Tillägg av avsnitt kring Inloggning till Windows och ändring av struktur på sidan.
1.2
2021-02-11
SITHS Förvaltning
Uppdatering av hur spärrkontroll fungerar
1.21
2021-02-15
SITHS Förvaltning
Teknisk beskrivning av SITHS Root CA ersatt av denna sida
1.22
2021-02-22
SITHS Förvaltning
Tillägg av information om plattformskrav för SITHS Admin och Mina sidor
1.23
2021-03-01
SITHS Förvaltning
Tillägg av information om att stänga av strömspartläge och använda så nya kortläsardrivrutiner som möjligt.
1.3
SITHS Förvaltning
Tillägg av rubrik för SITHS Testsida
1.31
SITHS Förvaltning
Mindre textjusteringar och tillägg av spärrlistors giltighetstid för Utfärdande CAs
1.32
SITHS Förvaltning
Tillägg av information om pin-cache.
1.33
SITHS Förvaltning
Lagt till information om Underskrift och Förnyad autentisering utan Net iD Enterprise/Plugin
1.34
SITHS Förvaltning
Uppdaterade informationen om RFID och MIFARE
1.35
SITHS Förvaltning
Lade in avgränsare mellan avsnitt
1.36
SITHS Förvaltning
Lade till länk till Edge i IE11 Mode för både Mina Sidor och SITHS-Admins plattformskrav
1.37
SITHS Förvaltning
Lade till länk till Edge i IE11 Mode för både Mina Sidor och SITHS-Admins plattformskrav
1.38
SITHS Förvaltning
Lade till länkar till information om alternativa sätt att logga in i Windows med SITHS eID-appen och information om begränsad support för användning av SITHS eID-appen tillsammans med virtualiserade klientplattformar (VDI)
1.40
SITHS Förvaltning
Justerade information om olika varianter av inloggning för Windows:
Interaktiv inloggning till Windows-dator
Stöd för ytterligare autentiseringslösningar för inloggning till applikationer efter inloggningen till Windows-datorn
Förtydliganden kring Pin-cache/Pin-SSO
1.41
SITHS Förvaltning
Lade till länk till sida om hur inläsning av SITHS-kort går till på Windows och beskrivningar av de två olika autentiseringslösningarna Out-of-band och Dubbelriktad TLS (mTLS)
2.0
SITHS Förvaltning
Stor ombearbetning av strukturen för sidan
2.1
SITHS Förvaltning
Lade till Windows 11 för os krav för siths-admin och Mina sidor.2.
2.11
SITHS Förvaltning
Lade till information om SAC PKCS#11 på Linux och information om IgelOS gällande tunna klienter på Linux. Lade till information om den kommande MacOS. Lade till länk till projektets sida om nya IP-adresser för SITHS certifikatutfärdare efter flytten under 2023.
Omstrukturering av sidan för att flytta upp information om Autentiseringslösningar och olika varianter av appar ovanför information om utfärdande och PKI.
2.12
SITHS Förvaltning
Länkade in information om avsändande e-postservrar som Telia använder när SITHS Admin skickar e-post till användare/funktionsbrevlådor. Dessa brukar behöva läggas till som tillåtna i organisationens SPAM-filter. Detta för att tillåta att SITHS Admin skickar e-post för organisationens egen e-postdomän om det är denna som konfigurerats som avsändande e-postserver i SITHS Admin
2.13
SITHS Förvaltning
Lade till information om att Windows Push Notifications User Service (WpnUserService) måste köras för att SITHS eID-appen inte ska krascha på Citrix.
2.14
SITHS Förvaltning
Flyttade ut information om användning av SITHS på tunna klienter till en egen sida för att kunna direkt länka. Sidan länkas dock fortfarande in i detta dokument.
2.15
SITHS Förvaltning
Tillägg av information om att IgelOS kräver att man inaktiverar apparmor för att SAC PKCS#11 ska fungera.
2.16
SITHS Förvaltning
Förtydligade information om att HSA-id ej finns i Sektor 15 för MIFARE på Reservkort.
2.17
SITHS Förvaltning
Lade till information om publicering till HSA och information om värdena som publiceras.
2.18
SITHS Förvaltning
Inkluderat sidor med information om Certifikatutfärdare och tillit till dessa samt information om sökvägar och brandväggsöppningar istället för länkar man måste följa.
2.19
SITHS Förvaltning
Tillägg av kompatibilitetsinformation om SITHS eID Portal
2.20
SITHS Förvaltning
Borttag av Net iD samt SCS
...
Inledning
Referensarkitekturer för Legitimering och Underskrift
Historiskt har dubbelriktad TLS hanterats med hjälp av klientapplikationen Net iD Enterprise. Det vanligaste är att tjänster som implementerat autentiseringslösningen dubbelriktad TLS för användare som har Net iD Enterprise använder någon eller båda av nedan:
Inbyggd funktionalitet i webbläsaren/applikationen och operativsystemet i kombination med Net iD eller;
Net iD plugin (legacy)
För inloggning med SITHS-kort till Windows eller via MTLS i en webbläsare/egenutvecklad applikation är det rekommenderat och även vanligast att använda inbyggd funktionalitet i operativsystemet i kombination med import av certifikat från SITHS-kortet med hjälp av Net iD Enterprise.
Net iD plugin för legitimering och/eller underskrift med SITHS
Observera
Net iD plugin stöds i dagsläget endast på Internet Explorer 11 förutsatt att användarens klientdator tillåter att det körs.
