Versions Compared

Version Old Version 30 New Version Current
Changes made by

Tobias Haraldsson

Fadi.Jazzar@inera.se

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Expand
titleVisa revisionshistorik

Version

Datum

Författare

Kommentar

1.0

SITHS Förvaltning

Etablering av sidan.

1.01

SITHS Förvaltning

Uppdatering av en felaktig länkning

1.1

SITHS Förvaltning

Lade till information om hur användarupplevelsen är vid interaktiv inloggning till Windows, samt upplåsning av kort vi inloggningsskärmen.

1.11

SITHS Förvaltning

Lade till länk till SITHS sida för programvaror

1.12

SITHS Förvaltning

Lade till länk för information om PIN-SSO till skillnad mot IdP-baserad SSO under rubriken Interaktiv inloggning till Windows med SAC minidriver

1.13

SITHS Förvaltning

borttag av Net iD

Interaktiv inloggning till Windows-dator med SITHS eID på kort
Anchor
interaktiv_windowsinloggning
interaktiv_windowsinloggning

...

Expand
titleInloggning till Windows med SITHS e-legitimation på SITHS-kort

Sammanfattning

Note

Från och med maj 2022 har Windows påbörjat en förändring som i grunden förändrar hur interaktiv inloggning till Windows-dator med SITHS eID på kort kommer att fungera. För mer information se Instruktion - Förändring vid inloggning till Windows med SITHS-certifikat

Om användaren har ett användarnamn (domäninloggningsnamn) angivet i HSA när certifikatet eller kortet beställs inkluderas det i certifikatet som ett “User Principal Name”. Certifikatet får då också övriga egenskaper som behövs för att det ska gå att använda vid interaktiv inloggning till Windows istället för angivande av användarnamn och lösenord.

Vid denna typ av interaktiv inloggning kommer även inloggning till övriga applikationer som hanterar autentisering med hjälp av samma samma AD-miljö att kunna hanteras via PIN-SSO/Pin-cache. För mer information se rubriken Autentiseringslösningar för SITHS på denna sida.

Förutsättningar

Något av följande krävs för att ge stöd för interaktiv inloggning till Windows tillsammans med SITHS eID på kort:

Lokalt i er organisation

  1. Att ni installerar EN av nedan mjukvaror mjukvara på klientdatorerna i er organisation. Information om och nedladdning av mjukvaror för SITHS finns här Programvaror och tillbehör för SITHS

    Alt 1 -

    • Installera SITHS eID-app med tillägget MD (minidriver) på aktuella Windows-datorer

    Alt 2 - Net iD Enterprise.

  2. Att ni konfigurerar er lokala AD-installation och aktuella AD-konton enligt instruktioner från Microsoft för hur man implementerar stöd för inloggning till Microsoft AD med certifikat från en tredjepartsutfärdare (SITHS)

    1. Se Guidlines for enabling smart card logon with third-party certification authorities

    2. Samt from. 2022Instruktion - Förändring vid inloggning till Windows med SITHS-certifikat

Detaljer

Interaktiv inloggning till en dator (“lokal datorinloggning”) med Windows styrs enligt Windows-arkitekturen av s k autentiseringsmoduler (authentication providers) i operativsystemet. Microsoft rekommenderar inte att byta ut de inbyggda autentiseringsmodulerna till tredje-parts-programvara. Det gör att de autentiseringsmöjligheter som finns är begränsade till det som tillhandahålls i Windows. En sådan möjlighet är att använda smarta kort som följer Microsofts Minidriver-specifikation.

I miljöer där säker åtkomst till applikationerna är det primära och klientdatorerna ses som delade arbetsplatser, kan det vara lämpligast att endast kräva SITHS-kort vid applikationsåtkomst och inte för inloggning till klientdatorn.

Om man vill använda SITHS-kortet för den interaktiva inloggningen till Windows-datorer, kan SITHS eID-appen för Windows installationspaket med tillägget MD användas. I dessa paketeringar ingår

  • en minidriver (SAC minidriver) med stöd för SITHS-korten.

  • en funktion för att låsa upp ett låst SITHS-kort vid Windows inloggningsskärm med hjälp av upplåsningskod (puk).

Interaktiv inloggning till Windows med SAC minidriver

  1. Välj ditt användarnamn

  2. Välj Inloggningsalternativ

  3. Välj smartkortssymbolen

    1. Det kan finnas flera om flera kortläsare och kort är anslutna till datorn

  4. Ange din pin-kod

Notera att inloggningen med SITHS-kortet sker lokalt mot Windows/AD med hjälp av det inbyggda stödet för smarta kort i Windows. I Windows/AD-miljön ställs s.k. Kerberos-biljetter ut för att användaren ska få åtkomst till olika Windows-resurser. Denna teknik är dock inte kopplad till den IdP-baserade inloggning som beskrevs ovan, vilket medför att kortinloggning i Windows/AD i sig inte ger SSO-funktionalitet mot tjänster som är kopplade till IdP.

SITHS eID för Windows i MD-paketnering (med SAC minidriver) och Net iD i standardutförande en funktion som för SSO mot det smarta kortet som också behöver beaktas utöver eventuell IdP-baserad SSO. Läs mer om PIN-cache/PIN-SSO på denna sida: https://inera.atlassian.net/wiki/spaces/IAM/pages/2895216838/Autentiseringsl+sningar+f+r+SITHS#Pin-cache-och-Pin-SSO.

SITHS eID för Windows i MD-paketering (med SAC minidriver) eller Net iDs funktion är att agera drivrutin mot SITHS-kortet och importera certifikaten till Windows-datorns “MyStore” och därigenom göras dem valbara för användaren vid Windows inloggningsskärm förutsatt att AD-miljön har konfigurerats korrekt.

Upplåsning av blockerat kort med PUK vid Windows inloggningsskärm med SAC minidriver

Steg 1

Steg 2

Steg 3

Steg 4

Felhantering

Referenser

...