Jämförda versioner

Gammal version 46

changes.mady.by.user Christoffer Johansson

Sparat den

jämfört med

Ny version 47

changes.mady.by.user Christoffer Johansson

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

Innehållsförteckning

...

Expandera
titleVisa revisionshistorik

Version

Datum

Författare

Kommentar

1.0

2021-01-22

SITHS Förvaltning

Etabering av sidan.

1.1

2021-02-02

SITHS Förvaltning

Tillägg av avsnitt kring Inloggning till Windows och ändring av struktur på sidan.

1.2

2021-02-11

SITHS Förvaltning

Uppdatering av hur spärrkontroll fungerar

1.21

2021-02-15

SITHS Förvaltning

Teknisk beskrivning av SITHS Root CA ersatt av denna sida

1.22

2021-02-22

SITHS Förvaltning

Tillägg av information om plattformskrav för SITHS Admin och Mina sidor

1.23

2021-03-01

SITHS Förvaltning

Tillägg av information om att stänga av strömspartläge och använda så nya kortläsardrivrutiner som möjligt.

1.3

SITHS Förvaltning

Tillägg av rubrik för SITHS Testsida

1.31

SITHS Förvaltning

Mindre textjusteringar och tillägg av spärrlistors giltighetstid för Utfärdande CAs

1.32

SITHS Förvaltning

Tillägg av information om pin-cache.

1.33

SITHS Förvaltning

Lagt till information om Underskrift och Förnyad autentisering utan Net iD Enterprise/Plugin

1.34

SITHS Förvaltning

Uppdaterade informationen om RFID och MIFARE

1.35

SITHS Förvaltning

Lade in avgränsare mellan avsnitt

1.36

SITHS Förvaltning

Lade till länk till Edge i IE11 Mode för både Mina Sidor och SITHS-Admins plattformskrav

1.37

SITHS Förvaltning

Lade till länk till Edge i IE11 Mode för både Mina Sidor och SITHS-Admins plattformskrav

1.38

SITHS Förvaltning

Lade till länkar till information om alternativa sätt att logga in i Windows med SITHS eID-appen och information om begränsad support för användning av SITHS eID-appen tillsammans med virtualiserade klientplattformar (VDI)

1.40

SITHS Förvaltning

Justerade information om olika varianter av inloggning för Windows:

  • Interaktiv inloggning till Windows-dator

  • Stöd för ytterligare autentiseringslösningar för inloggning till applikationer efter inloggningen till Windows-datorn

Förtydliganden kring Pin-cache/Pin-SSO

Inledning

Användning av SITHS e-legitimation

...

Expandera
titleUnderskrift med Net iD Plugin

Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort stöd för det/de API:er (NPAPI och ActiveX) som använts av tredjepartsmjukvara som Net iD plugin. Numer kan detta endast realiseras via Internet Explorer 11 och Active X.

För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD.

Två stora skillnader när det kommer till underskrifter med hjälp av Net iD plugin och Ineras nya Underskriftstjänst är:

  • Underskriftslösningen med Net iD plugin blir proprietär för varje tjänst som bygger en integration mot Net iD plugin. Varpå hela ansvaret för den juridiska giltigheten för underskriften vilar på den organisation som utvecklat och/eller beställt utveckling av den tjänst som integrerar mot Net iD plugin för att skapa elektroniska underskrifter

  • Formatet för själva underskriften hanteras helt av den egna tjänsten. Ineras Underskriftstjänst följer DIGGs specifikationer och använder nationellt och internationellt godkända underskriftsformat.

...

