Dokumenthistorik
Version | Datum | Aktör | Förändring |
---|---|---|---|
0.1 | Första utkast | ||
0.2 |
| Ytterligare teknisk information | |
0.9 |
| Kompletterad med ytterligare anslutningsmönster. | |
0.91 |
| Länkat till uppdaterad nätverksinformation. Information för existerande IdP-anslutningar. | |
0.92 |
| Länkat till Beställ tjänsten, småändringar. | |
0.93 |
| Lyft ut generell information. | |
0.95 |
| Konsoliserat krav och anslutningsförutsättningar |
Innehåll
Innehållsförteckning | ||
---|---|---|
|
...
Detta dokument innehåller framförallt information om direktanslutning till Autentiseringstjänsten (fall 3 ovan). Anslutningsguide till IdP beskriver motsvarande för de två första mönstren.
Övergripande information
Oavsett val av integrationsmönster så finns det hänsynstaganden som behöver hanteras av alla organisationer som avser att använda sig av Autentiseringstjänsten för legitimering och signering, dessa hänsynstaganden följer nedan.
...
- Anmäl intresse, teckna avtal med Inera för valt anslutningsmönster och därmed tjänst:
Beställ tjänsten för information om hur en beställning av IdP/Autentiseringstjänst-anslutning går till
- Fakturering påbörjas.
- Fyll i förstudiemall Autentiseringstjänst / Förstudie vid anslutning till IdP för testanslutning och skicka in för granskning.
- När förstudien är godkänd kan anslutning upprättas mellan den lokala tjänstens testmiljö och testmiljö hos Ineras tjänst (IdP eller Autentiseringstjänsten).
- Testa anslutningen och funktionen i test.
- Fyll i ny separat förstudie för produktionsanslutning, bifoga testrapport som visar att integrationen fungerar som tänkt för de tänkta nyttjandescenarierna.
- När förstudien mot produktion är godkänd kan anslutning ske mellan produktionsmiljöerna.
...
Utöver de angivna generella förutsättningarna i Gemensam anslutningsinformation skall anslutande parts IdP och ansvarig organisation behöver följande förutsättningar vara på plats;
Anslutande
...
Konnektivitet och nätverk
Se Nätverksinställningar för IAM-tjänster för mer detaljerad information.
SITHS eID-klienterna
Mobilklienterna laddas ner via App Store eller Google Play. Windowsklienten tillgängliggörs i detta confluence-space och organisationer kan välja att distribuera den själva eller att dela länken med sina användare.
Se SITHS eID app (Autentiseringsklienter) för mer information.
Anslutning av lokal IdP till Autentiseringstjänsten (direktanslutning)
En lokal IdP kan anslutas direkt till Autentiseringstjänsten via Ineras proprietära API.
- Lokal IdP ansvarar för eventuellt val av inloggningsmetod
- Lokal IdP förmedlar autostarttoken till SITHS eID-klienterna
- Se SITHS eID Appväxling - Exempel för inbäddade webbläsare ifall er IdP använder sig av en inbäddad webbläsare.
- Lokal IdP ansvarar för att tolka och förmedla tillitsnivå, utifrån information från användarcertifikatet som levereras från Autentiseringstjänsten.
- Se Tillitsnivå (LoA) för information om hur Ineras IdP tolkar tillitsnivåer.
Förutsättningar för direktanslutning av lokal IdP till Autentiseringstjänsten
...
lokal IdP SKALL;
- initalt förmedla HSA-id för inläsning i Autentiseringstjänsten
- Relying party API:et skyddas av bl a mTLS. För att kunna anropa detta API behöver IdP:n presentera sig med ett SITHS funktionscertifikat (utgivet av SITHS e-id Function CA v1) vars subject matchar tjänstens HSA-id som läses in i Autentiseringstjänsten vid anslutningstillfället.
- vara en central IdP för den anslutande organisationen. Varje kund tillåts ha en ansluten IdP, med eventuellt undantag för exempelvis de största regionerna.
- Denna begränsning ämnar dels till att möjliggöra följsamhet mot referensarkitekturen, som specificerar att autentisering skall centraliseras till en specialiserad tjänst.
- Att hålla nere antalet anslutna tjänster är också avgörande för att kunna säkerställa att anslutna system håller sina anslutningar uppdaterade i takt med att Autentiseringstjänsten förändras.
- Den anslutande IdP:n måste hållas uppdaterad i takt med att Autentiseringstjänsten och dess API:er förändrasinom 6 månader kunna anpassa sig till nya versioner av API:et hos Autentiseringstjänsten.
- När nya versioner av API:erna släpps så kommer de gamla API-versionerna att ligga aktiva parallellt med de nya under en övergångsperiod på 6 månader under vilken den anslutande IdP:n måste anpassas för att använda den nya versionen av API:erna.
- Den anslutande IdP:n stödjer stödja appväxling. IdP:n behöver kunna anropa det externa protokollet "siths://" för att kunna autostarta SITHS eID-klienterna vid inloggning "på samma enhet".Relying party API:et skyddas av mTLS. För att kunna anropa detta API behöver IdP:n presentera sig med ett SITHS funktionscertifikat (SITHS e-id Function CA v1) vars subject matchar tjänstens HSA-id som läses in i Autentiseringstjänsten vid anslutningstillfället.
- hantera
- QR kod,
- tolkning av tillitsnivå (LoA) och
- medarbetaruppdragsval
- eventuellt hantera
- val av autentiseringsmetod och
- integration mot lokal katalogtjänst
- val av autentiseringsmetod och
Anslutande organisation SKALL;
- upprätthålla kontaktvägar mot Inera:
- Minst en funktionsbrevlåda anges som kontaktpunkt i produktionsmiljö.
- Testanslutningar
Konnektivitet och nätverk
Se Nätverksinställningar för IAM-tjänster för mer detaljerad information.
SITHS eID-klienterna
Mobilklienterna laddas ner via App Store eller Google Play. Windowsklienten tillgängliggörs i detta confluence-space och organisationer kan välja att distribuera den själva eller att dela länken med sina användare.
Se SITHS eID app (Autentiseringsklienter) för mer information.
Anslutning av lokal IdP till Autentiseringstjänsten (direktanslutning)
En lokal IdP kan anslutas direkt till Autentiseringstjänsten via Ineras proprietära API.
- Lokal IdP ansvarar för eventuellt val av inloggningsmetod
- Lokal IdP förmedlar autostarttoken till SITHS eID-klienterna
- Se SITHS eID Appväxling - Exempel för inbäddade webbläsare ifall er IdP använder sig av en inbäddad webbläsare.
- Lokal IdP ansvarar för att tolka och förmedla tillitsnivå, utifrån information från användarcertifikatet som levereras från Autentiseringstjänsten.
- Se Tillitsnivå (LoA) för information om hur Ineras IdP tolkar tillitsnivåer.
Teknisk Information
Flödesbeskrivning
...