Innehållsförteckning

Expandera

Innehållsförteckning

Revisionshistorik

IP-adresser

Sektionexpand

Inledning

Ineras tjänster för Identitet och åtkomsthantering (IAM-tjänster), Personuppgiftstjänsten och Spärrtjänsten finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing.

Med IAM-tjänster avses:

IdP
Autentiseringstjänst SITHS
Utfärdandeportal för Mobilt SITHS

Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras IAM-tjänster eller anställda som administrerar spärrar i den nationella tjänsten.

Info

Kunder med Sjunetuppkoppling ska ha tagit del av avsnitten om:

Nätverksinställningar

Nedan hittar du information om om vilka Domännamn, IP-adresser, Subnät, Portar och protokoll som används samt en konnektivitetsmatris

Observera

title	Proxy och TLS-inspektion

Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från SITHS eID apparna till Autentiseringstjänsten och Utfärdandeportalen.

Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö.

Info
För information om Nätverksinställningar för SITHS i samband med Utfärdande av certifikat till smarta kort och Mobilt SITHS, samt för information om spärrkontroll för certifikat, se: Nätverksinställningar för SITHS

Konnektivitet

Användarnas SITHS eID-klienter behöver kunna kommunicera med Autentiseringstjänsten och Utfärdandeportalen.
För att kunna utfärda/administrera Mobilt SITHS eID så måste användarnas browser kunna komma åt Utfärdandeportalen samt den instans av Ineras IdP som Utfärdandeportalen använder sig av för autentisering.
Organisationer som sitter på Sjunet och internet samtidigt behöver välja över vilket nät och hur trafiken skall routas (se avsnitt sjunet)

Detta kan sammanfattas på matrisform.

Kommunikation behövs mellan..

eID klient

Autentiseringstjänst

Utfärdandeportal

Browser

Ineras IdP

Lokal IdP

eID klient

ja

Autentiseringstjänst SITHS

ja

Utfärdandeportal

ja

Browser

ja

Ineras IdP

ja

Lokal IdP

ja

Observera
För att säkerställa funktionalitet ska ni för öppna för trafik från hela nätverkssegmenten nedan.

IPv4

82.136.182.0/24
82.136.183.0/24

IPv6

2a01:58:6106::/48

IP-adresser per miljö

Portar

443
80 (redirectas till https (443)

Transportkryptering

Allt trafik mot Ineras IAM-tjänster krypteras över HTTPS. För anrop mot vissa tjänster krävs Mutal TLS över HTTPS

TLS-protokoll

Lägsta TLS protokollversion som stöds är TLSv1.2

Cipher suites

Eftersom Ineras IAM-tjänster i dagsläget har två olika driftleverantörer har olika tjänster vissa variationer i vilka Cipher Suites som stöds.