Pin-cache

...

och Pin-SSO
Ankare
pin_cache
pin_cache

Klicka nedan för att läsa mer om Net iD SSO/pinPin-cache och Pin-SSO

Expandera
titleNet iD SSO/pinLäs mer om Pin-cache och PIN-SSO

Vid användning av SITHS med Net iD och autentiseringslösningar baserade på dubbelriktad TLS (mTLS) finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran .om legitimering/autentisering

Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering eftersom användaren inte behöver ange sin pin-kod upprepade gånger eller när man ska logga in i en annan tjänst utan att ha lämnat datornI referensarkitekturen baseras Single Sign-On upplevelsen på att som hanterar autentisering via samma AD-miljö som den AD-miljö som hanterar användarens inloggning till själva Windows-datorn.

I referensarkitekturen baseras Single Sign-On (SSO) upplevelsen på att man utfärdar identitetsintyg som är giltiga för inloggning i flera tjänster som använder samma IdP (enligt standarderna SAMLv2 och eller OIDC).

Info

Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte är aktiverad som default i:

  • Paketeringar av Net iD Enterprise under Ineras licens

  • De paketeringar av SITHS eID-appen som har tilläget“MD”

Referenser

Info

Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte behöver ange pin-kod igen så länge SITHS-kortet sitter kvar i kortläsaren. För att Användaren ska bli helt utloggad från en tjänst måste hen:

  1. Använda tjänstens egen funktion för utloggning

  2. Avlägsna SITHS-kortet från kortläsaren

  3. Utöver detta bör även alla tjänster komplettera med en egen inaktivitetstimeout. Denna hjälper dock inte om användare glömmer att avlägsna sitt SITHS-kort.

...

Inkludera sida
Information om SITHS Testsida
Information om SITHS Testsida

...

Inloggning till Windows

...

Interaktiv inloggning till Windows

...

-dator med SITHS

...

eID på kort
Ankare
interaktiv_windowsinloggning
interaktiv_windowsinloggning

Info

Support kring interaktiv inloggning till Windows-datorer med SITHS eID på kort hanteras dock inte via Inera. Hjälp med att aktivera detta och support vid problem hanteras dock inte via Inera.Om måste säkras via egna supportavtal om din organisation inte känner sig säker på att kunna hantera detta med egna resurser rekommenderar vi att ni upphandlar hjälp på området eller köper till extra supportavtal med våra nuvarande underlevernatörer SecMaker eller Cygate

Inloggning till Windows med SITHS e-legitimation på SITHS-kort

...

.

Klicka nedan för att läsa mer om inloggning till Windows-dator med SITHS eID på kort.

expandInloggning till Windows med SITHS e-legitimation på SITHS-kort
Expandera
titleInloggning till Windows med SITHS e-legitimation på SITHS-kort

Sammanfattning

title
Observera

Från och med maj 2022 har Windows påbörjat en förändring som i grunden förändrar hur interektiv inloggning till Windows-dator med SITHS eID på kort kommer att funger. För mer information se Instruktion - Förändring vid inloggning till Windows med SITHS-certifikat

Om användaren har ett användarnamn (domäninloggningsnamn) angivet i HSA när certifikatet eller kortet beställs inkluderas det i certifikatet som ett “User Principal Name”. Certifikatet får då också övriga egenskaper som behövs för att fungera för det ska gå att använda vid interaktiv inloggning till Windows

Därefter kan man följa instruktioner från Microsoft för hur man implementerar stöd för inloggning till Microsoft AD med certifikat från en tredjepartsutfärdare (SITHS), se Guidlines for enabling smart card logon with third-party certification authorities

I dagsläget används klientprogramvaran Net iD Enterprise istället för angivande av användarnamn och lösenord.

Vid denna typ av interaktiva inloggning kommer även inloggning till övriga applikationer som sköter autentisering med hjälp av samma samma AD-miljö att kunna hantera via PIN-SSO/Pin-cache, för mer information se rubriken Pin-cache och Pin-SSO

Förutsättningar

Något av följande krävs för att ge stöd för interaktiv inloggning till Windows tillsammans med SITHS e-legitimation eID SITHS- kort.

