Autentiseringslösningar för SITHS

Innehållsförteckning

1 Revisionshistorik
2 Översikt
3 Inloggning via dubbelriktad TLS (mTLS)
- 3.1 Förutsättningar
- 3.2 Pin-cache och Pin-SSO
  - 3.2.1 Referenser
4 Inloggning via separat säkerhetskanal (out-of-band)
5 Användardialoger för de olika autentiseringslösningarna

Revisionshistorik

Version	Datum	Författare	Kommentar

Version	Datum	Författare	Kommentar
1.0	2022-09-07	SITHS Förvaltning	Etablering av sidan.
1.01	2022-09-29	SITHS Förvaltning	Lade till information om att PIN-SSO över mTLS också kan etableras vid första inloggningen via out-of-band.
1.02	2023-02-02	SITHS Förvaltning	Lade till lite förtydliganden om SITHS eID för Windows MD-paketering och att dessa innehåller SAC minidriver för att ge stödet för mTLS som autentiseringsmetod.
1.03	Mar 31, 2023	SITHS Förvaltning	Gjorde om avsnittet för användardialoger per autentiseringsmetod. Klistrade även in hur pin-dialogen ser ut för underskriftskoden om underskriftscertifikatet anropas via Microsoft CAPI2 för SAC minidriver och hur det ser ut när det anropas via CAPI2 eller webbläsaren och Net iD plugin.
1.04	Apr 12, 2023	SITHS Förvaltning	Lade till information om Microsofts turordning för presentation av certifikat vid ceritfikatvalsdialog/API via Microsoft CryptoAPI/CNG vid användning av SAC minidriver
1.05	Jul 6, 2023	SITHS Förvaltning	Lagt till information om PIN-SSO för macOS och förtydligat när PIN-SSO är aktuellt mha. en matris.
1.06	Mar 1, 2024	SITHS Förvaltning	Borttag av Net iD

Översikt

SITHS har två olika autentiseringslösningar:

Inloggning via dubbelriktad TLS (mTLS):
- Användare - för legitimering och underskrift av användare med hjälp av SITHS eID-appen för Windows i MD-paketering
  - MD-paketen innehåller SAC minidriver som står för stödet för autentiseringsmetoden mTLS
- Servrar - för identifiering av tjänster vid kommunikation mellan IT-system
Inloggning via separat säkerhetskanal (Out-of-band): för legitimering och underskrift av en användare med hjälp av SITHS eID-apparna

Vänster: Dubbelriktad TLS, Höger: Out-of-band

Dubbelriktad TLS kräver inte någon anslutning för att använda som autentiseringslösning.

För mer information om hur du ansluter till att använda autentiseringslösningen out-of-band se följande länkar:

Inloggning via dubbelriktad TLS (mTLS)

Endast aktuellt för SITHS eID på smartkort

Denna autentiseringslösning levereras som en del av SITHS eID-appen för Windows.

I denna lösning lagras certifikaten på det smarta kortet och importeras till Windows certifikatlagring. Vid inloggning integrerar sedan tjänsten mot operativsystemets och webbläsarens inbyggda funktioner för att be användaren välja ett certifikat som hen vill använda vid legitimering.

Användardialogerna presenteras primärt av webbläsaren och Operativsystemet och ligger således bortom SITHS kontroll.

På de flesta SITHS-kort finns även Telia e-legitimation som identifierar användaren. Att använda dessa certifikat vid legitimering av användaren är förenat med en avgift för varje legitimering/spärrslagning. För att använda detta krävs ett separat avtal med Telia.

Förutsättningar

Användaren behöver ha en så ny version som möjligt av applikationen för dubbelriktad TLS (mTLS) - Programvaror och tillbehör för SITHS
Både servern som driftar tjänsten och ofta användarens klientdator måste ha:
- Tillit till rätt Certifikatsutfärdare inom SITHS - PKI-struktur och rotcertifikat
- Brandväggsöppningar för spärrkontroll och byggande av tillitskedja - Nätverksinställningar för SITHS Certifikatutfärdare
Säkerställ att kortläsaren inte har strömsparläge aktiverat. Detta görs antingen i Datorns BIOS, Via enhetshanteraren eller genom inställningar i drivrutinerna för den enhet som används
Säkerställ att datorn använder så nya drivrutiner som möjligt för kortläsaren och att dessa laddas ner från tillverkaren av kortläsaren istället för via Windows Update

Pin-cache och Pin-SSO

Pin-cache funktionen som används med de flesta lösningar för smarta kort (inkl. SITHS) gör att användaren inte behöver ange pin-kod igen så länge SITHS-kortet sitter kvar i kortläsaren. För att Användaren ska bli helt utloggad från en tjänst måste hen:

Använda tjänstens egen funktion för utloggning
Avlägsna SITHS-kortet från kortläsaren
Utöver detta bör även alla tjänster komplettera med en egen inaktivitetstimeout. Denna hjälper dock inte om användare glömmer att avlägsna sitt SITHS-kort.