Då Net iD Enterprise inte alltid kommer ingå i Ineras produktutbud rekommenderas tjänster som idag använder Net iD plugin för följande syften hänvisas istället till nya arkitektruella lösningar för att åstadkomma denna funktionalitet:
Begära pin av användaren (förnyad autentisering) - ForceAuthN via IdP Autentisering via SITHS eID. Detta fungerar dock bara för Inloggningsmetoderna SITHS eID
Expandera
title
Läs mer om Net iD plugin för legitimering och/eller underskrift med SITHS
Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort alternativt begränsat stödet för de API:er, NPAPI (Chrome/Firefox) och ActiveX (Internet Explorer), som använts av tredjepartsmjukvaror som Net iD plugin.
Detta förutsätter också att användarens klientdator tillåter körning av ActiveX plugins (disabled by default) och att just SecMakers plugin för Net iD tillåts (default deny). Detta kan styras med hjälp av AD-kontrollerade Grupp principer (GPO).
Underskrift
Info
Underskrift med Net iD är beroende av Net iD plugin och lösningen skiljer sig för varje implementation.
Ineras nya Underskriftstjänst följer specifikationer från Digitaliseringsmyndigheten (DIGG), läs mer här: Underskriftstjänsten
Två stora skillnader när det kommer till underskrifter med hjälp av Net iD plugin och Ineras nya Underskriftstjänst är:
Underskriftslösningen med Net iD plugin blir proprietär för varje tjänst som bygger en integration mot Net iD plugin. Varpå hela ansvaret för den juridiska giltigheten för underskriften vilar på den organisation som utvecklat och/eller beställt utveckling av den tjänst som integrerar mot Net iD plugin för att skapa elektroniska underskrifter
Formatet för själva underskriften hanteras helt av den egna tjänsten. Ineras Underskriftstjänst följer DIGGs specifikationer och använder nationellt och internationellt godkända underskriftsformat.
För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD.
Vid underskrift via Net iD plugin har användaren en annan kod, Underskriftskoden.
Flöde för legitimering med dubbelriktad TLS (mTLS)
...
title
Visa flöde för legitimering med dubbelriktad TLS (mTLS)
...
Flöde för underskrift med Net iD plugin
...
title
Flöden för legitimering respektive underskrift med Net iD
...
Inloggning och autentisering på Windows
...
Inläsning av SITHS eID på kort i Windows
...
Inloggning och autentisering på Windows
Inkludera sida
Inloggning och autentisering i Windows
Inloggning och autentisering i Windows
Inläsning av SITHS eID på kort i Windows
Expandera
title
Visa information om hur SITHS eID-certifikat från läses in från SITHS-kortet och hur de hanteras på Windows
En spärr inom SITHS kan utföras enligt följande matris
Aktör/Beställare
Utförare
Metod
Kommentar
Användare
Nationell spärrfunktion hos Telia Kundtjänst
Telefon till 020-32 32 62
Ej funktionscertifikat
Användare
Användare
Mina sidor
Ej funktionscertifikat
Användare
ID-administratör
SITHS Admin
Användare/Innehavare
SITHS Föraltning
SITHS Admin
Vid anmälan om missbruk
ID-administratör
ID-administratör
SITHS Admin
SITHS PA
SITHS Förvaltning
SITHS Admin
Kortproduktion
Kortproduktion
Via API om det är problem att producera kort
Realisering av spärr
När en spärr har begärts av respektive Utförare kan det beroende på metod för kontroll ta en viss tid innan ett system kan få uppdaterad information om detta och använda den för att neka en användare att logga in.
OCSP
Är en metod där ett system kontrollerar ett certifikat åt gången
För denna metod realiseras spärren I princip omedelbart
Varje OCSP-svar får en tidsstämpel som säger hur länge svaret får användas av förlitande part. För SITHS gäller:
notBefore → Tidpunkt då frågan ställs
notAfter → 48 h framåt från notBefore
CRL
Är en metod där ett system kan hämta en lista över samtliga spärrade certifikat per certifikatsutfärdare
För denna metod finns en ledtid på upp till 65 minuter. En ny spärrlista ges ut av CA var 60:e minut, samt att det finns en cache på 5 minuter innan ny hämtas till den server (CDP) som är avlämningspunkt mot förlitande part.
Varje CRL får en tidsstämpel som säger hur länge den får användas av en förlitande part, för SITHS gäller:
Spärrlistor för certifikat till slutanvändare och funktionscertifikat:
lastUpdate → Tidpunkten då CRL skapas av CA
nextUpdate → 72h från lastUpdate
Spärrlistor som utfärdas av Root CA för utfärdande CAs:
lastUpdate → Tidpunkten då CRL skapas manuellt då rooten är offline
nextUpdate → ~12 månader
Info
Net iD Client är en annan produkt från SecMaker med liknande funktionalitet som Net iD Enterprise. Net iD Client ingår inte i Ineras avtal med Telia och stöds därför inte av Inera i dagsläget.
Legitimering och underskrift av användare kan ske med olika tekniker. Samtliga är förknippade med någon form av inloggningsmetod, ofta med en tillhörande applikation som installeras på användarens dator.
...
SITHS eID appen som även innefattar Mobilt SITHSNet iD
...
RFID - Inpassering, parkering och lunchautomater mm.