Gå till slutet av bannern
Gå till början av bannern

Teknisk information vid användning av SITHS

Hoppa till slutet på meta-data
Gå till början av metadata

Du visar en gammal version av den här sidan. Visa nuvarande version.

Jämför med nuvarande Visa sidhistorik

« Föregående Version 22 Nästa »

Innehållsförteckning

Klicka nedan för att visa innehållsförteckning

 Visa innehållsförteckning

Revisionshistorik

Klicka nedan för att visa revisionshistorik

 Visa revisionshistorik

Version

Datum

Författare

Kommentar

1.0

2021-01-22

Team SITHS

Etabering av sidan.

Inledning

Användning av SITHS e-legitimation

Användning av SITHS-certifikat kan delas in enligt nedan vid inloggning till tjänster:

  • Mutual TLS:

    • Användare - för legitimering och underskrift av användare med hjälp av Net iD

    • Servrar - för identifiering av tjänster vid kommunikation mellan IT-system

  • Out-of-band authentication: för legitimering och underskrift av en användare med hjälp av SITHS eID

Övrig användning av SITHS-kort

SITHS-kort har även följande funktioner;

  • Inloggning till Windows

  • Inloggning till Citrix

  • Som visuell ID-handling

  • Inpassering, parkering etc. med hjälp av RFID (MIFARE Classic EV1)

  • Magnetband

  • Streckkod

För fullständig specifikation över beställningsbara SITHS-kort se Kortspecifikation och tillbehör med bilder - Bilaga 1.2 (Pdf)

Teknisk information om SITHS Certifikatsutfärdaree

Sökvägar och brandväggsöppningar

Här hittar du information om sökvägar och brandväggsöppningar för SITHS: Nätverksinställningar - Certifikatsutfärdare

Rot- och utfärdarcertifikat (Installation av tillit)

Här hittar du information om SITHS rot- och utfärdarcertifikat, samt vad som gäller kring installation av tillit till dessa: Rot- och utfärdarcertifikat

Legitimering och Underskrift av användare

Legitimering och underskrift av användare kan ske med olika tekniker. Samtliga är förknippade med någon form av inloggningsmetod, ofta med en tillhörande applikation som installeras på användarens dator.

I SITHS finns i dagsläget två applikationer som används för att möjliggöra användning av SITHS e-legitimation vid legitimering och underskrift av användare:

  • SITHS eID appen som även innefattar Mobilt SITHS

  • Net iD

Applikationer för användning av SITHS e-legitimation

Här hittar du information om och länkar/instruktioner för hur du hämtar de applikationer som användaren behöver vid användning av SITHS e-legitimation: Programvaror och tillbehör för SITHS

Referensarkitekturer för Legitimering och Underskrift

Ineras har tillsammans med kommuner och regioner tagit fram arkitekturdokument för hur tjänster med behov av legitimering och underskrift ska integrera mot infrastrukturen för legitimering och underskrift av användare:

Klicka nedan för att läsa mer om Referensarkitekturerna

 Referensarkitekturer för Legitimering och Underskrift

Filmer som beskriver referensarkitekturerna återfinns här: Referensarkitekturer för IAM och e-underskrift, deras realisering på Inera - YouTube

Dokument som beskriver referensarkitekturerna:

SITHS eID och Mobilt SITHS

På nedan sidor hittar du information om den nya SITHS eID appen och Mobilt SITHS samt filmer och bilder som ytterligare beskriver Utfärdande av Mobilt SITHS, samt legitimering och underskrift med SITHS eID appen:

Net iD

Det vanligaste just nu är att tjänster kombination av nedan:

  • Inbyggd funktionalitet i webbläsaren/applikationen och operativsystemet i kombination med Net iD eller;

  • Net iD plugin (legacy)

SITHS eID appen är under införande och är primärt till för legitimering och underskrift i tjänster som stödjer Referensarkitekturen för Identitet och åtkomsthantering

