Gå till slutet av bannern
Gå till början av bannern

Autentiseringslösningar för SITHS

Hoppa till slutet på meta-data
Gå till början av metadata

Du visar en gammal version av den här sidan. Visa nuvarande version.

Jämför med nuvarande Visa sidhistorik

« Föregående Version 6 Nästa »

Innehållsförteckning

 Visa innehållsförteckning

Revisionshistorik

 Visa revisionshistorik

Version

Datum

Författare

Kommentar

1.0

2022-09-07

SITHS Förvaltning

Etablering av sidan.

Översikt

SITHS har två olika autentiseringslösningar:

  • Dubbelriktad TLS (mTLS):

    • Användare - för legitimering och underskrift av användare med hjälp av Net iD Enterprise eller SITHS eID-appen för Windows

    • Servrar - för identifiering av tjänster vid kommunikation mellan IT-system

  • Out-of-band authentication: för legitimering och underskrift av en användare med hjälp av SITHS eID-apparna

Dubbelriktad TLS kräver inte någon anslutning för att använda som autentiseringslösning.

För mer information om hur du ansluter till att använda autentiseringslösningen out-of-band se följande länkar:

Dubbelriktad TLS (mTLS)

Endast aktuellt för SITHS eID på smartkort

Denna autentiseringslösning har historiskt tillhandahållits via Net iD Enterprise, men kommer under hösten 2022 även levereras som en del av SITHS eID-appen för Windows

I denna lösning lagras certifikaten på det smarta kortet och importeras till Windows certifikatlagring. Vid inloggning integrerar sedan tjänsten mot operativsystemets och webbläsarens inbyggda funktioner för att be användaren välja ett certifikat som hen vill använda vid legitimering.

Användardialogerna presenteras primärt av webbläsaren och Operativsystemet och ligger således bortom SITHS kontroll.

På de flesta SITHS-kort finns även Telia e-legitimation som identifierar användaren. Att använda dessa certifikat vid legitimering av användaren är förenat med en avgift för varje legitimering/spärrslagning. För att använda detta krävs ett separat avtal med Telia.

Förutsättningar

  • Användaren behöver ha en så ny version som möjligt av applikationen för dubbelriktad TLS (mTLS) - Programvaror och tillbehör för SITHS

  • Både servern som driftar tjänsten och ofta användarens klientdator måste ha:

  • Säkerställ att kortläsaren inte har strömsparläge aktiverat. Detta görs antingen i Datorns BIOS, Via enhetshanteraren eller genom inställningar i drivrutinerna för den enhet som används

  • Säkerställ att datorn använder så nya drivrutiner som möjligt för kortläsaren och att dessa laddas ner från tillverkaren av kortläsaren istället för via Windows Update

Pin-cache och Pin-SSO

Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte behöver ange pin-kod igen så länge SITHS-kortet sitter kvar i kortläsaren. För att Användaren ska bli helt utloggad från en tjänst måste hen:

  1. Använda tjänstens egen funktion för utloggning

  2. Avlägsna SITHS-kortet från kortläsaren

  3. Utöver detta bör även alla tjänster komplettera med en egen inaktivitetstimeout. Denna hjälper dock inte om användare glömmer att avlägsna sitt SITHS-kort.

Klicka nedan för att läsa mer om Pin-cache och Pin-SSO

 Läs mer om Pin-cache och PIN-SSO

Vid användning av SITHS och autentiseringslösningar baserade på dubbelriktad TLS (mTLS) finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran om legitimering/autentisering

Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering eftersom användaren inte behöver ange sin pin-kod upprepade gånger eller när man ska logga in i en annan tjänst som hanterar autentisering via samma AD-miljö som den AD-miljö som hanterar användarens inloggning till själva Windows-datorn.

I referensarkitekturen baseras Single Sign-On (SSO) upplevelsen på att man utfärdar identitetsintyg som är giltiga för inloggning i flera tjänster som använder samma IdP (enligt standarderna SAMLv2 eller OIDC).

Pin-cache är aktiverad som default i:

  • Paketeringar av Net iD Enterprise under Ineras licens

  • De paketeringar av SITHS eID-appen som har tilläget “MD”

Referenser

Inloggning via separat säkerhetskanal (out-of-band)

Denna autentiseringslösning kan användas både för SITHS eID på kort och Mobilt SITHS

Denna autentiseringslösning tillhandahålls av själva SITHS eID-appen och baserar sig på att en IdP integrerar mot ett gränssnitt på Autentiseringstjänsten som har en direktkommunikation med SITHS eID-appen. SITHS eID-appen hanterar i sintur inloggning och användardialogen istället för att interaktionen med användaren hanteras av datorns operativsystem och webbläsare.

I denna lösning lagras certifikaten:

  • För Mobilt SITHS - I den mobila enhetens hårdvarulagring (chip)

  • För SITHS eID på kort - i datorns minne för användning av SITHS eID-appen så länge kortet sitter i kortläsaren.

Användardialoger för de olika autentiseringslösningarna

Användardialogen skiljer mellan de två autentiseringslösningarna Dubbelriktad TLS och Out-of-band.

  • Out-of-band - SITHS eID-appen förfogar över majoriteten av användarinteraktionen

  • Dubbelriktad TLS - Nästan hela användarinteraktionen hanteras av Operativsystemet och webbläsaren

 Visa skisser för användardialoger per autentiseringslösning

Out-of-band (denna enhet)

Out-of band (annan enhet)

Dubbelriktad TLS (SITHS eID med SAC minidriver)

Dubbelriktad TLS (Net iD Enterprise)

  • Inga etiketter