Se Cipher Suites per protokoll och funktion genom att expandera nedan fält

Sjunet AnkareSjunetSjunetIAM-tjänsterna finns

Version	Datum	Författare	Kommentar
1.0	3 feb. 2021	Former user (Deleted)	Godkännande av dokumentet
1.01	9 apr. 2021	Former user (Deleted)	Uppdatering av IP-adresser för Autentisering med SITHS eID
1.1	16 apr. 2021	Former user (Deleted)	Förberedelser för IPv6 hos en av driftleverantörerna
1.2	10 maj 2021	Former user (Deleted)	Autentiseringstjänstskonsolidering, konnektivitetsmatris, felsökning slutanvändare mm
1.3	19 maj 2021	Former user (Deleted)	Förberedande information om nya sökvägar till Autentiseringstjänst, samt Utfärdandeportal för Mobilt SITHS och dess IdP
1.4	9 juni 2021	Former user (Deleted)	PU samt testportal (QA och PROD) IP#
1.5	24 aug. 2021	Former user (Deleted)	Justering av sökväg för Direktanslutning av IdP till Autentiseringstjänst i TEST-miljö
1.51	10 sep. 2021	Former user (Deleted)	Justering av sökväg för Direktanslutning av IdP till Autentiseringstjänst i QA-miljö
1.52	17 sep. 2021	Former user (Deleted)	Justering av sökväg för Direktanslutning av IdP till Autentiseringstjänst i Produktionsmiljö
1.53	15 okt. 2021	Former user (Deleted)	Justering av sökväg för klienter i produktion
1.54	8 nov. 2021	Former user (Deleted)	Justering av länk till Swagger för Relying party API i TEST-miljö
1.55	23 mars 2023	Former user (Deleted)	Kompletterade med kommande IP-adresser för TEST-miljö
1.56	6 apr. 2023	Former user (Deleted)	Kompletterade med kommande IP-adresser för QA/Prod-miljö
1.57	15 maj 2023	Former user (Deleted)	Förtydligande om att kunder ska öppna för hela nätverkssegmenten.
1.58	17 maj 2023	Former user (Deleted)	Lade till ytterligare IP-adresser som kommer att användas för mTLS i IdP:n från hösten 2023.
1.60	30 maj 2023	Former user (Deleted)	Lade till IP-adresser och FQDN för samtliga tjänster
1.61	31 maj 2023	Former user (Deleted)	Lade till datum då secure-endpoints/domännamn för IdP:n kommer att byta IP-adress under september för respektive miljö. Dvs. de domännamn som används för autentiseringsmetoden "SITHS-kort på denna enhet", närmare bestämt Dubbelriktad TLS/Mutual TLS (mTLS)
1.62	7 juni 2023	Former user (Deleted)	Justerade datum får TEST-miljön kommer få ny IP-adresser för mTLS till 31/5-2023

Subdomäner

Varje subdomän inom Ineras komponenter för identitet- och åtkomsthanteringhar ett syfte som beskrivs nedan

Fullständiga adresser

Nedan finns en tabell över samtliga hostnamn/adresser som används av Ineras komponenter för identitet- och åtkomsthantering samt övriga tjänster

Sökvägar för API:er och metadata

Anslutning av tjänst eller IdP → Ineras IdP

För att i en egen tjänst möjliggöra legitimering av användare via Ineras IdP

Metadata för Ineras IdP

För e-tjänster eller lokala IdP:er som skall ansluta till IdP för autentisering.

SAML-metadata exponeras på /saml

OIDC-metadata exponeras på

sina trafikmönster vid integration mot Ineras IAM-tjänster eller anställda som administrerar spärrar i den nationella tjänsten.

Sektion
Inledning Ineras tjänster för Identitet och åtkomsthantering (IAM-tjänster), Personuppgiftstjänsten och /wiki/spaces/CHDOK/pages/3475219675 finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing. Med IAM-tjänster avses: IdP Autentiseringstjänst SITHS Utfärdandeportal för Mobilt SITHS Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras komponenter för Identitet- och åtkomsthantering Webbadresser Huvuddomäner
Miljö	Domän
TEST	.ineratest.org .test.siths.se
QA	.ineraqa.org .qa.siths.se
PROD	.inera.se .siths.se

Info

Kunder med Sjunetuppkoppling ska ha tagit del av avsnitten om:

Nätverksinställningar

Nedan hittar du information om om vilka Domännamn, IP-adresser, Subnät, Portar och protokoll som används samt en konnektivitetsmatris

Observera

title	Proxy och TLS-inspektion

Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från SITHS eID apparna till Autentiseringstjänsten och Utfärdandeportalen.

Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö.

Info
För information om Nätverksinställningar för SITHS i samband med Utfärdande av certifikat till smarta kort och Mobilt SITHS, samt för information om spärrkontroll för certifikat, se: Nätverksinställningar för SITHS

Konnektivitet

Användarnas SITHS eID-klienter behöver kunna kommunicera med Autentiseringstjänsten och Utfärdandeportalen.
För att kunna utfärda/administrera Mobilt SITHS eID så måste användarnas browser kunna komma åt Utfärdandeportalen samt den instans av Ineras IdP som Utfärdandeportalen använder sig av för autentisering.
Organisationer som sitter på Sjunet och internet samtidigt behöver välja över vilket nät och hur trafiken skall routas (se avsnitt sjunet)

Detta kan sammanfattas på matrisform.

Kommunikation behövs mellan..	eID klient	Autentiseringstjänst	Utfärdandeportal	Browser	Ineras IdP	Lokal IdP
eID klient		ja	ja
Autentiseringstjänst SITHS	ja				ja	ja
Utfärdandeportal	ja			ja	ja
Browser			ja		ja
Ineras IdP		ja	ja	ja
Lokal IdP		ja

IP-adresser

Observera
För att säkerställa funktionalitet ska ni för öppna för trafik från hela nätverkssegmenten nedan.

