Innehållsförteckning
...
Expandera | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Inledning
Användning av SITHS e-legitimation
...
Expandera | ||
---|---|---|
| ||
Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort stöd för det/de API:er (NPAPI och ActiveX) som använts av tredjepartsmjukvara som Net iD plugin. Numer kan detta endast realiseras via Internet Explorer 11 och Active X. För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD. Två stora skillnader när det kommer till underskrifter med hjälp av Net iD plugin och Ineras nya Underskriftstjänst är:
|
...
Pin-cache
...
och Pin-SSO
Ankare | ||||
---|---|---|---|---|
|
Klicka nedan för att läsa mer om Net iD SSO/pinPin-cache och Pin-SSO
Expandera | ||
---|---|---|
| ||
Vid användning av SITHS med Net iD och autentiseringslösningar baserade på dubbelriktad TLS (mTLS) finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran .om legitimering/autentisering Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering eftersom användaren inte behöver ange sin pin-kod upprepade gånger eller när man ska logga in i en annan tjänst utan att ha lämnat datornI referensarkitekturen baseras Single Sign-On upplevelsen på att som hanterar autentisering via samma AD-miljö som den AD-miljö som hanterar användarens inloggning till själva Windows-datorn. I referensarkitekturen baseras Single Sign-On (SSO) upplevelsen på att man utfärdar identitetsintyg som är giltiga för inloggning i flera tjänster som använder samma IdP (enligt standarderna SAMLv2 och eller OIDC). | ||
Info | ||
Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte är aktiverad som default i:
Referenser |
Info |
---|
Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte behöver ange pin-kod igen så länge SITHS-kortet sitter kvar i kortläsaren. För att Användaren ska bli helt utloggad från en tjänst måste hen:
|
...
Inkludera sida | ||||
---|---|---|---|---|
|
...
Inloggning till Windows
...
Interaktiv inloggning till Windows
...
-dator med SITHS
...
eID på kort
Ankare | ||||
---|---|---|---|---|
|
Info |
---|
Support kring interaktiv inloggning till Windows-datorer med SITHS eID på kort hanteras dock inte via Inera. Hjälp med att aktivera detta och support vid problem hanteras dock inte via Inera.Om måste säkras via egna supportavtal om din organisation inte känner sig säker på att kunna hantera detta med egna resurser rekommenderar vi att ni upphandlar hjälp på området eller köper till extra supportavtal med våra nuvarande underlevernatörer SecMaker eller Cygate |
Inloggning till Windows med SITHS e-legitimation på SITHS-kort
...
. |
Klicka nedan för att läsa mer om inloggning till Windows-dator med SITHS eID på kort.
Expandera | ||||
---|---|---|---|---|
| ||||
Sammanfattning | title |
Om användaren har ett användarnamn (domäninloggningsnamn) angivet i HSA när certifikatet eller kortet beställs inkluderas det i certifikatet som ett “User Principal Name”. Certifikatet får då också övriga egenskaper som behövs för att fungera för det ska gå att använda vid interaktiv inloggning till Windows Därefter kan man följa instruktioner från Microsoft för hur man implementerar stöd för inloggning till Microsoft AD med certifikat från en tredjepartsutfärdare (SITHS), se Guidlines for enabling smart card logon with third-party certification authorities I dagsläget används klientprogramvaran Net iD Enterprise istället för angivande av användarnamn och lösenord. Vid denna typ av interaktiva inloggning kommer även inloggning till övriga applikationer som sköter autentisering med hjälp av samma samma AD-miljö att kunna hantera via PIN-SSO/Pin-cache, för mer information se rubriken Pin-cache och Pin-SSO FörutsättningarNågot av följande krävs för att ge stöd för interaktiv inloggning till Windows tillsammans med SITHS e-legitimation eID på SITHS- kort. Net iD:
Beroende på vilken paktering av Net iD som används kan man också skräddarsy användarupplevelsen vid inloggning till AD med egen grafik på inloggningsskärmen. Det finns också pakteringar av Net iD som använder Windows egna funktioner, men som bara tillför stöd för SITHS-korten, Net iD installeras då som en så kallad minidriver som används under Microsofts egen BaseCSP |
...
DetaljerInteraktiv inloggning till en dator (“lokal datorinloggning”) med Windows styrs enligt Windows-arkitekturen av s k autentiseringsmoduler (authentication providers) i operativsystemet. Microsoft rekommenderar inte att byta ut de inbyggda autentiseringsmodulerna till tredje-parts-programvara. Det gör att de autentiseringsmöjligheter som finns är begränsade till det som tillhandahålls i Windows. En sådan möjlighet är att använda smarta kort som följer Microsofts Minidriver-specifikation. I miljöer där säker åtkomst till applikationerna är det primära och klientdatorerna ses som delade arbetsplatser, kan det vara lämpligast att endast kräva SITHS-kort vid applikationsåtkomst och inte för inloggning till klientdatorn. Om man vill använda SITHS-kortet för den interaktiva inloggningen till Windows-datorer, kan SITHS installationspaket för Windows-datorer användas. I en av paketeringarna ingår en Minidriver med stöd för SITHS-korten. I paketeringen ingår även en funktion för att låsa upp ett låst SITHS-kort vid Windows inloggningsskärm med hjälp av upplåsningskod (puk). Notera att inloggningen med SITHS-kortet sker lokalt mot Windows/AD med hjälp av det inbyggda stödet för smarta kort i Windows. I Windows/AD-miljön ställs ut s.k. Kerberos-biljetter för att användaren ska få åtkomst till olika Windows-resurser. Denna teknik är dock inte kopplad till den IdP-baserade inloggning som beskrevs ovan, vilket medför att kortinloggning i Windows/AD i sig inte ger SSO-funktionalitet mot tjänster som är kopplade till IdP. Dock har Minidrivern stöd för cachning av pin på datorn vilket i vissa. Minidrivern eller Net iDs funktion är att agera drivrutin mot SITHS-kortet och importera certifikaten till Windows-datorns “MyStore” och därigenom göras dem valbara för användaren vid Windows inloggningsskärm förutsatt att AD-miljön har konfigurerats korrekt. Referenser |
Inloggning till applikationer i lokal Windows-miljö - Stöd för SITHS eID-appen och därmed Mobilt SITHS
Klicka nedan för att läsa mer om inloggning till applikationer efter att du loggat in till Windows-datorn då även användning av SITHS eID-appen och Mobilt SITHS stöds.
Expandera | |||||||
---|---|---|---|---|---|---|---|
| |||||||
|
...
Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)
...
Funktionscertifikat - Legitimering av server
Avsnittet ska kompletteras
För att utfärda SITHS Funktionscertifikat se SITHS Funktionscertifikat - Användarguide
...