Klicka nedan för att läsa mer om Pin-cache och Pin-SSO

Vid användning av SITHS och autentiseringslösningar baserade på dubbelriktad TLS (mTLS) finns funktioner som gör att pin-koden för legitimering inte behöver anges vid varje ny begäran om legitimering/autentisering

Detta är ett måste för användarupplevelsen vid exempelvis inloggning till Windows. Det har också gett ett mervärde vid inloggning till tjänster som inte följer Referensarkitekturen för Identitet- och åtkomsthantering eftersom användaren inte behöver ange sin pin-kod upprepade gånger eller när man ska logga in i en annan tjänst som hanterar autentisering via samma AD-miljö som den AD-miljö som hanterar användarens inloggning till själva Windows-datorn.

I referensarkitekturen baseras Single Sign-On (SSO) upplevelsen på att man utfärdar identitetsintyg som är giltiga för inloggning i flera tjänster som använder samma IdP (enligt standarderna SAMLv2 eller OIDC).

Pin-cache är aktiverad som default enligt:

Applikation	Autentiseringsmetod	PIN-SSO

Applikation	Autentiseringsmetod	PIN-SSO
SITHS eID-app för Windows MD (MD=Minidriver, dvs. paket som innehåller SAC minidriver för att hantera stödet för autentiseringsmetoden mTLS)	mTLS	Ja
	OOB**	Nej
SITHS eID-app för macOS	mTLS	Nej
SITHS eID-app för macOS	OOB	Nej
SAC minidriver för Linux	mTLS	Nej

** Pin-cache för mTLS aktiveras både vid första inloggningen med mTLS via SAC minidriver OCH i samband med den första inloggningen användaren gör i SITHS eID-appen över autentiseringslösningar baserade på out-of-band. Out-of-band använder sig dock INTE av pin-cachen själv utan den aktiveras bara för mTLS.

Referenser

Inloggning via separat säkerhetskanal (out-of-band)

Denna autentiseringslösning kan användas både för SITHS eID på kort och Mobilt SITHS

Denna autentiseringslösning tillhandahålls av själva SITHS eID-appen och baserar sig på att en IdP integrerar mot ett gränssnitt på Autentiseringstjänsten som har en direktkommunikation med SITHS eID-appen. SITHS eID-appen hanterar i sintur inloggning och användardialogen istället för att interaktionen med användaren hanteras av datorns operativsystem och webbläsare.

I denna lösning lagras certifikaten:

För Mobilt SITHS - I den mobila enhetens hårdvarulagring (chip)
För SITHS eID på kort - i datorns minne för användning av SITHS eID-appen så länge kortet sitter i kortläsaren.

Användardialoger för de olika autentiseringslösningarna

Användardialogen skiljer mellan de två autentiseringslösningarna Dubbelriktad TLS och Out-of-band.

Out-of-band - SITHS eID-appen förfogar över majoriteten av användarinteraktionen
Dubbelriktad TLS - Nästan hela användarinteraktionen hanteras av Operativsystemet och webbläsaren

Out-of-band - SITHS eID på denna enhet

1 - Val av metod i IdP	2 - Appväxling	3 - Appen startas och användare anger pin-kod eller skannar sin biometri (om mobilt)

1 - Val av metod i IdP

2 - Appväxling

3 - Appen startas och användare anger pin-kod eller skannar sin biometri (om mobilt)

Denna användardialog finna bara på Datorer
Den dyker bara upp i vissa webbläsare och kan då se något annorlunda ut beroende på webbläsare
Om man har en egen webbläsare måste man tillåta customprotokollet siths:// för att SITHS eID-app för Windwos ska starta. Se även: SITHS eID Appväxling - Exempel för inbäddade webbläsare

Windows

Mobiltelefon/Surfplatta

Out-of band - SITHS eID på annan enhet

1 - Val av metod i IdP	2 - IdP visa QR-kod	3 - Användare öppnar appen i mobiltelefonen och väljer att skanna QR-kord	4 - Användare skannar QR-kod	5 - Användare anger pin-kod eller skannar biometri

1 - Val av metod i IdP

2 - IdP visa QR-kod

3 - Användare öppnar appen i mobiltelefonen och väljer att skanna QR-kord

4 - Användare skannar QR-kod

5 - Användare anger pin-kod eller skannar biometri

Dubbelriktad TLS/Mutual TLS (mTLS) - SITHS-kort på denna enhet

Eventuellt val av metod i IdP	Certifikatväljare: Google Chrome	Certifikatväljare: Microsoft Edge	Certifikatväljare: Internet Explorer 11 och IE11-mode i Edge

Eventuellt val av metod i IdP	Certifikatväljare: Google Chrome	Certifikatväljare: Microsoft Edge
	Svårt att se vad som är rätt:	Svårt att se vad som är rätt (men lite lättare):
PIN-dialoger (samma för alla)
Legitimering		Underskrift