IPv4

82.136.182.0/24
82.136.183.0/24

IPv6

2a01:58:6106::/48

IP-adresser per miljö

Expandera

Miljö	Tjänst	Domännamn	Adress (IPv4)	Ny adress från hösten 2023
TEST	IdP för autentisering	Landningssida https://idp.ineratest.org	82.136.182.16
	IdP för autentisering	mTLS https://secure.idp.ineratest.org https://secure0.idp.ineratest.org https://secure1.idp.ineratest.org ...osv. https://secure9.idp.ineratest.org	82.136.182.27
	Autentiseringstjänst SITHS för autentisering med SITHS eID-apparna	Anslutande SITHS eID-app https://authservice.test.siths.se	82.136.183.38
		Anslutande IdP https://secure-authservice.test.siths.se	82.136.183.40
	Testportal	https://test.idp.ineratest.org	82.136.182.16
	Personuppgiftstjänstens användargränssnitt	https://pu.ineratest.org https://ws.pu.ineratest.org https://api.pu.ineratest.org	82.136.182.17
	/wiki/spaces/CHDOK/pages/3475353158	https://sparradmin.ineratest.org https://ws.sparradmin.ineratest.org https://ws.sparrtjanst.ineratest.org	82.136.182.18
	Samtyckestjänst	https://samtyckestjanst.ineratest.org https://ws.samtyckestjanst.ineratest.org	82.136.182.19
	Loggtjänst	https://loggtjanst.ineratest.org https://ws.loggtjanst.ineratest.org	82.136.182.20
QA	IdP för autentisering	Landningssida https://idp.ineraqa.org	82.136.182.9
	IdP för autentisering	mTLS https://secure.idp.ineraqa.org https://secure0.idp.ineraqa.org https://secure1.idp.ineraqa.org ...osv. https://secure24.idp.ineraqa.org	82.136.182.9	From 12/9-2023: 82.136.182.29
	Autentiseringstjänst SITHS för autentisering med SITHS eID-apparna	Anslutande SITHS eID-app https://authservice.qa.siths.se	82.136.183.71
		Anslutande IdP https://secure-authservice.qa.siths.se	82.136.183.72
	Testportal	https://test.idp.ineraqa.org	82.136.182.9
	Personuppgiftstjänstens användargränssnitt	https://pu.ineraqa.org https://ws.pu.ineraqa.org https://api.pu.ineraqa.org	82.136.182.21
	Spärradministration	https://sparradmin.ineraqa.org https://ws.sparradmin.ineraqa.org https://ws.sparrtjanst.ineraqa.org	82.136.182.23
	Samtyckestjänst	https://samtyckestjanst.ineraqa.org https://ws.samtyckestjanst.ineraqa.org	82.136.182.22
	Loggtjänst	https://loggtjanst.ineraqa.org https://ws.loggtjanst.ineraqa.org	82.136.182.24
PROD	IdP för autentisering	Landningssida https://idp.inera.se	82.136.182.2
	IdP för autentisering	mTLS https://secure.idp.inera.se https://secure0.idp.inera.se https://secure1.idp.inera.se ...osv. https://secure24.idp.inera.se	82.136.182.2	From 26/9-2023: 82.136.182.3
	Autentiseringstjänst SITHS för autentisering med SITHS eID	Anslutande SITHS eID-app https://authservice.siths.se	82.136.183.103
	Autentiseringstjänst SITHS för autentisering med SITHS eID	Anslutande IdP https://secure-authservice.siths.se	82.136.183.104
	Testportal	https://test.idp.inera.se	82.136.182.2
	Personuppgiftstjänstens användargränssnitt	https://pu.inera.se https://admin-pu.inera.se https://ws.pu.inera.se https://api.pu.inera.se	82.136.182.28
	Spärradministration	https://sparradmin.inera.se https://ws.sparradmin.inera.se https://ws.sparrtjanst.inera.se	82.136.182.25
	Samtyckestjänst	https://samtyckestjanst.inera.se https://ws.samtyckestjanst.inera.se	82.136.182.26
	Loggtjänst	https://loggtjanst.inera.se https://ws.loggtjanst.inera.se	82.136.182.31

