Denna checklista innehåller sammanfattande information om vad respektive organisation måste göra med anledning av införandet av SITHS nya autentiseringslösning, vilken även inkluderar Mobilt SITHS. Det är viktigt att du som ansvarig utgivare tar ansvar för detta arbete och planerar samtliga aktiviteter inom din organisation. Om inte dessa aktiviteter genomförs, kommer ni inte att kunna använda Mobilt SITHS för inloggning i tjänster, inte heller någon av de andra autentiseringsmöjligheterna som den nya autentiseringstjänsten innebär.
...
Utse redan nu en lokal införandeansvarig som ansvarar för införandet av nya autentiseringstjänsten och de autentiseringsmetoder som nya tjänsten innebär bl.a. Mobilt SITHS eID. Lokal införandeansvarig ska tillsammans med ansvarig utgivare ansvara för införandet. Se följande bilaga för rollbeskrivning. Se bilaga 1 i detta dokument.
2. Teckna anslutningsavtal
...
För att kunna delta i piloten och innan ni kan ansluta er till nya autentiseringsmetoden behövs ett avtal med Inera AB. Avtalet innebär inte nya kostnader för er organisation men reglerar ansvarsfördelningen mellan er organisation och Inera AB. Avtalet ska signeras av firmatecknare i er organisation. Avtalet ska signeras och mailas till oss på Inera. Se bilaga 2 i detta dokument.
...
Användarflödet blir i princip samma som för fall A [Vad menas ed Fall A? anslutning till Inreras IDP?] lokal tjänst till Ineras IdP , men denna gång är det egen IdP som tillhandahåller användargränssnittet.
...
Egen IdP ansluts till Relying party API för Ineras Autentiseringstjänst, se figur 1 nedan
E-tjänsten ansluts (är ansluten) som SP till egen IdP. Här väljs också vilka autentiseringsmetoder som ska finnas tillgängliga för användare
Användarorganisationerna administrerar nödvändiga användarattribut i den aktuella katalogtjänsten.
Användarnas datorer / mobiler förses med programvara för SITHS eID, antingen på dator och/eller Mobil enhet .
Figur 1 - Lokal IdP ansluts direkt till Relying party API för Ineras Autentiseringstjänst
...
Mo
Mo
6. Förberedelser för att kunna använda SITHS Autentiseringsklient
...
Gör en anmälan till: hasanein.alyassiri@inera.se och magnus.vallstedt@inera.se
Behörig representant för kunden måste teckna Kundavtal 2 (”ramavtal med Inera”) om detta inte redan finns, se: https://www.inera.se/kundservice/bli-kund/
Maila nedan uppgifter till hasanein.alyassiri@inera.se
Undertecknat anslutnings-/pilotavtalanslutningsavtal, (OBS! måste undertecknas av behörig representant för organisationen)
Kontaktuppgifter till lokal införandeansvarig
...
Säkerställ att era användare har tillgång till aktuella versioner av SITHS eID Autentiseringsklient och även har hämtat Mobilt SITHS eID om detta ska ingå i era tester, se: Förberedelser för att kunna använda SITHS eID Autentiseringsklient
Hämta IdP:ns metadata Metadata-URL: https://idp-oob.preacctest.ineratest.org/saml
Ta reda på följande information om er lokala miljö
Er tjänsts (SPs) metadata
Bestäm vilka attribut er tjänst vill hämta från Ineras IdP, se https://confluence.cgiostersund.se/display/ST/Attributlista
Utökad läsning om attributsstyrning inom Ineras IdP: Attributstyrning SAMLv2 och Attributsstyrning OIDC
Utökad lösning om de profiler som används inom Ineras IdP: SAMLv2 profil och OIDC-profil
Vilka autentiseringsmetoder ni vill ha:
SITHS-kort med hjälp av Net iD
SITHS eID på samma enhet (Både Mobilt SITHS eID och SITHS-kort)
SITHS eID på annan enhet (Primärt usecase för Mobilt SITHS eID)
Maila in uppgifterna under punkt 5 ovan till: hasanein.alyassiri@inera.se och/eller magnus.vallstedt@inera.se
Samtliga SITHS-kort som har SITHS-certifikat på sig kommer gå att använda för inloggning med Inera Autentiseringstjänst och SITHS eID Autentiseringsklient på Windows 10.
