| Innehållsförteckning |
|---|
Bakgrund
Inera lanserar nu en ytterligare autentiseringsmetod som har stöd för nyare versioner av Android och iOS samt Windows 10. Detta skapar förutsättningar för autentisering i fler tekniska plattformar än dagens lösning, till exempel mobila enheter som telefoner och surfplattor. Autentiseringsmetoden är godkänd av Myndigheten för digital utveckling (DIGG) och får bära kvalitetsmärket Svensk e-legitimation.
...
Inera levererar idag smarta kort till regioner, kommuner, privata utförare, tjänsteleverantörer och några myndigheter. Totalt finns det över 550.000 innehavare av SITHS-kort.
Om vägledningen
Syftet med denna vägledning är att stödja kommuner, regioner och andra organisationer som har tjänster som ska konsumera den nya autentiseringsmetoden. Vägledningen ska hjälpa beslutsfattare i sina strategiska val och guida i införandet.
...
Vägledningen har samma disposition och upplägg som SKR:s vägledning om anslutning till eIDAS.
Målbild
Målbilden är att samtliga kommuner, regioner och andra SITHS-anslutna organisationer som har behov av en mobil autentiseringslösning adderar den nya autentiseringsmetoden i sin lösning för intygsutfärdande (Identity Provider, IdP). På längre sikt även använda samtliga funktioner som den nya autentiseringsmetoden erbjuder.
...
Inera stödjer kommuner och regioner genom att löpande ha direktkontakt med lokal införandeansvariga, publicera webinarier, förstärkt support, löpande uppdatera på publika webbsidor och nyhetsbrev.
Nya autentiseringsmetoden
Lösningen bygger på den gemensamma referensarkitekturen för identitet och åtkomst och ska verka för gemensam hållbar samverkan.
...
| Expandera | ||
|---|---|---|
| ||
SITHS eID i Android och iOS utfärdas genom att id-växling sker från ett aktivt SITHS-kort (SITHS eID på tillitsnivå 3) varpå ett nytt SITHS eID-certifikat skapas med nyckelmaterialet från klienten som grund. |
Konsumtionsmöjligheter
Det finns flera olika konsumtionsmöjligheter för den nya lösningen . Den nya autentiseringsmetoden är tillgänglig via:
...
| Expandera | ||
|---|---|---|
| ||
Det är inte ovanligt att autentiseringslösningar konsumeras på andra sätt än via SAML eller OpenID Connect (OIDC) i de egna eller de upphandlade e-tjänsterna (SP), exempelvis genom en direkt integration med en PKI-infrastruktur vilket är rätt vanligt i just SITHS-fallet. Ofta benämns denna typ av integration för mutual TLS (mTLS) Den nya autentiseringslösningen har inte den integrationsmöjligheten vilket särskilt måste beaktas. För att inventera vilka direktintegrationer med SITHS PKI som finns kan exempelvis anrop till SITHS spärrlistor detekteras i centrala kommunikationspunkter i den egna infrastrukturen där dessa anrop passerar. För detaljer om adresser se Nätverksinställningar för SITHS Certifikatsutfärdare. Notera att anrop görs även för att exempelvis spärrkontrollera SITHS-funktionscertifikat vilket behöver beaktas vid analysen av den insamlade trafiken. |
Vägval
Alla kommuner, regioner och andra SITHS-anslutna organisationer har olika förutsättningar att konsumera autentiseringsmetoder. Förslagen till väg fram tar utgångspunkt från idag vanligt förekommande lösningar för konsumtion av nationella och internationella e-legitimationer, e-tjänstelegitimationer och egna autentiseringslösningar.
...
| Expandera | ||
|---|---|---|
| ||
Om det är Ineras Säkerhetsjänster som används som IdP-tjänst har denna redan stöd för den nya autentiseringsmetoden. Det enda som behöver göras är att fylla i förstudien för den tekniska anslutningen.  Notera att Ineras Säkerhetstjänster idag inte konsumerar alla av DIGG godkända e-legitimationer. Det är viktigt att säkerställa de kommersiella villkoren med e-legitimationsutfärdarna och mellanhänderna om anslutningsvägarna till e-legitimationsutfärdarna förändras. Inte sällan är det den bakomliggande orsaken till att det finns en infratjänst, dvs den har upphandlats som en tjänst i syfte att förenkla konsumtion av flera e-legitimationer inom ramen för ett avtal. |
Single sign-on (SSO)
Det är fullt möjligt att etablera single sign-on för e-legitimationsinnehavarna i lösningarna som resoneras kring i denna vägledning. Det är dock viktigt att tänka på att en organisation kan ha flera olika lösningar för att konsumera e-legitimationer vilket tydliggörs i några av vägvalen. Det är heller inte ovanligt att en organisation har implementerat flera av lösningarna som presenteras i vägvalsdiskussionen. Det försvårar onekligen en övergripande användarupplevelse av single sign-on för e-legitimationsinnehavaren. Det tillhör dessutom ovanligheten att flera olika lösningar för att konsumera e-legitimationslösningar samverkar utan de uppträder oftast som enskilda öar, här beskrivet som domäner. Detta blir särskilt märkbart om det finns en önskan att etablera single sign-on i en lösning som inte är homogen vilket särskilt behöver beaktas. Inte minst i en vägvalsdiskussion.
...
I det exemplifierade scenariot återfinns samma e-legitimation bakom flera olika intygsutfärdare (IdP). För en användare som loggar in i en tjänst som använder en IdP och sedan i en annan tjänst som använder annan IdP är det långt från självklart att single sign-on inträffar. Det går att skapa en form av single sign-on på klientnivå, exempelvis genom att memorera pinkoden i den programvara som hanterar ett smart kort, men det är inte en önskvärd väg fram då det äventyrar säkerheten i lösningen.
Omfattning - arbetsinsats
Beroende på organisationens förutsättningar så är omfattningen av ett införande av en ytterligare autentiseringsmetod varierande.
...
I samtliga fall bör organisationer som ännu inte har förmågan att konsumera europeiska e-legitimationer inom ramen för eIDAS-förordningen se detta som ett tillfälle att även lösa detta. I SKR:s Vägledning för anslutning till eIDAS, vilken denna vägledning inspirerats av, finns förslag på väg fram utifrån likartade scenarios som beskrivs här.
Testning
Att ansluta till den nya autentiseringsmetoden innebär olika arbetsinsatser, beroende på de befintliga lösningarna för konsumtion av SITHS idag. Till exempel om direktintegration med SITHS PKI är gjord idag, kan förmågan till konsumtion via SAML eller OIDC vara omöjlig om inte nyutveckling görs enligt beskrivna scenarion.
...
Som en del av tekniska anslutningen ska de tekniska delarna i implementationen av en ny autentiseringsmetod testas. Exempelvis i scenario 1 och 2 där utbyten av SAML-metadata samt livscykelhantering av signeringsnycklar i intygsutfärdaren och i Ineras Säkerhetstjänster är av största vikt att kunna hantera.
Att ansluta
Oavsett vilket scenario som en organisation väljer medför det en teknisk anslutning till Inera. För att ansluta till den nya autentiseringsmetoden måste tjänsten beställas. Därefter kan den tekniska anslutningen med förstudie genomföras.
...