Teknisk information

Denna information riktar sig främst till förvaltningar av e-tjänster som söker information kring uthopp till Ineras etjänster med hjälp av Microsofts Webbläsare och i vissa fall äldre chromiumbaserade system.

Notera att tillägg av IdP-adresser i Trusted Sites endast ska vara nödvändigt ifall användaren även har SP:n/e-tjänsten i Trusted Sites vilket bland annat verkar vara fallet för många NPÖ-användare.

Bakgrund

IdP använder sig av omdirigeringar, cookies och mTLS under autentiseringen av en användare. Edge/IE 11 används av många e-tjänster för uthopp till annan tjänst där IdP används för autentisering och därför kan det vara intressant att ta del av den testmatris som Inera har tagit fram när det gäller Edge/IE 11's inställningar för Trusted Sites (Betrodda platser). Det har nämligen visat sig att vissa kombinationer av IdP:ns adresser och SP:n adress i Trusted Sites gör att Edge/IE 11 inte skickar med de cookies som krävs mellan omdirigeringarna för att IdP ska kunna ha kontroll över sessionen vilket innebär att autentiseringen misslyckas.

En förutsättning för att uthopp ska lyckas med Edge/IE 11 verkar även vara att IdP använder cookiens attribut SameSite och sätter värdet på detta attribut till None. Detta gör IdP från och med version 1.2. Detta kan dock innebära att riktigt gamla Chromversioner mellan version 51-66 (inkl Chromiumbaserade produkter) slutar att fungera, se https://www.chromium.org/updates/same-site/incompatible-clients.

Inte bara uthopp verkar vara påverkade av kombinationerna av SP och IdP i Trusted Sites. Problemen har även setts då man surfar in på vanligt sätt.

Observera att det i normala fall inte ska vara nödvändigt att lägga till IdP i Trusted Sites utan bara ifall man även har SP:ns/e-tjänstens adress där och har problem med inloggningen!

Adresser att lägga till i Trusted sites (endast vid behov/problem)

Miljö	Adresser
PROD	https://idp.inera.se https://secure.idp.inera.se
QA	https://idp.ineraqa.org https://secure.idp.ineraqa.org
TEST	https://idp.ineratest.org https://secure.idp.ineratest.org
DEV	https://idp.ineradev.org https://secure.idp.ineradev.org

Testresultat

Tabellen nedan visar på hur Inera genom NMT har testat olika kombinationer av URL:er i Trusted Sites. De ska främst ses som hjälp vid eventuell felsökning av klient med uthoppsproblem vid IdP-autentisering och inte som en garanti att en viss kombination fungerar på alla klienter med Edge/IE 11 och med alla e-tjänster. Symptomen vid problem med dessa inställningar kan vara att man inte kommer vidare i IdP-flödet eller att IdP svarar med felkod 412 - Förutsättning ej uppfylld eller att inloggningsflödet stannar utan att man blir omdirigerad till nästa sida.

Testfall/URL i Trusted Sites	*.idp.ineratest.org	*.ineratest.org	idp.ineratest.org	secure.idp.ineratest.org	SP/e-tjänst	Resultat
TF13	JA	JA	JA	JA	JA	OK
TF06	JA	NEJ	JA	NEJ	JA	OK
TF07	JA	NEJ	JA	NEJ	NEJ	OK
TF16	JA	NEJ	NEJ	JA	JA	OK
TF17	JA	NEJ	NEJ	JA	NEJ	OK
TF02	JA	NEJ	NEJ	NEJ	JA	OK
TF10	JA	NEJ	NEJ	NEJ	NEJ	OK
TF12	NEJ	JA	JA	NEJ	NEJ	OK
TF15	NEJ	JA	NEJ	NEJ	JA	OK
TF11	NEJ	JA	NEJ	NEJ	NEJ	OK
TF05	NEJ	NEJ	JA	JA	JA	OK
TF04	NEJ	NEJ	JA	NEJ	JA	NOK
TF08	NEJ	NEJ	JA	NEJ	NEJ	NOK
TF14	NEJ	NEJ	NEJ	JA	JA	NOK
TF09	NEJ	NEJ	NEJ	JA	NEJ	NOK
TF03	NEJ	NEJ	NEJ	NEJ	JA	OK
TF01	NEJ	NEJ	NEJ	NEJ	NEJ	OK

Webbläsaren stöds inte