IdP:n kommer initialt utfärda identitetsintyg på tillitsnivå 3 för alla typer av SITHS-certifikat på SITHS-kort. Ineras IdP gör idag tolkningar enl. https://confluence.cgiostersund.se/display/ST/Guide+till+IdP#GuidetillIdP-Tillitsniv%C3%A5(LoA)
Dock kommer detta att ändras i preacctestmiljö under hösten och linjera med TEST/QA miljöerna för Ineras IdP enligt: https://confluence.cgiostersund.se/pages/viewpage.action?pageId=210942615.
IdP:n kommer initialt att utfärda identitetsintyg påtillitsnivå 2 för Mobilt SITHS eID
Framgent kan detta komma att justeras.
Installera tillit till utfärdaren av det certifikat som används för signering av Identitetsintyget från Ineras IdP i Preacctestmiljö:
1b. Förberedelser inför tiden efter
...
den initialperioden - Anslutning av tjänst till förvaltningens miljöer
För att använda Ineras IdP behöver ni beställa IdP och fylla i en förstudie.
Anmäl att ni vill denna förstudie till hasanein.alyassiri@inera.se och magnus.vallstedt@inera.se
Gå igenom följande: https://confluence.cgiostersund.se/pages/viewpage.action?pageId=178366663#GuidetillIdP-Adresserochportar (guide IDP)
...
Säkerställ att era användare har tillgång till aktuella versioner av SITHS eID Autentiseringsklient och även har hämtat Mobilt SITHS eID om detta ska ingå i era tester, se: Förberedelser för att kunna använda SITHS eID Autentiseringsklient
Ta reda på följande information om er lokala miljö
Beställ ett funktionscertifikat för test från TEST SITHS eID och ta reda på dess HSA-id
Om ni inte kan beställa SITHS-funktionscertifikat på egen hand finns det möjlighet att beställa SITHS-funktionscertifikat från Inera. Kan beställas via följande länk (obs prod just nu i väntan på beslut om miljöer):
Ta reda på den IP-adress er IdP kommer presentera mot SITHS eID Autentiseringstjänst
Information om kapacitetsbehov[JC20] kapacitetsbehov
Maila HSA-id, IP-adress och kapacitetsbehov till: hasanein.alyassiri@inera.se och/eller magnus.vallstedt@inera.se
Säkerställ att er IdP har relevanta brandväggsöppningar för åtkomst till SITHS eID Autentiseringstjänst Relying Party API
Anpassa er lokala IdP till Autentiseringstjänstens Relying Party API: https://as.preacctest.ineratest.org/openapi/swagger-ui/index.html?url=/v3/api-docs&validatorUrl=
Kommunikationen mellan Lokal IdP och Inera Autentiseringstjänst skyddas av ömsesidig TLS (MTLS) med certifikat från följande utfärdare som er IdP måste lita på:
Avgör vilken tillitsnivå ni vill att respektive typ av SITHS-certifikat ska få i er lokala IdP’s identitetsintyg. Ineras IdP gör idag tolkningar enl. https://confluence.cgiostersund.se/display/ST/Guide+till+IdP#GuidetillIdP-Tillitsniv%C3%A5(LoA).
Dock kommer detta att ändras under hösten enligt: https://confluence.cgiostersund.se/pages/viewpage.action?pageId=210942615.
Observera att Mobilt SITHS eID ännu inte är godkänt av DIGG och inte återfinns i IdP:ns matris. I IdP:n i projektets testmiljöer kommer vi dock att klassa Mobilt SITHS eID somtilllitsnivå 2
...
Genomföra förstudie och kartlägga och föreslå förberedelseaktiviteter som ska leda fram till lyckat införande
Leda övergången till ny autentiseringsmetod inom egen organisation
Samla in förbättringsförslag och förmedla dessa till ansvarig utgivare och till Inera enligt instruktion från Inera
Rollen omfattar följande Ansvarsområden:
Organisera och leda genomförandet av införandeaktiviteter både inom verksamheten och IT-organisationen
Samverka samt ge löpande stöd till ansvarig utgivare under införandet
Hantera kommunikation till berörda parter inom organisationen
Vid behov utbilda berörd personal t.ex. IT Helpdesk eller Kundtjänst
I samråd med ansvarig utgivare ta fram instruktioner och utbildningsmaterial
Följa upp införande och anslutningsgraden inom organisationen
Kanalisera frågeställningar och förbättringsförslag till både ansvarig utgivare och Inera
Agera som single point of contact för eventuella pilotprojekt projekt i organisationen
Stöd i samband med att organisationen börjar använda en ny komponent
...