Innehållsförteckning
...
Expandera | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
|
...
Revisionshistorik
Klicka nedan för att visa revisionshistorik
Expandera | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Inledning
Referensarkitekturer för Legitimering och Underskrift
Inera har tillsammans med kommuner och regioner tagit fram arkitekturdokument för hur tjänster med behov av legitimering och underskrift ska integrera mot infrastrukturen för legitimering och underskrift av användare:
Klicka nedan för att läsa mer om Referensarkitekturerna
Expandera | ||
---|---|---|
| ||
Filmer som beskriver referensarkitekturerna återfinns här: Referensarkitekturer för IAM och e-underskrift, deras realisering på Inera - YouTube Dokument som beskriver referensarkitekturerna:
|
Övrig användning av SITHS-kort
SITHS-kort har även följande funktioner;
Inloggning till Windows
Inloggning till Citrix
Som visuell ID-handling
Inpassering, parkering etc. med hjälp av RFID (MIFARE Classic EV1)
Magnetband
Streckkod
För fullständig specifikation över beställningsbara SITHS-kort se Kortspecifikation och tillbehör med bilder - Bilaga 1.2 (Pdf)
...
Vid användning av SITHS för att legitimera medarbetare krävs att tjänsten implementerar en eller flera av de autentiseringslösningar som erbjuds för att konsumera SITHS e-legitimation. All användning av SITHS e-legitimation för användare bör ske enligt Referensarkitekturen för Identitet och åtkomsthantering
...
title | Visa mer information om SITHS Autentiseringslösningar |
---|
...
Applikationer för användning av SITHS e-legitimation
Här hittar du information om och länkar/instruktioner för hur du hämtar de applikationer som användaren behöver vid användning av SITHS e-legitimation: Programvaror och tillbehör för SITHS
Applikationer för out-of-band (SITHS eID-apparna inkl. Mobilt SITHS)
På nedan sidor hittar du information om den nya SITHS eID appen och Mobilt SITHS samt filmer och bilder som ytterligare beskriver Utfärdande av Mobilt SITHS, samt legitimering och underskrift med SITHS eID appen:
Info |
---|
SITHS eID-appen är under införande och är primärt till för legitimering och underskrift i tjänster som stödjer Referensarkitekturen för Identitet och åtkomsthantering |
Flöden för legitimering och underskrift med out-of-band
...
title | Flöden för legitimering respektive underskrift med SITHS eID appen |
---|
Legitimering med SITHS eID
...
Underskrift med SITHS eID
...
Applikationer för dubbelriktad TLS (mTLS)
SITHS eID-appen för Windows
Från och med version 2.0 av SITHS eID-appen för Windows kommer detta finnas paketeringar som installerar stöd för båda autentiseringslösningarna out-of-band och dubbelriktad TLS (mTLS).
För mer information om SITHS eID för Windows se:
Net iD Enterprise
Historiskt har dubbelriktad TLS hanterats med hjälp av klientapplikationen Net iD Enterprise. Det vanligaste är att tjänster som implementerat autentiseringslösningen dubbelriktad TLS för användare som har Net iD Enterprise använder någon eller båda av nedan:
Inbyggd funktionalitet i webbläsaren/applikationen och operativsystemet i kombination med Net iD eller;
Net iD plugin (legacy)
För inloggning med SITHS-kort till Windows eller via MTLS i en webbläsare/egenutvecklad applikation är det rekommenderat och även vanligast att använda inbyggd funktionalitet i operativsystemet i kombination med import av certifikat från SITHS-kortet med hjälp av Net iD Enterprise.
Net iD plugin för legitimering och/eller underskrift med SITHS
Observera |
---|
Net iD plugin stöds i dagsläget endast på Internet Explorer 11 förutsatt att användarens klientdator tillåter att det körs. Då Net iD Enterprise inte alltid kommer ingå i Ineras produktutbud rekommenderas tjänster som idag använder Net iD plugin för följande syften hänvisas istället till nya arkitektruella lösningar för att åstadkomma denna funktionalitet:
|
Expandera | ||
---|---|---|
| ||
Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort alternativt begränsat stödet för de API:er, NPAPI (Chrome/Firefox) och ActiveX (Internet Explorer), som använts av tredjepartsmjukvaror som Net iD plugin. Numer kan Net iD plugin endast användas via Active X i webbläsaren Internet Explorer 11 eller i Microsoft Edge för sidor som konfigurerats att starta i Internet Explorer 11 läge (läs mer om detta här SITHS Admin och Mina sidor i Microsoft Edge - Internet Explorer 11-läge). Detta förutsätter också att användarens klientdator tillåter körning av ActiveX plugins (disabled by default) och att just SecMakers plugin för Net iD tillåts (default deny). Detta kan styras med hjälp av AD-kontrollerade Grupp principer (GPO). Underskrift
Två stora skillnader när det kommer till underskrifter med hjälp av Net iD plugin och Ineras nya Underskriftstjänst är:
För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD. Vid underskrift via Net iD plugin har användaren en annan kod, Underskriftskoden. |
Flöde för legitimering med dubbelriktad TLS (mTLS)
...
title | Visa flöde för legitimering med dubbelriktad TLS (mTLS) |
---|
...
