/
Uppgradering av IdP-Bas vintern 2025-2026

Uppgradering av IdP-Bas vintern 2025-2026

 

Innehåll:

Bakgrund

Under vinter 2025-2026 kommer en ny version av Ineras Legitimeringstjänst IdP att släppas. Den nya versionen kommer att släppas i en helt ny driftsmiljö och de tjänster som idag är anslutna till Legitimeringstjänst IdP för medarbetare - Bas (IdP-Bas) kommer kommer behöva göra ett arbete vid övergång till den nya versionen. Värt att notera är att befintlig IdP-Bas och den nya versionen av IdP-Bas kommer fungera parallellt under ett par månader och när övergång görs styrs helt av kunden. Den nya versionen (3.1) är bakåtkompatibel men den är omarbetad i många delar och innehåller ny funktionalitet som är en förutsättning för framtida erbjudanden.

Nya funktioner i IdP-BAS version 3.1

I dagsläget har Inera flera IdP-tjänster i drift, men i och med version 3.1 så har Inera skapat en gemensam kodbas som på sikt kommer användas i alla instanser av Ineras IdP-tjänster (Legitimeringstjänst IdP för medabetare - Bas, Legitimeringstjänst IdP för medabetare - Plus samt Legitimeringstjänst IdP för invånare). Några saker kommer bli direkt tillgängliga i version 3.1 medans andra lägger grunden för funktioner i kommande releaser av IdP.

Exempel på funktionalitet:

  • Möjlighet att som kund själv hantera klientkonfiguration i QA-miljö för både SAML och OIDC klienter

  • Temabyggare - Webbgränssnitt som ger möjlighet att som kund själv anpassa utseendet till egen visuell profil i QA-miljö - temahantering ger möjlighet för kund att själv anpassa utseendet till egen visuell profil

  • Export och importfunktion för konfigurerade SP-klienter

  • Versionshantering av klienter för att kunna spåra förändringar och möjliggöra snabb rollback

  • Tidsstyrd aktivering av förändringar i konfigurerade SP-klienter

  • Stöd för att i framtiden kunna hantera andra eIDn än SITHS (ex. BankID, Freja eID+, Freja OrgID, mfl.)

  • Bättre och skalbar prestanda för att säkra framtida användningskrav och trafikvolymer

  • Effektivare driftsförvaltning - samma kodbas för Ineras olika IdP-erbjudanden

  • Effektivare drift - fullt ut automatiserad och versionshanterad release och deploy

Vad behöver anslutna organisationer göra i samband med nya releasen?

Den nya versionen av IdP:n kommer sättas upp i en helt ny driftsmiljö och vi vill därför att alla ansluter sina TEST/QA-system till den nya IdP-Bas QA-miljö som vi kommer ta i drift den 1a december. Byte till den nya driftsmiljön innebär både för- och nackdelar för dig som kund, några som kan nämnas är:

Fördelar:

  • Som kund bestämmer man själv när övergång till den nya versionen ska genomföras (även om vi rekommenderar vecka 12)

  • Det finns dedikerade extra resurser under vintern/våren hos Inera som snabbt kan hjälpa till vid övergång

  • En ny QA-miljö sätts upp med version 3.1, så eventuella pågående tester i gamla miljön påverkas ej

  • En ny PRODUKTIONS-miljö sätts upp och kommer leva parallellt med befintlig i drygt 2 månader så att du som användare själv styr när övergång ska ske.

  • I dagsläget finns kunder i både TEST- och QA-miljö, i nya 3.1 kommer samtliga SPs och RPs klienter vara inlästa i nya QA-miljön

Nackdelar:

  • SSO kommer inte fungerar mellan de två driftsmiljöerna, av detta skäl ser vi gärna att övergång till den nya IdP:n sker under en begränsad tid.

