka hur ofta pollningen mot autentiseringstjänsten sker (annat än att påbörja sin inloggning).
Rekommenderat tidsinterval för pollning är 2 sekunder.

Starta klienten och förmedla autostarttoken

Kopplingen till klienten skapas genom att klienten från IdP får en autostarttoken (som IdP från från Autentiseringstjänsten i svaret ifrån anropet till /auth) som klienten sedan använder i sitt anrop mot Autentiseringstjänsten. Förmedligen av autostarttoken till klienten kan ske på två sätt:

...