Flöde för underskrift med Net iD plugin
...
title | Flöden för legitimering respektive underskrift med Net iD |
---|
...
Inloggning och autentisering på Windows
...
Inläsning av SITHS eID på kort i Windows
...
title | Visa information om hur SITHS eID-certifikat från läses in från SITHS-kortet och hur de hanteras på Windows |
---|
...
Inloggning och autentisering på MacOS
Info |
---|
Utveckling av SITHS eID-app för MacOS är beställt. Mer information kommer. |
Inloggning och autentisering på Linux
Info |
---|
Endast autentiseringslösningen Dubbelriktad TLS/Mutual TLS (mTLS) stöd på Linux |
Inera levererar med hjälp av Thales SAC en PKCS#11 drivrutin som stödjer SITHS-korten på Linux.
Hur denna drivrutin installeras varierar beroende på vilken typ av Linuxoperativsystem som används. Användning av SITHS på Linux har primärt införts för användning tillsammans med tunna klienter. Se även information under Tunna klienter baserade på Linux
Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)
SITHS på tunna klientplattformar tillsammans med dubbelriktad TLS (mTLS)
Stöd för användning av SITHS på klientplattformar tillsammans med dubbelriktad TLS (mTLS) och Net iD ingår i licensen för Net iD som tillhandahålls av Ineras. För att få support och stöd vid uppsättning och felsökning krävs dock extra supportavtal med leverantören av Net iD alternativt med annan aktör på marknaden som tillhandahåller liknande tjänster.
Stöd för användning av SITHS på klientplattformar med dubbelriktad TLS (mTLS) och SITHS eID-appen beskrivs under rubriken nedan.
SITHS eID-appen på tunna klientplattformar
Inera tillhandahåller begränsad support för användning av SITHS eID-appen på tunna klienter och virtualiserade klientplattformar (VDI). För att erhålla denna support krävs att ni som kund tecknar ett extra supportavtal. Beställning av VDI-support kan göras via det formulär som hittas här: Beställ och ändra
...
För att möjliggöra läsning av SITHS-kort på VDI-lösningar där användaren når virtualiseringsdatorn från en tunn klient med operativsystemet Linux levererar Inera med hjälp av Thales SAC en PKCS#11 drivrutin för SITHS-korten på Linux. Denna drivrutin skapar förutsättningar för att SITHS-kortet sedan ska kunna användas tillsammans med valfri paketering av SITHS eID-appen i det virtualiserade operativsystemet (oftast Windows).
Denna PKCS#11 drivrutin distribueras automatiskt tillsammans med följande operativsystem:
IgelOS - 11.08.200 som släpps den 18 oktober 2022
Exempel på testfall som kan genomföras i lokal miljö
...
title | Visa regressionstestfall för inloggning till virtualiseringsplattformar |
---|
...
Utfärdande av SITHS eID
SITHS Admin
SITHS Admin används av ID-admintiratörer de organisationer som är anslutna till SITHS. I SITHS Admin jobbar ID-administratörer exempelvis med att:
Beställa SITHS eID till kort och reservkort för användare i sina organisationer
Beställa SITHS Funktionscertifikat till servrar och tjänster i sina organisationer
Sökvägar för inloggning i respektive miljö för SITHS Admin hittar du här: Nätverksinställningar för SITHS Certifikatsutfärdare
Plattformskrav
Operativsystem: Windows 10, Windows 11
Webbläsare:
Internet Explorer 11
Microsoft Edge i IE11 Mode, se guide här: SITHS Admin och Mina sidor i Microsoft Edge - Internet Explorer 11-läge
Info |
---|
ActiveX plugin från SecMaker (PluginCtl Class) respektive Gemalto (CaptureX) måste också tillåtas |
Klientprogramvaror:
Hämtas från: Programvaror och tillbehör för SITHS
För att logga in och använda SITHS Admin som ID-administratör behöver användaren följande applikationer
Net iD Enterprise
SIS Capture Station - för ID-administratörer som beställer Ordinarie SITHS-kort från Thales kortfabrik.
