Jämförda versioner

Gammal version 17

changes.mady.by.user Former user

Sparat den

jämfört med

Ny version 18

changes.mady.by.user Former user

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.


Expandera
titleVisa revisionshistorik


Version

Datum

Författare

Kommentar

0.1

 

Former user (Deleted) 

  • Kopierat från IdP 2.3
  • Lagt till information om rullande omdirigeringar när autentiseringsmetoden för mTLS används
  • Tagit bort dokumentation kring val av medarbetaruppdrag som gällde valen av HSA-ID:n utan kopplade medarbetaruppdrag
  • Ändrade namn på autentiseringsmetoder
0.2

 

Former user (Deleted)

Förtydliganden under avsnittet för Autentiseringsmetoder.
0.3

 

Former user (Deleted)

Förtydliganden under SSO-sessionens giltighetstid och vad som krävs för en fullständig utloggning
0.4

 

Former user (Deleted)

Lade till information om att flera subdomäner för mTLS inte kommer aktiveras förrän Q3-2023.

Rättade fel begrepp på autentiseringsmetoder under rubrik 9. Val av tjänste-id/medarbetaruppdrag



Observera
titleReservkort och LoA-nivåer

Från och med   rapporteras Ineras IdP:er LoA 2 för reservkort istället för LoA 3. Detta kan kräva anpassning av SP.

...

  • SITHS-kort på denna enhet kommer alltid föredra HSA-id-certifikat
  • SITHS eID på denna/annan enhet föredrar ett personnummer-certifikat om ett sådant finns. Beroende på vilka uppdrag som har kopplats i HSA för personnumret jämfört med vad som är kopplat till HSA-id:t kan SITHS eID på denna/annan enhet resultera i att användaren får fler valbara alternativ i tjänste-id- och uppdragsvalet.

SITHS-kort på denna enhet - Dubbelriktad TLS/Mutual TLS (mTLS)

Autentiseringslösningen baseras på teknik och standard för dubbelriktad TLS/Mutual TLS (mTLS). Webbläsaren utmanar användaren om att presentera ett giltigt klientcertifikat som servern litar på. Certifikaten importeras från SITHS-kortet till datorns operativsystem med hjälp av någon av klientapplikationerna nedan. Integrationen sker alltså egentligen mot operativsystemet/webbläsaren snarare än mot klientprogramvaran.

...

Expandera
titleVisa information om flera subdomäner för SITHS-kort på denna enhet (mTLS)

För att säkerställa att användaren måste välja ett certifikat när SITHS-kort på denna enhet används dirigerar IdP:n användaren om till olika subdomäner vid varje inloggningsförsök i den pågående webbläsarsessionen.

OM användaren inte valde något certifikat, t ex. inte hade sitt SITHS-kort i kortläsaren, visas denna dialog och användaren får ett nytt försök genom att välja Försök igen.

image-2023-2-21_15-21-29.png

OM användaren har kommit till maxvärdet för antalet inloggningsförsök innan webbläsaren måste startas om (i skrivande stund 25 försök för IdP som driftas av Inera) visas denna dialog och användaren måste starta om webbläsaren för att starta om antalet försök.

image-2023-2-21_15-21-11.png

OBS!

Logiken med att användaren alltid får 25 inloggningsförsök är beroende av att användarens webbläsare INTE har inställningen för att öppna flikar från föregående session aktiverad (se exempel nedan). Inställningen gör att räknaren i cookien för vilken endpoint/domännamn användaren ska hamna på inte nollställs korrekt. Användaren kommer såldes att fortsätta på det värde som webbläsaren senast hade och nollställas först när den når maxvärdet (25) och användaren då startar om webbläsaren. Rent praktiskt innebär det att användaren istället för 25st nya försök kommer ha färre försök på sig innan meddelandet ovan  om För många inloggningsförsök via dubbelriktad TLS presenteras.

SITHS eID på denna/annan enhet - Out-of-band authentication (OOB)

Förutsätter att användaren har någon eller båda av:

...

Om uppdragsvalet presenteras för användaren så varierar de listade alternativen beroende på hur de enskilda användarna är konfigurerade i HSA samt vilken autentiseringsmetod som valts.

Autentiseringsmetodsvalet påverkar uppdragsvalet genom att inloggning :

  • Inloggning med SITHS eID på denna/annan enhet

...

  • föredrar personnummer-certifikat om ett sådant finns

...

    • En användares personnummer kan ha uppdrag kopplade till sig i HSA som inte också är kopplade på användarens HSA-id. Detta kan i sin tur resultera i att användaren får fler uppdragsval att välja mellan

...

...

    • för denna autentiseringsmetod.
  • Inloggning med SITHS-kort på denna enhet

...

  • alltid föredrar HSA-id-certifikat

.När ett val behöver göras finns det ett flertal scenarion att förhålla sig till. Dessa finns specifierade här nedan.

...

*) Kompatibilitet för e-tjänster med s k uthoppslösningar kan behöva verifiera att inställningar för IE "Trusted Zones" på den tekniska stödsidan IdP med Edge och IE 11 och Trusted sites.
**) I och med att Microsoft har avslutat sitt stöd för och uppdateringar av IE11 samt legacy Edge är det svårare att få dessa webbläsare att fungera att fungera fullt ut, i alla tjänster, i alla användningsfall och konfigurationer på ett robust sätt. Uppdateras Microsoft OS och IE11/Edge med en ny och oprövad systemuppdatering garanteras det inte att det kommer att fungera initialt med alla kombinationer. 
***) I och med att Microsoft har avslutat sitt stöd för och uppdateringar av äldre Windowsversioner ges begränsad support för dessa.

...