Portar

443
80 (redirectas till https (443)

Transportkryptering

Allt trafik mot Ineras IAM-tjänster krypteras över HTTPS. För anrop mot vissa tjänster krävs Mutal TLS över HTTPS

TLS-protokoll

Lägsta TLS protokollversion som stöds är TLSv1.2

Cipher suites

Eftersom Ineras IAM-tjänster i dagsläget har två olika driftleverantörer har olika tjänster vissa variationer i vilka Cipher Suites som stöds.

Se Cipher Suites per protokoll och funktion genom att expandera nedan fält

Expandera

Cipher suite
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Expandera

Cipher suite
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Expandera

Cipher suite
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256

Sjunet
Ankare
Sjunet
Sjunet

IAM-tjänsterna finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing. Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras komponenter för Identitet- och åtkomsthantering

Expandera

Bakgrund

IP-adressblocken som omnämns under rubriken "Inledning" har historiskt funnits endast på Sjunet, och kan tidigare ha routats antingen via Internet eller Sjunet beroende på:

tidigare kommunikation från Sjunetförvaltningen om att alla dessa nät ska routas via Sjunet
tidigare kommunikation från Ineras Projekt, IdP- eller SITHS förvaltning om att 82.136.182.0/24 respektive 82.136.183.0/24 ska routas via Internet eller Sjunet beroende på hur man vill styra sina användares trafik vid inloggning till IdP:n

Beroende på hur er organisation routar dessa nät kommer ev. brandväggsöppningar att behöva utföras antingen i brandväggen för internet eller i brandväggen för Sjunet.

Åtgärder

Bestäm om ni vill nå dessa komponenter via Internet eller Sjunet.
Säkerställ att ni routar ovanstående adressblock rätt baserat på ovan val av routing
Säkerställ att er trafik NAT:as bakom en IP-adress som matchar den routing ni väljer:
1. Routing Sjunet → NAT bakom en Sjunet IP-adress
2. Routing Internet → NAT bakom en Internet IP-adress

Webbadresser

Huvuddomäner

Miljö

Domän

TEST

*.ineratest.org

*.test.siths.se

QA

*.ineraqa.org

*.qa.siths.se

PROD

*.inera.se

*.siths.se

Subdomäner

Varje subdomän inom Ineras komponenter för identitet- och åtkomsthanteringhar ett syfte som beskrivs nedan

Expandera

Tjänst	Subdomän	Anteckning
IdP för autentisering	idp.*
IdP för autentisering	secure.idp.*	Användarautentisering via mTLS och Net iD Enterprise
Utfärdandeportalen för Mobilt SITHS	mobiltsiths.*	Ska primärt nås via SITHS Mina sidor som hänvisar till rätt plats eftersom sökvägen kan ändras i framtiden. SITHS Mina sidor Preprod (TEST och QA) - https://minasidor.preprod.siths.se SITHS Mina sidor Produktion - https://minasidor.siths.se
IdP för Utfärdandeportalen för Mobilt SITHS	idp.<miljö>.siths.se
Autentiseringstjänst	authservice.<miljö>.siths.se
Autentiseringstjänst	secure-authservice.<miljö>.siths.se	Kommunikation via mTLS mellan IdP och Autentiseringstjänsten. Behövs endast för kunder som har en direktanslutning lokal IdP → Autentiseringstjänsten.
Testportal	test.idp.*

Tjänst	Subdomän	Anteckning
Personuppgiftstjänsten	pu.*	Användargränssnitt för person- och kontajtuppgifter
Spärradministration	sparradmin.*	Användargränssnitt för administration av spärrar inom patientdatalagen

Fullständiga adresser

Nedan finns en tabell över samtliga hostnamn/adresser som används av Ineras komponenter för identitet- och åtkomsthantering samt övriga tjänster

Expandera

Miljö

IdP för autentisering

IdP för Utfärdandeportalen för Mobilt SITHS

Autentiseringstjänst

Utfärdandeportal för Mobilt SITHS

Testportal

TEST

idp.mobiltsiths.ineratest.org

SITHS eID App → authservice.test.siths.se
IdP → secure-authservice.test.siths.se

OBS! Nås primärt vis SITHS Mina sidor för TEST: https://minasidor.preprod.siths.se