  • En ny driftmiljö innebär även nya IP-adresser som kan kräva brandväggsöppningar, se mer information nedan

Viktiga datum för IdP-BAS version 3.1

Datum

Miljö

Händelse

Datum

Miljö

Händelse

Nov 17, 2025 ✔️

QA ( idp.qa.siths.se )

Metadata tillgängligt för nedladdning

Dec 1, 2025 ✔️

QA ( idp.qa.siths.se )

IdPns klienter (SAML/OIDC) inlästa från idp.ineraqa.org och idp.ineratest.org. Tester från SPs kan påbörjas

Jan 18, 2026 ✔️

PRODUKTION ( idp.siths.se )

Metadata tillgängligt för nedladdning

Jan 27, 2026✔️

PRODUKTION ( idp.siths.se )

Klienter (SAML/OIDC) inlästa från idp.inera.se , övergång till nya IdPn kan påbörjas

27 jan - 13 mars

PRODUKTION ( idp.siths.se )

Ineras tjänster migrerar till nya IdP-BAS

Mar 31, 2026

PRODUKTION ( idp.siths.se )

Migrering av samtliga tjänster ska vara slutförd

Teknisk information

Den nya driftsmiljön är uppsatt på motsvarande sätt som den gamla men med ett nytt signeringscertifikat. Den nya miljön kommer också ingå i domänen siths.se och den får därför ett nytt DNS-namn. Det nya adressen i PRODUKTION blir https://idp.siths.se och i QA https://idp.qa.siths.se

  • För SAML-SP (SP=Service Provider=Klient) betyder det att konfigurera den nya URLen för IdP:n, samt hämta och byta ut IdP-metadata, läs mer här

  • För OIDC-RP (RP=Requesting Party=Klient) måste förvaltaren kontrollera rutinen, då byte INTE kan ske automatiskt eftersom IdPn fått nytt DNS-namn, läs mer här

  • Viktigt att ni även kontrollerar er nätverks/brandväggs-konfiguration då den nya IdPn tillhör en ny domän och sitter på ett nytt IP-nät, läs mer här

Viktigt att tänka på: Det finns ingen SSO mellan nya och gamla IdPn, så har ni tjänster som nyttjar SSO, se till att ordna med en gemensam övergång till nya IdPn,

 

IdP-BAS SAML Metadata

Den nya driftsmiljön kommer läsa över all klientkonfiguration enligt tidplanen ovan. Då version 3.1 sätts upp i en ny driftsmiljön med ett nytt signeringscertifikat så kan denna förändring kräva lite andra handgrepp jämfört med då bara signeringscertifikatet byts ut. Både den gamla driftsmiljön och den nya driftsmiljön kommer vara i drift parallellt under ett par månader så kan ni själva bestämma när övergång ska ske, skulle problem uppstår vid byte så är det bara att peka tillbaka mot den gamla IdPn.

Adresser för nerladdning av metadata

IdP-BAS OIDC information

Den nya driftsmiljön kommer läsa över all klientkonfiguration enligt tidplanen ovan. I OIDC-världen finns ingen utväxling av metadata som för SAML utan här sker ofta uppdatering av IdP:ns nycklar, som används för signering, automatiskt i bakgrunden. Men i detta fall så är det ju från klientens (RPs) synvinkel en helt ny IdP som sätts upp, och den måste således konfigureras upp i RP:n

Adresser för nerladdning av signeringsnycklar (OIDC)

OBS Tänk även på den utgående brandväggsöppningen som kan behövas, se “Nätverksinformation” nedan

Nätverksinformation

Certifikatsinformation

De nya certifikaten kommer fortfarande att vara utfärdade av SITHS och vara av typerna enligt nedan:

Underskriftstjänsten och tillitsnivåer

För er som använder underskriftsfunktion i IdP:n (gäller i dagsläget bara Webcert, Signe och Göteborgs stad), måste ni även tänka på att den nya IdP:ns Sign funktion är förändrad.

För de SITHS-kort som kommer börja ges ut till icke bofasta fr om 2026, kommer en ny tillitsnivå ”3 non-resident” att användas.

Vid underskrift kommer det skilja sig hur gamla och nya IdP:n returnerar tillbaka LoA-informationen för dessa:

Den gamla IdP:n returnerar

Nya IdP:n returnerar istället:

SP:ar som använder underskrifter måste därför ta höjd för att acceptera någon av de två tillitsnivåerna ovan istället för bara den första (vilket räcker idag) för följande underskriftsprofiler:

  • digg_ap_hsaid_01

  • eln_ap_orgperson_01

Notera också att nedan två underskriftsprofiler, baserade på personnummer, inte alls fungerar för användare med SITHS-kort med 3 non-resident eftersom de personerna inte har något personnummer som kan hämtas från HSA.