Mina sidor
Mina sidor används av en användare för att:
Hantera SITHS eID på sitt SITHS-kort. Exempelvis om hen ska hämta nya certifikat, spärra SITHS eID eller ta bort gamla certifikat.
Utfärda Mobilt SITHS
Sökvägar för inloggning i respektive miljö för SITHS Mina sidor hittar du här: Nätverksinställningar för SITHS Certifikatsutfärdare
Plattformskrav
Operativsystem: Windows 10, Windows 11
Webbläsare:
Internet Explorer 11
Microsoft Edge i IE11 Mode, se guide här: SITHS Admin och Mina sidor i Microsoft Edge - Internet Explorer 11-läge
Info |
---|
ActiveX plugin från SecMaker (PluginCtl Class) måste också tillåtas |
Klientprogramvara:
Hämtas från: Programvaror och tillbehör för SITHS
För att, som användare, logga in och använda SITHS Mina sidor fullt ut och kunna hämta nya och administrera befintliga certifikat på sitt kort behöver användaren följande applikationer:
...
|
...
Inledning
Referensarkitekturer för Legitimering och Underskrift
Inera har tillsammans med kommuner och regioner tagit fram arkitekturdokument för hur tjänster med behov av legitimering och underskrift ska integrera mot infrastrukturen för legitimering och underskrift av användare:
Klicka nedan för att läsa mer om Referensarkitekturerna
Expandera | ||
---|---|---|
| ||
Filmer som beskriver referensarkitekturerna återfinns här: Referensarkitekturer för IAM och e-underskrift, deras realisering på Inera - YouTube Dokument som beskriver referensarkitekturerna:
|
Övrig användning av SITHS-kort
SITHS-kort har även följande funktioner;
Inloggning till Windows
Inloggning till Citrix
Som visuell ID-handling
Inpassering, parkering etc. med hjälp av RFID (MIFARE Classic EV1)
Magnetband
Streckkod
För fullständig specifikation över beställningsbara SITHS-kort se Kortspecifikation och tillbehör med bilder - Bilaga 1.2 (Pdf)
...
Autentiseringslösningar för SITHS
Ankare | ||||
---|---|---|---|---|
|
Vid användning av SITHS för att legitimera medarbetare krävs att tjänsten implementerar en eller flera av de autentiseringslösningar som erbjuds för att konsumera SITHS e-legitimation. All användning av SITHS e-legitimation för användare bör ske enligt Referensarkitekturen för Identitet och åtkomsthantering
Expandera | ||||||
---|---|---|---|---|---|---|
| ||||||
|
...
Applikationer för användning av SITHS e-legitimation
Här hittar du information om och länkar/instruktioner för hur du hämtar de applikationer som användaren behöver vid användning av SITHS e-legitimation: Programvaror och tillbehör för SITHS
Applikationer för out-of-band (SITHS eID-apparna inkl. Mobilt SITHS)
På nedan sidor hittar du information om den nya SITHS eID appen och Mobilt SITHS samt filmer och bilder som ytterligare beskriver Utfärdande av Mobilt SITHS, samt legitimering och underskrift med SITHS eID appen:
Info |
---|
SITHS eID-appen är under införande och är primärt till för legitimering och underskrift i tjänster som stödjer Referensarkitekturen för Identitet och åtkomsthantering |
Flöden för legitimering och underskrift med out-of-band
Expandera | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Legitimering med SITHS eID
Underskrift med SITHS eID
|
Applikationer för dubbelriktad TLS (mTLS)
SITHS eID-appen för Windows
Från och med version 2.0 av SITHS eID-appen för Windows kommer detta finnas paketeringar som installerar stöd för båda autentiseringslösningarna out-of-band och dubbelriktad TLS (mTLS).
För mer information om SITHS eID för Windows se:
...
Inloggning och autentisering på Windows
Inkludera sida | ||||
---|---|---|---|---|
|
Inläsning av SITHS eID på kort i Windows
Expandera | ||||||
---|---|---|---|---|---|---|
| ||||||
|
...
Inloggning och autentisering på MacOS
Info |
---|
Utveckling av SITHS eID-app för MacOS är beställt. Mer information kommer. |
...
Inloggning och autentisering på Linux
Inkludera sida | ||||
---|---|---|---|---|
|
...
Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)
Inkludera sida | ||||
---|---|---|---|---|
|
...