För inloggning med SITHS-kort till Windows eller via MTLS i en webbläsare/egenutvecklad applikation används inbyggd funktionalitet i operativsystemet i kombination med import av certifikat från SITHS-kortet med hjälp av Net iD

Mutual TLS för legitimering med SITHS och Net iD

Klicka nedan för att läsa mer om hur Mutual TLS för legitimering med SITHS och Net iD fungerar

 Mutual TLS för legitimering med SITHS och Net iD

Net iD används för att importera certifikat från SITHS-kortet till den certifikatshanterare som finns på datorn. Tjänsten, som användaren ska logga in i, integrerar i sin tur via webbläsaren mot operativsystemets inbyggda funktioner för att be användaren presentera ett inloggningsceritfikat.

Exakt hur detta utförs rent praktiskt och hur användareupplevelsen blir varierar med vilken typ och version av:

  • tjänstens servermjukvara

  • användarens operativsystem

  • användarens webbläsare (för webbaserade tjänster)

  • eventuell övrig användarapplikation

Förutsättningar

På SITHS-korten finns även Telia e-leg för användaren. Att anvvända dessa certifikat vid legitimering av användaren är förenat med en avgift för varje legitimering/spärrslagning. För att använda detta krävs ett separat avtal med Telia.

Net iD plugin för legitimering och/eller underskrift med SITHS

Net iD plugin stöds i dagsläget endast på Internet Explorer 11 förutsatt att användarens klientdator tillåter att det körs

Klicka nedan för att läsa mer om Net iD plugin

 Net iD plugin för legitimering och/eller underskrift med SITHS

Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort alternativt begränsat stödet för de API:er, NPAPI (Chrome/Firefox) och ActiveX (Internet Explorer), som använts av tredjepartsmjukvaror som Net iD plugin.

Numer kan Net iD plugin endast användas via Active X i webbläsaren Internet Explorer 11. Detta förutsätter också att användarens klientdator tillåter körning av ActiveX plugins (disabled by default) och att just SecMakers plugin för Net iD tillåts (default deny). Detta kan styras med hjälp av AD-kontrollerade Grupp principer (GPO).

För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD.

Vid underskrift via Net iD plugin används en annan kod, Underskriftskoden.

Underskrift med Net iD Plugin

Underskrift med Net iD är beroende av Net iD plugin och lösningen skiljer sig för varje implementation.

Ineras nya Underskriftstjänst följer specifikationer från Digitaliseringsmyndigheten (DIGG), läs mer här: Underskriftstjänsten

 Underskrift med Net iD Plugin

Användning av Net iD plugin har med tiden kommit att bli allt svårare att vidmakthålla då webbläsarutvecklarna tagit bort stöd för det API:er som använts av tredjepartsmjukvara som Net iD plugin. Numer kan detta endast realiseras via Internet Explorer 11 och Active X.

För support kring användning av Net iD plugin hänvisas kunden till att teckna extra supportavtal med SecMaker som är leverantör av Net iD.

Två stora skillnader när det kommer till underskrifter med hjälp av Net iD plugin och Ineras nya Underskriftstjänst är:

  • Underskriftslösningen med Net iD plugin blir proprietär för varje tjänst som bygger en integration mot Net iD plugin. Varpå hela ansvaret för den juridiska giltigheten för underskriften vilar på den organisation som utvecklat och/eller beställt utveckling av den tjänst som integrerar mot Net iD plugin för att skapa elektroniska underskrifter

  • Formatet för själva underskriften hanteras helt av den egna tjänsten. Ineras Underskriftstjänst följer DIGGs specifikationer och använder nationellt och internationellt godkända underskriftsformat.

Net iD SSO/pin-cache

Klicka nedan för att läsa mer om Net iD SSO/pin-cache

 Net iD SSO/pin-cache

Vid användning av SITHS med Net iD finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran.

Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering där man istället åstadkommer samma samma Single Sign-On upplevelse för alla tjänster med hjälp av stödet i standarderna SAMLv2 och OIDC.

