Innehållsförteckning

Revisionshistorik

Inledning

Ineras tjänster för Identitet och åtkomsthantering (IAM-tjänster), Personuppgiftstjänsten och Spärrtjänsten finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing.

Med IAM-tjänster avses:

IdP
Autentiseringstjänst SITHS
Utfärdandeportal för Mobilt SITHS

Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras IAM-tjänster eller anställda som administrerar spärrar i den nationella tjänsten.

Kunder med Sjunetuppkoppling ska ha tagit del av avsnitten om:

Nätverksinställningar

Nedan hittar du information om om vilka Domännamn, IP-adresser, Subnät, Portar och protokoll som används samt en konnektivitetsmatris

Proxy och TLS-inspektion

Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från SITHS eID apparna till Autentiseringstjänsten och Utfärdandeportalen.

Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö.

För information om Nätverksinställningar för SITHS i samband med Utfärdande av certifikat till smarta kort och Mobilt SITHS, samt för information om spärrkontroll för certifikat, se: Nätverksinställningar för SITHS

Konnektivitet

Användarnas SITHS eID-klienter behöver kunna kommunicera med Autentiseringstjänsten och Utfärdandeportalen.
För att kunna utfärda/administrera Mobilt SITHS eID så måste användarnas browser kunna komma åt Utfärdandeportalen samt den instans av Ineras IdP som Utfärdandeportalen använder sig av för autentisering.
Organisationer som sitter på Sjunet och internet samtidigt behöver välja över vilket nät och hur trafiken skall routas (se avsnitt sjunet)

Detta kan sammanfattas på matrisform.

Kommunikation behövs mellan..	eID klient	Autentiseringstjänst	Utfärdandeportal	Browser	Ineras IdP	Lokal IdP
eID klient		ja	ja
Autentiseringstjänst SITHS	ja				ja	ja
Utfärdandeportal	ja			ja	ja
Browser			ja		ja
Ineras IdP		ja	ja	ja
Lokal IdP		ja

IP-adresser

För att säkerställa funktionalitet ska ni för öppna för trafik från hela nätverkssegmenten nedan.

IPv4

82.136.182.0/24
82.136.183.0/24

IPv6

2a01:58:6106::/48

IP-adresser per miljö

Portar

443
80 (redirectas till https (443)

Transportkryptering

Allt trafik mot Ineras IAM-tjänster krypteras över HTTPS. För anrop mot vissa tjänster krävs Mutal TLS över HTTPS

TLS-protokoll

Lägsta TLS protokollversion som stöds är TLSv1.2

Cipher suites

Eftersom Ineras IAM-tjänster i dagsläget har två olika driftleverantörer har olika tjänster vissa variationer i vilka Cipher Suites som stöds.

Se Cipher Suites per protokoll och funktion genom att expandera nedan fält

Sjunet

IAM-tjänsterna finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing. Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras komponenter för Identitet- och åtkomsthantering

Webbadresser

Huvuddomäner

Miljö

Domän

TEST

*.ineratest.org

*.test.siths.se

QA

*.ineraqa.org

*.qa.siths.se

PROD

*.inera.se

*.siths.se

Subdomäner

Varje subdomän inom Ineras komponenter för identitet- och åtkomsthanteringhar ett syfte som beskrivs nedan

Fullständiga adresser

Nedan finns en tabell över samtliga hostnamn/adresser som används av Ineras komponenter för identitet- och åtkomsthantering samt övriga tjänster

Sökvägar för API:er och metadata

Anslutning av tjänst eller IdP → Ineras IdP

För att i en egen tjänst möjliggöra legitimering av användare via Ineras IdP

Metadata för Ineras IdP

För e-tjänster eller lokala IdP:er som skall ansluta till IdP för autentisering.

SAML-metadata exponeras på /saml
OIDC-metadata exponeras på /oidc/.well-known/openid-configuration

Miljö	SAML Metadata	SAML EntityId	OIDC Metadata	OIDC issuer
TEST	https://idp.ineratest.org/saml	https://idp.ineratest.org:443/saml	https://idp.ineratest.org/oidc/.well-known/openid-configuration	https://idp.ineratest.org:443/oidc
QA	https://idp.ineraqa.org/saml	https://idp.ineraqa.org:443/saml	https://idp.ineraqa.org/oidc/.well-known/openid-configuration	https://idp.ineraqa.org:443/oidc
PROD	https://idp.inera.se/saml	https://idp.inera.se:443/saml	https://idp.inera.se/oidc/.well-known/openid-configuration	https://idp.inera.se:443/oidc

Direktanslutning lokal IdP → Autentiseringstjänsten

För lokala IdP:er som skall ansluta direkt till Autentiseringstjänsten via Relying Party API enligt Anslutningsguide till Autentiseringstjänsten.

Miljö	Adress för Relying Party API	API-dokumentation
TEST	https://secure-authservice.test.siths.se	https://authservice.test.siths.se/openapi/swagger-ui/index.html?configUrl=%2Fv3%2Fapi-docs%2Fswagger-config&urls.primaryName=Relying%20Party%20API%20V1
QA	https://secure-authservice.qa.siths.se	https://authservice.qa.siths.se/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#
PROD	https://secure-authservice.siths.se/	https://authservice.siths.se/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#

Integrationer mot externa system

IdP:ns integration mot HSA-miljöer

IdP interagrerar direkt mot HSA-katalogen för att hämta användarattribut, ej via den nationella tjänsteplattformen.

