Innehållsförteckning
...
Expandera | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Inledning
Användning av SITHS e-legitimation
Användning av SITHS-certifikat kan delas in enligt nedan vid inloggning till tjänster:
...
Mutual TLS:
Användare - för legitimering och underskrift av användare med hjälp av Net iD
Servrar - för identifiering av tjänster vid kommunikation mellan IT-system
...
|
Inledning
Referensarkitekturer för Legitimering och Underskrift
Inera har tillsammans med kommuner och regioner tagit fram arkitekturdokument för hur tjänster med behov av legitimering och underskrift ska integrera mot infrastrukturen för legitimering och underskrift av användare:
Klicka nedan för att läsa mer om Referensarkitekturerna
Expandera | ||
---|---|---|
|
Inera har tillsammans med kommuner och regioner tagit fram arkitekturdokument för hur tjänster med behov av legitimering och underskrift ska integrera mot infrastrukturen för legitimering och underskrift av användare:
Klicka nedan för att läsa mer om Referensarkitekturerna
Expandera | ||
---|---|---|
| ||
Filmer som beskriver referensarkitekturerna återfinns här: Referensarkitekturer för IAM och Filmer som beskriver referensarkitekturerna återfinns här: Referensarkitekturer för IAM och e-underskrift, deras realisering på Inera - YouTube Dokument som beskriver referensarkitekturerna:
|
...
För fullständig specifikation över beställningsbara SITHS-kort se Kortspecifikation och tillbehör med bilder - Bilaga 1.2 (Pdf)
...
Autentiseringslösningar för SITHS
...
Sökvägar och brandväggsöppningar
Här hittar du information om sökvägar och brandväggsöppningar för SITHS: Nätverksinställningar - Certifikatsutfärdare
...
Expandera | ||||||
---|---|---|---|---|---|---|
| ||||||
|
...
Applikationer för användning av SITHS e-legitimation
Här hittar du information om SITHS rot- och utfärdarcertifikat, samt vad som gäller kring installation av tillit till dessa: Rot- och utfärdarcertifikat
Spärr och spärrkontroll
Ett certifikat kan spärras för att förhindra vidare användning. Detta kan ske när man ska avsluta sin anställning, när man har tappat bort sitt SITHS eID eller när en server ska avvecklas.
Klicka nedan om du vill läsa mer om hur SITHS spärrkontroll
...
title | Visa information om hur spärr fungerar inom SITHS |
---|
Beställning och utförande av spärr
En spärr inom SITHS kan utföras enligt följande matris
...
Aktör/Beställare
...
Utförare
...
Metod
...
Kommentar
...
Användare
...
Nationell spärrfunktion hos Telia Kundtjänst
...
Telefon till 020-32 32 62
...
Ej funktionscertifikat
...
Användare
...
Användare
...
Mina sidor
...
Ej funktionscertifikat
...
Användare
...
ID-administratör
SITHS Admin
...
Användare/Innehavare
...
SITHS Föraltning
...
SITHS Admin
...
Vid anmälan om missbruk
...
ID-administratör
...
ID-administratör
...
SITHS Admin
...
SITHS PA
...
SITHS Förvaltning
...
SITHS Admin
...
Kortproduktion
...
Kortproduktion
...
Via API om det är problem att producera kort
Realisering av spärr
När en spärr har begärts av respektive Utförare kan det beroende på metod för kontroll ta en viss tid innan ett system kan få uppdaterad information om detta och använda den för att neka en användare att logga in.
OCSP
Är en metod där ett system kontrollerar ett certifikat åt gången
För denna metod realiseras spärren I princip omedelbart
Varje OCSP-svar får en tidsstämpel som säger hur länge svaret får användas av förlitande part. För SITHS gäller:
notBefore → Tidpunkt då frågan ställs
notAfter → 48 h framåt från notBefore
CRL
Är en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare
För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part.
Varje CRL får en tidsstämpel som säger hur länge den får användas av en förlitande part, för SITHS gäller:
Spärrlistor för certifikat till slutanvändare och funktionscertifikat:
lastUpdate → Tidpunkten då CRL skapas av CA
nextUpdate → 72h från lastUpdate
Spärrlistor som utfärdas av Root CA för utfärdande CAs:
lastUpdate → Tidpunkten då CRL skapas manuellt då rooten är offline
nextUpdate → ~12 månader
Info |
---|
Net iD Client är en annan produkt från SecMaker med liknande funktionalitet som Net iD Enterprise. Net iD Client ingår inte i Ineras avtal med Telia och stöds därför inte av Inera i dagsläget. |
Legitimering och underskrift av användare kan ske med olika tekniker. Samtliga är förknippade med någon form av inloggningsmetod, ofta med en tillhörande applikation som installeras på användarens dator.