Som hänvisar vidare till→ mobiltsiths.ineratest.org (kan komma att ändras i framtiden)

test.idp.ineratest.org

QA

idp.mobiltsiths.ineraqa.org

SITHS eID App → authservice.qa.siths.se
IdP → secure-authservice.qa.siths.se

OBS! Nås primärt vis SITHS Mina sidor för TEST: https://minasidor.preprod.siths.se

Som hänvisar vidare till→

mobiltsiths.ineraqa.org (kan komma att ändras i framtiden)

test.idp.ineraqa.org

PROD

idp.mobiltsiths.inera.se

SITHS eID App → authservice.siths.se

IdP → secure-authservice.siths.se

mobiltsiths.inera.se

test.idp.inera.se

Övriga tjänster

Miljö	Personuppgiftstjänsten	Spärradministration
TEST	pu.ineratest.org	sparradmin.ineratest.org
QA	N/A	N/A
PROD	pu.inera.se	sparradmin.inera.se

Sökvägar för API:er och metadata

Anslutning av tjänst eller IdP → Ineras IdP

För att i en egen tjänst möjliggöra legitimering av användare via Ineras IdP

Metadata för Ineras IdP

För e-tjänster eller lokala IdP:er som skall ansluta till IdP för autentisering.

SAML-metadata exponeras på /saml
OIDC-metadata exponeras på /oidc/.well-known/openid-configuration

TESThttps://idp.ineraqa.org/saml

Miljö	SAML Metadata	SAML EntityId	OIDC Metadata	OIDC issuer
TEST	https://idp.ineratest.org/saml	https://idp.ineratest.org:443/saml	https://idp.ineratest.org/oidc/.well-known/openid-configuration	https://idp.ineratest.org:443/oidc
QA	https://idp.ineraqa.org/saml	https://idp.ineraqa.org:443/saml	https://idp.ineraqa.org/oidc/.well-known/openid-configuration
Miljö	SAML Metadata	SAML EntityId	OIDC Metadata	OIDC issuer
https://idp.ineraqa.org:443/oidc
PROD	https://idp.ineratestinera.orgse/saml	https://idp.ineratestinera.orgse:443/saml	https://idp.ineratestinera.orgse/oidc/.well-known/openid-configuration	https://idp.ineratestinera.orgse:443/oidc	QA

Direktanslutning lokal IdP → Autentiseringstjänsten

För lokala IdP:er som skall ansluta direkt till Autentiseringstjänsten via Relying Party API enligt Anslutningsguide till Autentiseringstjänsten.

Utdrag

Miljö	Adress för Relying Party API	API-dokumentation
TEST	https://

idp.ineraqa.org:443/saml

secure-authservice.test.siths.se

https://

idp

authservice.test.

ineraqa

siths.

org/oidc/.well-known/openid-configuration

se/openapi/swagger-ui/index.html?configUrl=%2Fv3%2Fapi-docs%2Fswagger-config&urls.primaryName=Relying%20Party%20API%20V1
QA	https://

idp.ineraqa.org:443/oidcPROD

secure-authservice.qa.siths.se

https://

idp

authservice.qa.

inera

siths.se

/saml

/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#
PROD	https://

idp

inera

:443

saml

idp

inera

oidc

.well

known/openid-configurationhttps://idp.inera.se:443/oidc

Direktanslutning lokal IdP → Autentiseringstjänsten

För lokala IdP:er som skall ansluta direkt till Autentiseringstjänsten via Relying Party API enligt Anslutningsguide till Autentiseringstjänsten.

UtdragMiljöAdress för Relying Party APIAPI-dokumentationTEST

https://secure-authservice.test.siths.se

https://authservice.test.siths.se/openapi/swagger-ui/index.html?configUrl=%2Fv3%2Fapi-docs%2Fswagger-config&urls.primaryName=Relying%20Party%20API%20V1

QA

https://secure-authservice.qa.siths.se

https://authservice.qa.siths.se/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#

PROD

https://secure-authservice.siths.se/

https://authservice.siths.se/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#

Integrationer mot externa system

IdP:ns integration mot HSA-miljöer

IdP interagrerar direkt mot HSA-katalogen för att hämta användarattribut, ej via den nationella tjänsteplattformen.

