Autentisering med SITHS eID “out-of-band” till applikationsresurser i Windows-miljö
Info |
---|
Detta scenario stödjer inte inloggning vid Windows-datorer via inloggningsskärmen. Utan endast inloggning till applikationer efter att användaren loggat in på Windows-datorn. För information om inloggning till Windows se avsnittet Interaktiv inloggning till Windows-dator med SITHS-kort |
SITHS eID på kort respektive mobil enhet (out-of-band) går att integrera som primära alternativt kompletterande autentiseringsmetoder i en lokal Windows-miljö. Detta möjliggör autentisering mot kopplade applikationsresurser i Windows-miljön, t.ex. Office365, Google Apps eller dylikt.
...
Interaktiv inloggning till Windows-dator med SITHS-kort
Interaktiv inloggning till en dator (“lokal datorinloggning”) med Windows styrs enligt Windows-arkitekturen av s k autentiseringsmoduler (authentication providers) i operativsystemet. Microsoft rekommenderar inte att byta ut de inbyggda autentiseringsmodulerna till tredje-parts-programvara. Det gör att de autentiseringsmöjligheter som finns är begränsade till det som tillhandahålls i Windows. En sådan möjlighet är att använda smarta kort som följer Microsofts Minidriver-specifikation.
I miljöer där säker åtkomst till applikationerna är det primära och klientdatorerna ses som delade arbetsplatser, kan det vara lämpligast att endast kräva SITHS-kort vid applikationsåtkomst och inte för inloggning till klientdatorn.
Om man vill använda SITHS-kortet för den interaktiva inloggningen till Windows-datorer, kan SITHS installationspaket för Windows-datorer användas. I en av paketeringarna ingår en Minidriver med stöd för SITHS-korten. I paketeringen ingår även en funktion för att låsa upp ett låst SITHS-kort vid Windows inloggningsskärm med hjälp av upplåsningskod (puk).
Notera att inloggningen med SITHS-kortet sker lokalt mot Windows/AD med hjälp av det inbyggda stödet för smarta kort i Windows. I Windows/AD-miljön ställs ut s.k. Kerberos-biljetter för att användaren ska få åtkomst till olika Windows-resurser. Denna teknik är dock inte kopplad till den IdP-baserade inloggning som beskrevs ovan, vilket medför att kortinloggning i Windows/AD i sig inte ger SSO-funktionalitet mot tjänster som är kopplade till IdP. Dock har Minidrivern stöd för cachning av pin på datorn vilket i vissa fall kan ge upplevd SSO för användaren (t.ex. om mTLS-teknik används mot tjänster).
Förutsättningar
Lokalt i er organisation
Installera paket för SITHS eID-app på aktuella Windows-datorer
Välj paketering med tillägget “MD” = Minidriver för att få med stödet för interaktiv kortinloggning till Windows/AD.
Konfigurera AD-installationen och aktuella AD-konton utifrån Microsoft krav på Smart card logon i Windows.