I SITHS finns i dagsläget två applikationer som används för att möjliggöra användning av SITHS e-legitimation vid legitimering och underskrift av användare:
SITHS eID appen som även innefattar Mobilt SITHS
Net iD
Applikationer för användning av SITHS e-legitimation
Här hittar du information om och länkar/instruktioner för hur du hämtar de applikationer som användaren behöver vid användning av SITHS e-legitimation: Programvaror och tillbehör för SITHS
SITHS eID och Mobilt SITHS
På nedan sidor hittar du information om den nya SITHS eID appen och Mobilt SITHS samt filmer och bilder som ytterligare beskriver Utfärdande av Mobilt SITHS, samt legitimering och underskrift med SITHS eID appen:
Info |
---|
SITHS eID appen är under införande och är primärt till för legitimering och underskrift i tjänster som stödjer Referensarkitekturen för Identitet och åtkomsthantering |
Inläsning av SITHS eID-certifikat från SITHS-kort på Windows
...
title | Visa information om inläsning av SITHS eID-certifikat från SITHS-kort på Windows |
---|
...
Net iD Enterprise
Det vanligaste just nu är att tjänster använder en kombination av nedan:
Inbyggd funktionalitet i webbläsaren/applikationen och operativsystemet i kombination med Net iD eller;
Net iD plugin (legacy)
För inloggning med SITHS-kort till Windows eller via MTLS i en webbläsare/egenutvecklad applikation är det vanligast att använda inbyggd funktionalitet i operativsystemet i kombination med import av certifikat från SITHS-kortet med hjälp av Net iD Enterprise
Mutual TLS för legitimering med SITHS och Net iD
Klicka nedan för att läsa mer om hur Mutual TLS för legitimering med SITHS och Net iD fungerar
Expandera | ||
---|---|---|
| ||
Net iD används för att importera certifikat från SITHS-kortet till den certifikatshanterare som finns på datorn. Tjänsten, som användaren ska logga in i, integrerar i sin tur via webbläsaren mot operativsystemets inbyggda funktioner för att be användaren presentera ett inloggningsceritfikat. Exakt hur detta utförs rent praktiskt och hur användareupplevelsen blir varierar med vilken typ och version av:
Förutsättningar
|
Net iD plugin för legitimering och/eller underskrift med SITHS
Observera |
---|
Net iD plugin stöds i dagsläget endast på Internet Explorer 11 förutsatt att användarens klientdator tillåter att det körs. Då Net iD Enterprise inte alltid kommer ingå i Ineras produktutbud rekommenderas tjänster som idag använder Net iD plugin för följande syften hänvisas istället till nya arkitektruella lösningar för att åstadkomma denna funktionalitet:
|
Klicka nedan för att läsa mer om Net iD plugin
Expandera | ||
---|---|---|
| ||
Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort alternativt begränsat stödet för de API:er, NPAPI (Chrome/Firefox) och ActiveX (Internet Explorer), som använts av tredjepartsmjukvaror som Net iD plugin. Numer kan Net iD plugin endast användas via Active X i webbläsaren Internet Explorer 11. Detta förutsätter också att användarens klientdator tillåter körning av ActiveX plugins (disabled by default) och att just SecMakers plugin för Net iD tillåts (default deny). Detta kan styras med hjälp av AD-kontrollerade Grupp principer (GPO). För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD. Vid underskrift via Net iD plugin används en annan kod, Underskriftskoden. |
Underskrift med Net iD Plugin
Info |
---|
Underskrift med Net iD är beroende av Net iD plugin och lösningen skiljer sig för varje implementation. Ineras nya Underskriftstjänst följer specifikationer från Digitaliseringsmyndigheten (DIGG), läs mer här: Underskriftstjänsten |
...
och länkar/instruktioner för hur du hämtar de applikationer som användaren behöver vid användning av SITHS e-legitimation: Programvaror och tillbehör för SITHS
Applikationer för out-of-band (SITHS eID-apparna inkl. Mobilt SITHS)
På nedan sidor hittar du information om den nya SITHS eID appen och Mobilt SITHS samt filmer och bilder som ytterligare beskriver Utfärdande av Mobilt SITHS, samt legitimering och underskrift med SITHS eID appen:
Info |
---|
SITHS eID-appen är under införande och är primärt till för legitimering och underskrift i tjänster som stödjer Referensarkitekturen för Identitet och åtkomsthantering |
Flöden för legitimering och underskrift med out-of-band
Expandera | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Legitimering med SITHS eID
Underskrift med SITHS eID
|
Applikationer för dubbelriktad TLS (mTLS)
SITHS eID-appen för Windows
Från och med version 2.0 av SITHS eID-appen för Windows kommer detta finnas paketeringar som installerar stöd för båda autentiseringslösningarna out-of-band och dubbelriktad TLS (mTLS).