Net iD

:

  • Lokalt i er organisation

    • Net iD Enterprise

importerar certifikaten från SITHS-kortet till Windows egen certifikatslagring. Detta följer samma logik som Mutual TLS för legitimering med SITHS och Net iD

Beroende på vilken paktering av Net iD som används kan man också skräddarsy användarupplevelsen vid inloggning till AD med egen grafik på inloggningsskärmen.

Det finns också pakteringar av Net iD som använder Windows egna funktioner, men som bara tillför stöd för SITHS-korten, Net iD installeras då som en så kallad minidriver som används under Microsofts egen BaseCSP

...

    • Installera paket för SITHS eID-app på aktuella Windows-datorer

      • Välj paketering med tillägget “MD” = Minidriver för att få med stödet för interaktiv kortinloggning till Windows/AD.

    • Konfigurera AD-installationen och aktuella AD-konton enligt instruktioner från Microsoft för hur man implementerar stöd för inloggning till Microsoft AD med certifikat från en tredjepartsutfärdare (SITHS), se Guidlines for enabling smart card logon with third-party certification authorities

Detaljer

Interaktiv inloggning till en dator (“lokal datorinloggning”) med Windows styrs enligt Windows-arkitekturen av s k autentiseringsmoduler (authentication providers) i operativsystemet. Microsoft rekommenderar inte att byta ut de inbyggda autentiseringsmodulerna till tredje-parts-programvara. Det gör att de autentiseringsmöjligheter som finns är begränsade till det som tillhandahålls i Windows. En sådan möjlighet är att använda smarta kort som följer Microsofts Minidriver-specifikation.

I miljöer där säker åtkomst till applikationerna är det primära och klientdatorerna ses som delade arbetsplatser, kan det vara lämpligast att endast kräva SITHS-kort vid applikationsåtkomst och inte för inloggning till klientdatorn.

Om man vill använda SITHS-kortet för den interaktiva inloggningen till Windows-datorer, kan SITHS installationspaket för Windows-datorer användas. I en av paketeringarna ingår en Minidriver med stöd för SITHS-korten. I paketeringen ingår även en funktion för att låsa upp ett låst SITHS-kort vid Windows inloggningsskärm med hjälp av upplåsningskod (puk).

Notera att inloggningen med SITHS-kortet sker lokalt mot Windows/AD med hjälp av det inbyggda stödet för smarta kort i Windows. I Windows/AD-miljön ställs ut s.k. Kerberos-biljetter för att användaren ska få åtkomst till olika Windows-resurser. Denna teknik är dock inte kopplad till den IdP-baserade inloggning som beskrevs ovan, vilket medför att kortinloggning i Windows/AD i sig inte ger SSO-funktionalitet mot tjänster som är kopplade till IdP. Dock har Minidrivern stöd för cachning av pin på datorn vilket i vissa.

Minidrivern eller Net iDs funktion är att agera drivrutin mot SITHS-kortet och importera certifikaten till Windows-datorns “MyStore” och därigenom göras dem valbara för användaren vid Windows inloggningsskärm förutsatt att AD-miljön har konfigurerats korrekt.

Referenser

Inloggning till applikationer i lokal Windows-miljö - Stöd för SITHS eID-appen och därmed Mobilt SITHS

Klicka nedan för att läsa mer om inloggning till applikationer efter att du loggat in till Windows-datorn då även användning av SITHS eID-appen och Mobilt SITHS stöds.

Expandera
titleVisa information om andra tekniker för inloggning till Windows
Inkludera sida
Andra tekniker för autentisering i Windows-miljö med SITHS eID inkl. Mobilt SITHSAndra tekniker för autentisering i Windows-miljö med SITHS eID inkl. Mobilt SITHSInloggning till Windows
Inloggning till Windows

...

Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)

...

Funktionscertifikat - Legitimering av server

Avsnittet ska kompletteras

För att utfärda SITHS Funktionscertifikat se SITHS Funktionscertifikat - Användarguide

...