Andra tekniker för autentisering i Windows-miljö med SITHS eID inkl. Mobilt SITHS

Autentisering med SITHS eID “out-of-band” till applikationsresurser i Windows-miljö

SITHS eID på kort respektive mobil enhet går att integrera som autentiseringsmetoder i en lokal Windows-miljö ansluten till Azure AD. Detta möjliggör autentisering mot kopplade applikationsresurser i Windows-miljön, t.ex. Office365, Google Apps eller dylikt.

För att åstadkomma detta behöver Azure AD-installationen agera lokal IdP (Legitimeringstjänst) och anslutas till Ineras IdP enligt anslutningsmönstret “IdP-proxy”.

Det är även möjligt att integrera en lokal “on-prem” AD-installation med Azure AD och på så sätt skapa en hybrid-lösning där användare som är kopplade till den lokala AD-installationen kan autentiseras via Azure AD.

Förutsättningar

• Lokalt i er organisation

  • Azure AD används i rollen som lokal IdP. Denna behöver anslutas till Inera IdP för konsumtion av autentiseringsmetoderna SITHS eID på kort respektive mobil enhet.

    • Följ anvisningar för anslutning hos Inera Säkerhetstjänster enligt referens nedan. Se även MS dokumentation för anslutning av en SAML 2.0 Identity Provider (IdP).

  • Klientprogramvaran SITHS eID-app för Windows-datorer installeras

    • Vid behov laddas SITHS eID-app för mobila enheter ner och användarna hämtar Mobilt SITHS

  • Inom ramen för Azure AD konfigureras vilka applikationsresurser som ska kräva/använda vilken autentiseringsmetod.

  • Vid behov hanteras eventuell hybridlösning med on-prem AD-installation i kombination med Azure AD.

• Inera IdP tillhandahåller autentisering med SITHS eID och out-of-band-teknik med hjälp av Inera Autentiseringstjänst.

Referenser

• Anslutning till Ineras IdP och legitimering med SITHS eID

• Use a SAML 2.0 Identity Provider (IdP) for Single Sign On

• Hybrid-lösning med AD och Azure AD

  • Integrate on-premises AD with Azure

  • Integrate on-premises AD domains with Azure AD

  • Plan your hybrid Azure Active Directory join implementation

• Inera Referensarkitektur för Identitet och åtkomst

SITHS eID “out-of-band” som kompletterande autentiseringsmetod vid multi-faktor-autentisering i Windows-miljö

SITHS eID på kort respektive mobil enhet går även att integrera som kompletterande autentiseringsmetoder för s k multi-faktor-autentisering (MFA) i en lokal Windows-miljö ansluten till AD FS (Active Directory Federation Services) alternativt Azure AD.

Notera att MFA i Windows-miljön innebär att SITHS eID används som komplement till den primära autentiseringsmetoden i Windows-miljön, dvs. detta ersätter inte den primära. Till exempel, om den primära metoden är användarnamn+lösenord, kan man även kräva autentisering med SITHS eID i ett extra användarsteg.

För att åstadkomma detta behöver lokal AD FS eller en Azure AD-installation agera lokal IdP (Legitimeringstjänst) och anslutas till Ineras Autentiseringstjänst.

Förutsättningar

• Lokalt i er organisation

  • AD FS alternativt Azure AD används i rollen som lokal IdP. Denna behöver anslutas till Inera Autentiseringstjänst för konsumtion av autentiseringsmetoderna SITHS eID på kort respektive mobil enhet. Följ anvisningar för anslutning hos Inera Säkerhetstjänster.

• Inera Autentiseringstjänst tillhandahåller autentisering med SITHS eID och out-of-band-teknik.

Referenser

• Configure Additional Authentication Methods for AD FS

• How it works: Azure AD Multi-Factor Authentication

Interaktiv inloggning till Windows-dator med SITHS-kort

Interaktiv inloggning till en dator (“lokal datorinloggning”) med Windows styrs enligt Windows-arkitekturen av s k autentiseringsmoduler (authentication providers) i operativsystemet. Microsoft rekommenderar inte att byta ut de inbyggda autentiseringsmodulerna till tredje-parts-programvara. Det gör att de autentiseringsmöjligheter som finns är begränsade till det som tillhandahålls i Windows. En sådan möjlighet är att använda smart kort som följer Microsofts Minidriver-specifikation.

I miljöer där säker åtkomst till applikationerna är det primära och klientdatorerna ses som delade arbetsplatser, kan det vara lämpligast att endast kräva SITHS-kort vid applikationsåtkomst och inte för inloggning till klientdatorn.

Om man vill använda SITHS-kortet för den interaktiva inloggningen till Windows-datorer, kan SITHS installationspaket för Windows-datorer användas. I denna paketering ingår en Minidriver med stöd för SITHS-korten. Denna inloggning sker alltså lokalt i klientdatorn med det inbyggda stödet för smarta kort i Windows. I paketeringen ingår även en funktion för att låsa upp ett låst SITHS-kort vid Windows inloggningsskärm.

Förutsättningar

• Lokalt i er organisation

  • SITHS eID installationspaket för Windows-datorer (version 10 och 11), se referenser nedan.

Referenser

• Programvaror och tillbehör för SITHS

• Ladda ner SITHS eID Windowsklient