För mer information om SITHS eID för Windows se:
Net iD Enterprise
Historiskt har dubbelriktad TLS hanterats med hjälp av klientapplikationen Net iD Enterprise. Det vanligaste är att tjänster som implementerat autentiseringslösningen dubbelriktad TLS för användare som har Net iD Enterprise använder någon eller båda av nedan:
Inbyggd funktionalitet i webbläsaren/applikationen och operativsystemet i kombination med Net iD eller;
Net iD plugin (legacy)
För inloggning med SITHS-kort till Windows eller via MTLS i en webbläsare/egenutvecklad applikation är det rekommenderat och även vanligast att använda inbyggd funktionalitet i operativsystemet i kombination med import av certifikat från SITHS-kortet med hjälp av Net iD Enterprise.
Net iD plugin för legitimering och/eller underskrift med SITHS
Observera |
---|
Net iD plugin stöds i dagsläget endast på Internet Explorer 11 förutsatt att användarens klientdator tillåter att det körs. Då Net iD Enterprise inte alltid kommer ingå i Ineras produktutbud rekommenderas tjänster som idag använder Net iD plugin för följande syften hänvisas istället till nya arkitektruella lösningar för att åstadkomma denna funktionalitet:
|
Expandera | ||
---|---|---|
| ||
Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort stöd för det/de API:er (NPAPI och ActiveX) som använts av tredjepartsmjukvara som Net iD plugin. Numer kan detta endast realiseras via Internet Explorer 11 och Active X. För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD. då webbläsarutvecklarna tagit bort alternativt begränsat stödet för de API:er, NPAPI (Chrome/Firefox) och ActiveX (Internet Explorer), som använts av tredjepartsmjukvaror som Net iD plugin. Numer kan Net iD plugin endast användas via Active X i webbläsaren Internet Explorer 11 eller i Microsoft Edge för sidor som konfigurerats att starta i Internet Explorer 11 läge (läs mer om detta här SITHS Admin och Mina sidor i Microsoft Edge - Internet Explorer 11-läge). Detta förutsätter också att användarens klientdator tillåter körning av ActiveX plugins (disabled by default) och att just SecMakers plugin för Net iD tillåts (default deny). Detta kan styras med hjälp av AD-kontrollerade Grupp principer (GPO). Underskrift
Två stora skillnader när det kommer till underskrifter med hjälp av Net iD plugin och Ineras nya Underskriftstjänst är:
|
...
Klicka nedan för att läsa mer om Pin-cache och Pin-SSO
...
title | Läs mer om Pin-cache och PIN-SSO |
---|
Vid användning av SITHS och autentiseringslösningar baserade på dubbelriktad TLS (mTLS) finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran om legitimering/autentisering
Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering eftersom användaren inte behöver ange sin pin-kod upprepade gånger eller när man ska logga in i en annan tjänst som hanterar autentisering via samma AD-miljö som den AD-miljö som hanterar användarens inloggning till själva Windows-datorn.
I referensarkitekturen baseras Single Sign-On (SSO) upplevelsen på att man utfärdar identitetsintyg som är giltiga för inloggning i flera tjänster som använder samma IdP (enligt standarderna SAMLv2 eller OIDC).
Pin-cache är aktiverad som default i:
...
Paketeringar av Net iD Enterprise under Ineras licens
...
Referenser
Info |
---|
Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte behöver ange pin-kod igen så länge SITHS-kortet sitter kvar i kortläsaren. För att Användaren ska bli helt utloggad från en tjänst måste hen:
|
Flöden för legitimering och underskrift
Om du expanderar nedan fält finns flödesbilder för legitimering och underskrift med Net iD (Mutual TLS respektive SITHS eID (Out-of-Band)
Expandera | ||
---|---|---|
| ||
Lucidchart | ||
pageCount | 1 | |
autoUpdate | false | |
align | left | |
type | rich | |
autoSize | 1 | |
macroId | 9e93c55f-29e9-4a77-96ef-aa16c55f7862 | pages |
instanceId | 674ee3b4-0aa5-36fc-b851-9fe526cc2041 | |
width | 700 | |
documentId | ac2d9f5d-7a62-435c-87f6-dbbe8d36e6d6 | |
documentToken | ac2d9f5d-7a62-435c-87f6-dbbe8d36e6d6|115406879|358875327|mPGb4zi+oITK3JgFf+jHqcHEDxPKIVNrW0YtUlfHjU4= | |
updated | 1610362515755 | |
height | 500 | |
Lucidchart | ||
pageCount | 1 | |
autoUpdate | false | |
align | left | |
type | rich | |
autoSize | 1 | |
macroId | ae37d44b-1df5-48a6-b00c-0aac222ae7b5 | pages |