Flöden för legitimering och underskrift

Om du expanderar nedan fält finns flödesbilder för legitimering och underskrift med Net iD (Mutual TLS respektive SITHS eID (Out-of-Band)

 Flöden för legitimering respektive underskrift med SITHS eID appen

Legitimering med SITHS eID

Underskrift med SITHS eID

 Flöden för legitimering respektive underskrift med Net iD

Legitimering med Mutuals TLS och Net iD

Underskrift med Net iD

Inloggning till Windows

Inloggning till Windows fungerar med SITHS-kort och Net iD Enterprise. Hjälp med att aktivera detta och support vid problem hanteras dock inte via Inera.

Om din organisation inte känner sig säker på att kunna hantera detta med egna resurser rekommenderar vi att ni upphandlar hjälp på området eller köper till extra supportavtal med våra nuvarande underlevernatörer SecMaker eller Cygate

Inloggning till Windows med SITHS e-legitimation på SITHS-kort

Klicka nedan för att läsa mer om inloggning till Windows med SITHS e-legitimation på SITHS-kort

 Inloggning till Windows med SITHS e-legitimation på SITHS-kort

Om användaren har ett användarnamn (domäninloggningsnamn) angivet i HSA när certifikatet eller kortet beställs inkluderas det i certifikatet som ett “User Principal Name”. Certifikatet får då också övriga egenskaper som behövs för att fungera för interaktiv inloggning till Windows

Därefter kan man följa instruktioner från Microsoft för hur man implementerar stöd för inloggning till Microsoft AD med certifikat från en tredjepartsutfärdare (SITHS), se Guidlines for enabling smart card logon with third-party certification authorities

I dagsläget används klientprogramvaran Net iD Enterprise för att ge stöd för interaktiv inloggning till Windows tillsammans med SITHS e-legitimation på SITHS-kort.

Net iD

Net iD Enterprise importerar certifikaten från SITHS-kortet till Windows egen certifikatslagring. Detta följer samma logik som Mutual TLS för legitimering med SITHS och Net iD

Beroende på vilken paktering av Net iD som används kan man också skräddarsy användarupplevelsen vid inloggning till AD med egen grafik på inloggningsskärmen.

Det finns också pakteringar av Net iD som använder Windows egna funktioner, men som bara tillför stöd för SITHS-korten, Net iD installeras då som en så kallad minidriver som används under Microsofts egen BaseCSP

Andra tekniker för inloggning till Windows med SITHS eID inkl. Mobilt SITHS

Utredning pågår, vi kommer att komplettera med referensmaterial

Inloggning till Citrix

Avsnittet ska skrivas

Funktionscertifikat - Legitimering av server

Avsnittet ska kompletteras

För att utfärda SITHS Funktionscertifikat se SITHS Funktionscertifikat - Användarguide

RFID - Inpassering, parkering och lunchautomater mm.

SITHS-kort används också för Inpassering, paerkering och lunchautomater hos många kunder. I detta sammanhang är det inte e-legitimationen på SITHS-kortet som används. Istället används en annan teknik och ett annat chip som också finns på SITHS-kortet.

I dagsläget används MIFARE Classic EV 1 som teknik för detta.

Nedan finns en specifikation över vilken information som skrivs i detta chip och hur den kodas:

För att ta del av den A-nyckel som används för att kryptera information i sektor 14 & 15 kontakta Inera supporten.

Här finns också ett par guider för verifiering av dessa chip:

För support kring inköp av läsare och integration av SITHS-kortet för dessa användningsområden hänvisas till era egna leverantörer för dessa lösningar.

Övrig teknisk dokumentation

Nedan guider ska ses som exempel och Inera har idag inte möjlighet att ge någon detaljerad support eller konsultation kring integration med SITHS-certifikat i den egna miljön. Våra kunder tecknar oftast egna avtal med olika tjänsteleverantörer och leverantörer av konstulttjänster på marknaden.

Bland annat tecknar många avtal direkt med Ineras underleverantörer Cygate och SecMaker

  • Inga etiketter