För Spärradministrationstjänstens integrationer, se Beroenden i tjänstens SAD

ui/index.html?url=/v3/api-docs/rp#

Integrationer mot externa system

IdP:ns integration mot HSA-miljöer

IdP interagrerar direkt mot HSA-katalogen för att hämta användarattribut, ej via den nationella tjänsteplattformen.

Expandera

MIljö

Domäner

Ansluten till HSA miljö (se gärna även här (Riktlinjer för tester och testdata))

TEST

idp.ineratest.org

HSA Integrationsmiljö:

https://hsatest.inera.se/hsaadm/ (Internet)

https://testhotell2.carelink.sjunet.org/hsaadm/ (Sjunet)

QA

idp.ineraqa.org

PROD

idp.inera.se

HSA Produktionsmiljö:

https://hsa.inera.se/hsaadm (Internet)
https://hsahotell.carelink.sjunet.org/hsaadm (Sjunet)

För Spärradministrationstjänstens integrationer, se /wiki/spaces/CHDOK/pages/3475217939

Personuppgifttjänstens gränssnitt har beroenden till IdP för slutanvändares autentisering samt för Skatteverkets tjänst Navet, se Översikten i tjänstens SAD.

Felsökningsguide
Ankare
Felsökningsguide
Felsökningsguide

Innehåller en översikt och målgruppsanpassade felsökningsguider

Expandera

title	Allmän felsökning för nätadminitratörer

DNS uppslag:Får klienten DNS-uppslag mot rätt IP-adresser? (Testet inkluderar ett DNS-namn från respektive subnät)
- nslookup idp.inera.se (resultatet som klienten ska få är 82.136.182.2)
- nslookup authservice.siths.se (resultatet som klienten ska få är 82.136.183.103)
- nslookup sparradmin.inera.se (resultatet som klienten ska få är 82.136.182.4)
Routing: Vilken väg tar trafiken (Sjunet/Internet)?
Använd tracert för att se vilken väg trafiken tar:
- tracert -d 82.136.182.2 (Om den i slutet passerar 10.9.34.6 så går trafiken över sjunet)
- tracert -d 82.136.183.103 (Om den i slutet passerar 81.89.159.168 så går trafiken över sjunet)
- tracert -d 82.136.182.4
NAT: Säkerställ att era klienter NAT:as bakom rätt adress beroende på vilken routing ni väljer så att trafiken hittar tillbaka
- Routing Sjunet → NAT bakom en Sjunet IP-adress
- Routing Internet → NAT bakom en Internet IP-adress
- Om ni inte kan Source-routa och ha olika NAT-adresser för era olika Interna nät måste samtliga nät NAT:as bakom rätt IP-adress beroende på ert val av routing (Internet/Sjunet)

Expandera

title	För eTjänsts slutanvändare

Kan du inte logga in i etjänsten?
1. har du provat från fler datorer?
  1. JA: felanmäl till din lokala IT support och hänvisa gärna till den sida du nu läser: Nätverksinställningar för tjänster inom identitet och åtkomst
  2. NEJ: prova gärna med annan dator
2. Anges något servicefönster med beräknad användarpåverkan på www.inera.se/driftstatus/kommande-atgarder/ eller allmän driftstörning på www.inera.se/driftstatus/ för etjänsten eller dess stödtjänster?
  1. JA: avvakta tills störningen/servicefönstret är avslutat
  2. NEJ: Kan du surfa till idp.inera.se eller och få fram bilden:
    1. JA: Kan en kollega logga in i etjänsten?
      1. NEJ: kontakta Inera Support (inera@support.se) och ange problem med etjänsten
      2. JA: kontakta lokal katalogansvarig för att säkerställa att du har rätt medarbetaruppdrag, attribut i HSA etc
    2. NEJ: din organisations nätadministratörer behöver öppna brandväggar och/eller justera DNS. Felanmäl till din lokala IT support och hänvisa gärna till denna sida.
3. Har du testat ditt eID på test.idp.inera.se och det fungerar där?
  1. JA: felet ligger troligen i den etjänst du försöker nå, om det är en etjänst från Inera, kontakta Inera Support (inera@support.se) och ange problem med etjänsten
  2. NEJ: problemet är ditt eID (mobilt eller på SITHS kort) och du behöver felanmäla till din lokala SITHS eller HSA förvaltning