instanceId | 674ee3b4-0aa5-36fc-b851-9fe526cc2041 | |
width | 700 | |
documentId | bec967b9-89ee-4a9f-a0ba-3c92bd11d282 | |
documentToken | bec967b9-89ee-4a9f-a0ba-3c92bd11d282|115406879|358875327|oljU79HaTsOuo3Dd1LiDI7D+LZozpmnuSd6A9ZYNXXI= | |
updated | 1610362598741 | |
height | 500 | |
Expandera | ||
| ||
Legitimering med Mutuals TLS och Net iD Lucidchart | | |
pageCount | 1 | |
autoUpdate | false | |
align | left | |
type | rich | |
autoSize | 1 | |
macroId | 7c6f3205-37fe-4556-85bc-996a99f0c3ec | pages |
instanceId | 674ee3b4-0aa5-36fc-b851-9fe526cc2041 | |
width | 700 | |
documentId | eb31997d-b51e-4f51-9765-81308d72e74d | |
documentToken | eb31997d-b51e-4f51-9765-81308d72e74d|115406879|358875327|KnQqunBN/el2cRjLVbPr/rKD3crBtfWvJEUB3ie4CGE= | |
updated | 1610362455693 | |
height | 500 | |
Lucidchart | ||
pageCount | 1 | |
autoUpdate | false | |
align | left | |
type | rich | |
autoSize | 1 | |
macroId | ce104987-4d14-433f-9426-73b899450d32 | pages |
instanceId | 674ee3b4-0aa5-36fc-b851-9fe526cc2041 | |
width | 700 | |
documentId | e829c8c8-1785-4b17-8ad0-8f0fa72e94b4 | |
documentToken | e829c8c8-1785-4b17-8ad0-8f0fa72e94b4|115406879|358875327|jrK8gswJycRDcccD6dmf6HwOjyO4PO9TFVw5cjAhL2E= | |
updated | 1610362721443 | height | 500
Flöde för legitimering med dubbelriktad TLS (mTLS)
Expandera | ||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||
|
Flöde för underskrift med Net iD plugin
Expandera | ||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||
|
Teknisk information om SITHS Certifikatsutfärdare
Sökvägar och brandväggsöppningar
Här hittar du information om sökvägar och brandväggsöppningar för SITHS: Nätverksinställningar - Certifikatsutfärdare
Rot- och utfärdarcertifikat (Installation av tillit)
Här hittar du information om SITHS rot- och utfärdarcertifikat, samt vad som gäller kring installation av tillit till dessa: Rot- och utfärdarcertifikat
Spärr och spärrkontroll
Ett certifikat kan spärras för att förhindra vidare användning. Detta kan ske när man ska avsluta sin anställning, när man har tappat bort sitt SITHS eID eller när en server ska avvecklas.
Klicka nedan om du vill läsa mer om hur SITHS spärrkontroll
Expandera | ||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||
Beställning och utförande av spärrEn spärr inom SITHS kan utföras enligt följande matris
Realisering av spärrNär en spärr har begärts av respektive Utförare kan det beroende på metod för kontroll ta en viss tid innan ett system kan få uppdaterad information om detta och använda den för att neka en användare att logga in. OCSPÄr en metod där ett system kontrollerar ett certifikat åt gången För denna metod realiseras spärren I princip omedelbart Varje OCSP-svar får en tidsstämpel som säger hur länge svaret får användas av förlitande part. För SITHS gäller:
CRLÄr en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part. Varje CRL får en tidsstämpel som säger hur länge den får användas av en förlitande part, för SITHS gäller: Spärrlistor för certifikat till slutanvändare och funktionscertifikat:
Spärrlistor som utfärdas av Root CA för utfärdande CAs:
|
Info |
---|
Net iD Client är en annan produkt från SecMaker med liknande funktionalitet som Net iD Enterprise. Net iD Client ingår inte i Ineras avtal med Telia och stöds därför inte av Inera i dagsläget. |
Legitimering och underskrift av användare kan ske med olika tekniker. Samtliga är förknippade med någon form av inloggningsmetod, ofta med en tillhörande applikation som installeras på användarens dator.
I SITHS finns i dagsläget två applikationer som används för att möjliggöra användning av SITHS e-legitimation vid legitimering och underskrift av användare:
SITHS eID appen som även innefattar Mobilt SITHS
Net iD
...
Inloggning och autentisering i Windows
Inkludera sida | ||||
---|---|---|---|---|
|
Inläsning av SITHS eID på kort i Windows
Expandera | ||||||
---|---|---|---|---|---|---|
| ||||||
|
...
SITHS Testsida
Inkludera sida | ||||
---|---|---|---|---|
|
Inloggning till Windows
Inkludera sida | ||
---|---|---|
|
...
Användning av SITHS på tunna klienter och virtualiserade klientplattformar (VDI)
...
Funktionscertifikat - Legitimering av server
Avsnittet ska kompletteras
För att utfärda SITHS Funktionscertifikat se SITHS Funktionscertifikat - Användarguide
...