För Spärradministrationstjänstens integrationer, se Beroenden i tjänstens SAD

Personuppgifttjänstens gränssnitt har beroenden till IdP för slutanvändares autentisering samt för Skatteverkets tjänst Navet, se Översikten i tjänstens SAD.

Felsökningsguide

Innehåller en översikt och målgruppsanpassade felsökningsguider

Allmän felsökning för nätadminitratörer

DNS uppslag: Får klienten DNS-uppslag mot rätt IP-adresser? (Testet inkluderar ett DNS-namn från respektive subnät)
- nslookup idp.inera.se (resultatet som klienten ska få är 82.136.182.2)
- nslookup authservice.siths.se (resultatet som klienten ska få är 82.136.183.103)
- nslookup sparradmin.inera.se (resultatet som klienten ska få är 82.136.182.4)
Routing: Vilken väg tar trafiken (Sjunet/Internet)?
Använd tracert för att se vilken väg trafiken tar:
- tracert -d 82.136.182.2 (Om den i slutet passerar 10.9.34.6 så går trafiken över sjunet)
- tracert -d 82.136.183.103 (Om den i slutet passerar 81.89.159.168 så går trafiken över sjunet)
- tracert -d 82.136.182.4
NAT: Säkerställ att era klienter NAT:as bakom rätt adress beroende på vilken routing ni väljer så att trafiken hittar tillbaka
- Routing Sjunet → NAT bakom en Sjunet IP-adress
- Routing Internet → NAT bakom en Internet IP-adress
- Om ni inte kan Source-routa och ha olika NAT-adresser för era olika Interna nät måste samtliga nät NAT:as bakom rätt IP-adress beroende på ert val av routing (Internet/Sjunet)

För eTjänsts slutanvändare

Kan du inte logga in i etjänsten?
1. har du provat från fler datorer?
  1. JA: felanmäl till din lokala IT support och hänvisa gärna till den sida du nu läser: Nätverksinställningar för tjänster inom identitet och åtkomst
  2. NEJ: prova gärna med annan dator
2. Anges något servicefönster med beräknad användarpåverkan på www.inera.se/driftstatus/kommande-atgarder/ eller allmän driftstörning på www.inera.se/driftstatus/ för etjänsten eller dess stödtjänster?
  1. JA: avvakta tills störningen/servicefönstret är avslutat
  2. NEJ: Kan du surfa till idp.inera.se eller och få fram bilden:
    1. JA: Kan en kollega logga in i etjänsten?
      1. NEJ: kontakta Inera Support (inera@support.se) och ange problem med etjänsten
      2. JA: kontakta lokal katalogansvarig för att säkerställa att du har rätt medarbetaruppdrag, attribut i HSA etc
    2. NEJ: din organisations nätadministratörer behöver öppna brandväggar och/eller justera DNS. Felanmäl till din lokala IT support och hänvisa gärna till denna sida.
3. Har du testat ditt eID på test.idp.inera.se och det fungerar där?
  1. JA: felet ligger troligen i den etjänst du försöker nå, om det är en etjänst från Inera, kontakta Inera Support (inera@support.se) och ange problem med etjänsten
  2. NEJ: problemet är ditt eID (mobilt eller på SITHS kort) och du behöver felanmäla till din lokala SITHS eller HSA förvaltning

För eTjänsts förvaltning

Erbjuds er eTjänst på Sjunet?
1. JA: genomför vanliga informationsinsatser när tjänst finns på ny IP adress
2. NEJ: Sitter vissa/alla av eTjänstens slutanvändare i organisation med Sjunet?
  1. Genomför tester innan övergång till IdP:n i så breda (geografiskt spridda) organisatoriska enheter som möjligt för att i god tid fånga och hantera de användargrupper på nätsegment som har konntektivitetsproblem
  2. Eventuellt implementera loggning av konnektivitet och kontakta Säkerhetstjänsters förvaltning genom ett ärende till support@inera.se
Fungerar autentisering i Testportalen (test.idp.inera.se)
1. JA: felet ligger troligen etjänsten
2. NEJ: problemet är den aktuella personenens eID:t (mobilt eller på SITHS kort) och behöver felanmälas till den lokala SITHS förvaltningarna (IT support)

För sjunetansluten organisations nätverksadministratörer

Kontrollera att portar öppnats och instruktioner följts i avsnitt Sjunet?
Har organisationen olika routrar för Sjunet och internet? (d v s separat routing)?
1. JA: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
  1. Inera rekommenderar att ni routar trafiken över sjunet där ni har en högre tillgänglighetsgaranti
  2. Justera tabell / BGP
2. NEJ: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
  1. Båda routrarna bör få näten annonserade till sig - alternativt static/default route
  2. Justera tabell / BGP
Har organisationen brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet? Öppna dessa efter behov och nät

För EJ sjunetansluten organisations nätverksadministratörer

Har ni brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet?
1. JA: Öppna dessa mot 82.136.182.0/24 och/eller 82.136.183.0/24
NEJ: Om klienter på aktuella nät för slutanvändare besöker idp.inera.se och idp.ineratest.org (eller motsvarande tjänsts adress/miljö) i webbläsare ser de då "404"?
1. NEJ: Kontrollera att portar öppnats och instruktioner följts i avsnitt Sjunet?
JA: Kommunikationen med Ineras IdP och andra Ineratjänster fungerar

Fullständigt fråga-svarsträd och översikt

Översikt: tre olika nätscenarier för slutkund

Under uppdatering

Dessa bilder är under arbete att bli mer generella för alla tjänster och komponenter

Fullständigt fråga-svarsträd

Nätverksinställningar för tjänster inom identitet och åtkomst