Expandera

title	För eTjänsts förvaltning

Erbjuds er eTjänst på Sjunet?
1. JA: genomför vanliga informationsinsatser när tjänst finns på ny IP adress
2. NEJ: Sitter vissa/alla av eTjänstens slutanvändare i organisation med Sjunet?
  1. Genomför tester innan övergång till IdP:n i så breda (geografiskt spridda) organisatoriska enheter som möjligt för att i god tid fånga och hantera de användargrupper på nätsegment som har konntektivitetsproblem
  2. Eventuellt implementera loggning av konnektivitet och kontakta Säkerhetstjänsters förvaltning genom ett ärende till support@inera.se
Fungerar autentisering i Testportalen (test.idp.inera.se)
1. JA: felet ligger troligen etjänsten
2. NEJ: problemet är den aktuella personenens eID:t (mobilt eller på SITHS kort) och behöver felanmälas till den lokala SITHS förvaltningarna (IT support)

Expandera

title	För sjunetansluten organisations nätverksadministratörer

Kontrollera att portar öppnats och instruktioner följts i avsnitt Sjunet?
Har organisationen olika routrar för Sjunet och internet? (d v s separat routing)?
1. JA: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
  1. Inera rekommenderar att ni routar trafiken över sjunet där ni har en högre tillgänglighetsgaranti
  2. Justera tabell / BGP
2. NEJ: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
  1. Båda routrarna bör få näten annonserade till sig - alternativt static/default route
  2. Justera tabell / BGP
Har organisationen brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet? Öppna dessa efter behov och nät

Expandera

title	För EJ sjunetansluten organisations nätverksadministratörer

Har ni brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet?
1. JA: Öppna dessa mot 82.136.182.0/24 och/eller 82.136.183.0/24
NEJ: Om klienter på aktuella nät för slutanvändare besöker idp.inera.se och idp.ineratest.org (eller motsvarande tjänsts adress/miljö) i webbläsare ser de då "404"?
1. NEJ: Kontrollera att portar öppnats och instruktioner följts i avsnitt Sjunet?
JA: Kommunikationen med Ineras IdP och andra Ineratjänster fungerar

Expandera

title	Fullständigt fråga-svarsträd och översikt

Översikt: tre olika nätscenarier för slutkund

Observera

title	Under uppdatering

Dessa bilder är under arbete att bli mer generella för alla tjänster och komponenter

Fullständigt fråga-svarsträd

...

Sidjämförelse

Jämförda versioner

Gammal version 51

Ny version 52

Nyckel

Innehållsförteckning

Revisionshistorik

Inledning

Nätverksinställningar

Konnektivitet

IP-adresser

IPv4

IPv6

IP-adresser per miljö

Portar

Transportkryptering

TLS-protokoll

Cipher suites

Inledning

Webbadresser

Huvuddomäner

Subdomäner

Fullständiga adresser

Sökvägar för API:er och metadata

Anslutning av tjänst eller IdP → Ineras IdP

Metadata för Ineras IdP

Nätverksinställningar

Konnektivitet

IP-adresser

IPv4

IPv6

IP-adresser per miljö

Portar

Transportkryptering

TLS-protokoll

Cipher suites

Sjunet AnkareSjunetSjunet

Bakgrund

Åtgärder

Webbadresser

Huvuddomäner

Subdomäner

Fullständiga adresser

Sökvägar för API:er och metadata

Anslutning av tjänst eller IdP → Ineras IdP

Metadata för Ineras IdP

Direktanslutning lokal IdP → Autentiseringstjänsten

Direktanslutning lokal IdP → Autentiseringstjänsten

Integrationer mot externa system

IdP:ns integration mot HSA-miljöer

Integrationer mot externa system

IdP:ns integration mot HSA-miljöer

Felsökningsguide AnkareFelsökningsguideFelsökningsguide

Sjunet
Ankare
Sjunet
Sjunet

Felsökningsguide
Ankare
Felsökningsguide
Felsökningsguide