Utfärdande av SITHS eID
SITHS Admin (gamla lösningen)
Info |
---|
SITHS Admin och gamla Mina sidor avvecklas under 2024 och ersätts av SITHS eID Portal och SITHS eID Mina sidor |
Expandera | ||||||
---|---|---|---|---|---|---|
| ||||||
|
SITHS eID Portal
Info |
---|
SITHS eID Portal lanseras under 2024 |
Inkludera sida | ||||
---|---|---|---|---|
|
...
Publicering till HSA
SITHS publicerar viss information om kort och certifikat till personobjekt och funktionsobjekt i HSA
Expandera | ||||||
---|---|---|---|---|---|---|
| ||||||
|
...
SITHS Testsida
Inkludera sida | ||||
---|---|---|---|---|
|
...
Funktionscertifikat - Legitimering av server
Avsnittet ska kompletteras
För att utfärda SITHS Funktionscertifikat se SITHS Funktionscertifikat - Användarguide
...
...
Sökvägar och brandväggsöppningar
Här hittar du information om sökvägar och brandväggsöppningar för SITHS
Expandera | ||||
---|---|---|---|---|
| ||||
|
...
|
...
Teknisk information om SITHS Certifikatsutfärdare
Rot- och utfärdarcertifikat (Installation av tillit)
Här hittar du information om SITHS rot- och utfärdarcertifikat, samt vad som gäller kring installation av tillit till dessa: Rot- och utfärdarcertifikat
Expandera | ||||||
---|---|---|---|---|---|---|
| ||||||
|
Spärr och spärrkontroll
Ett certifikat kan spärras för att förhindra vidare användning. Detta kan ske när man ska avsluta sin anställning, när man har tappat bort sitt SITHS eID eller när en server ska avvecklas.
...
Expandera | ||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||
Beställning och utförande av spärrEn spärr inom SITHS kan utföras enligt följande matris
Realisering av spärrNär en spärr har begärts av respektive Utförare kan det beroende på metod för kontroll ta en viss tid innan ett system kan få uppdaterad information om detta och använda den för att neka en användare att logga in. OCSPÄr en metod där ett system kontrollerar ett certifikat åt gången För denna metod realiseras spärren I princip omedelbart Varje OCSP-svar får en tidsstämpel som säger hur länge svaret får användas av förlitande part. För SITHS gäller:
CRLÄr en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part. Varje CRL får en tidsstämpel som säger hur länge den får användas av en förlitande part, för SITHS gäller: Spärrlistor för certifikat till slutanvändare och funktionscertifikat:
Spärrlistor som utfärdas av Root CA för utfärdande CAs:
| ||||||||||||||||||||||||||||||||
Info | ||||||||||||||||||||||||||||||||
Net iD Client är en annan produkt från SecMaker med liknande funktionalitet som Net iD Enterprise. Net iD Client ingår inte i Ineras avtal med Telia och stöds därför inte av Inera i dagsläget.
Spärrlistor som utfärdas av Root CA för utfärdande CAs:
|
Legitimering och underskrift av användare kan ske med olika tekniker. Samtliga är förknippade med någon form av inloggningsmetod, ofta med en tillhörande applikation som installeras på användarens dator.
...
SITHS eID appen som även innefattar Mobilt SITHSNet iD
...
RFID - Inpassering, parkering och lunchautomater mm.
...
Expandera | |||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||
MifarekodningAnvändning av sektorerSektor 0
Sektor 14På alla kortprodukter kodas de 16 sista siffrorna kortets serienummer i sektor 14 på både block 0 och block 1.
Sektor 15
På de kortprodukter som i fabrik förses med HSA-id certifikat kodas dessutom HSA-id i sektor 15.
Bindestrecket som separerar prefix och suffix utelämnas. {hsa-id prefix}-{hsa-id suffix} Övriga sektorerFår användas fritt av Ineras kunder. Applikations IDHealth Services Carelink AB, dvs Inera AB, är registerar som ägare AID ”A00C” hos NXP. Specifikationen beskriver att informationen läggs på en sektor med 4 block men skulle likaväl läggas på en sektor med 16 block. I detta fall så kommer MAD2 att användas. Åtkomststyrning och krypteringSektor 0Låst så att endast Leverantör av Kortproduktionstjänst kan ändra i MAD
Sektor 14 & 15Sektor 14 och 15 är skrivskyddade och är ej publikt åtkomliga varken för läsning eller skrivning. Kontakta Inera support om du behöver det hemliga värde som används som A- och B-nyckel och som kan användas för att läsa dessa sektorer
Övriga sektorerLämnas orörd med standard accessvillkor och nycklar
MIFARE-dokumentNedan finns en specifikation över vilken information som skrivs i detta chip och hur den kodas: Här finns också ett par guider för verifiering av dessa chip: |
...