  • eln_ap_pnr_01

  • eln_ap_pnr_01_orgid

Tester av IdP-BAS 3.1

Förslagsvis ansluter man en utvecklings- eller testmiljö till IdP 3.1 för att säkerställa att man når nya IdPn och och inloggningen fungerar. Därefter är det en stark rekommendation att genomföra mer omfattande tester för att säkerställa att nya IdPn inte får någon oönskad effekt. På länken nedan finns lite punkter att tänka på när testerna genomförs.

IdP Bas 3.1 - Lista över områden/funktioner inför testning i QA - Inera - Identitet och åtkomst - C…

OBS. Upptäcker ni avvikelser mellan nya och nuvarande IdP är det enklast och snabbast att maila ett ärende till idpbas@inera.se

Viktiga händelser

Nya IdP-BAS QA-miljö blir tillgänglig 2025-11-17

Ny release genomförd till nya IdP-BAS QA-miljö. 2025-12-10 13:27, huvudsyftet med releasen var hantering av migrerade klienter som fick http 403 eller 500

Fredag 12/12 t.o.m. måndag 15/12 10.00 kördes last- , robusthets- och långtidstester av nya IdP 3.1 QA. Testerna utföll väl och inga störningar gällande inloggning via IdPn noterades under denna period.

Onsdag 17/12 installerades releasekandidaten i QA

Måndag 26/1 installerades IdP 3.1 i produktion

 

FAQ IdP-BAS 3.1 (uppdateras vartefter frågor inkommer)

Fråga: Om vi byter till nya IdP-QA 3.1 och vill gå tillbaka till gamla IdP, hör gör vi då?

Svar: Ni behöver ändra tillbaka URL och läsa om metadata/nyckel (SAML=https://idp.ineraqa.org/saml OIDC=https://idp.ineraqa.org/oidc/jwks.json)

 

Fråga: Vi vill byta certifikatet i vår metadatafil hur gör vi det?

Svar: Maila in en ny metadatafil till idpbas@inera.se så uppdaterar vi.

 

Fråga: Vi ser att vårt metadata har felaktiga kontaktuppgifter, hur uppdaterar vi det?

Svar: Maila in en ny metadatafil till idpbas@inera.se så uppdaterar vi.

 

Fråga: Vi har tidigare haft en klient i IdPns TEST-miljö (https://idp.ineratest.org ), vad händer med den?

Svar: Klienterna från gamla IdP-TEST och IdP-QA finns inlästa i nya IdPns QA-miljö. I de fall klienten hade samma klientid i test och QA så har bara klienten från QA lästs in.

 

Fråga: vi har flera system som kör SSO, kommer SSO fungera mellan den gamla och nya IdPn som ni sätter upp?

Svar: Nej, planera därför så att era tjänster börja nyttja den nya IdPn vid samma tidpunkt

 

Fråga: Det står att i version 3.1 så finns ny funktionalitet: “Möjlighet att som kund själv hantera klientkonfiguration”. Hur gör man det?

Svar: För närvarande hanteras temahanteringen av IdP-förvaltningen, vill ni ha ett eget tema maila i så fall till idpinvanare@inera.se så ordnar vi det.

 

Fråga: Det står att i version 3.1 så finns ny funktionalitet, “Temabyggare - Webbgränssnitt som ger möjlighet att som kund själv anpassa utseendet till egen visuell profil i QA-miljö”, hur kommer jag åt den?

Svar: Via klienthanteringen når du tembyggaren. För att logga in i IdP-QAs klienthantering behöver du ett Siths testkort. Maila in kortuppgifter och vilket/vilka klientid du administrerar till idpbas@inera.se så ordnar vi med ett konto.

 

Fråga: Vi är anslutna till “Säkerhetstjänsters IdP”, är det samma som IdP-BAS?

Svar: Ja, IdP-BAS är det nya namnet på tjänsten

 

Fråga: Vid anrop av nya IdP 3.1 fungerar det inte, får felmeddelande “403 - åtkomst förbjuden”

Svar: Kontrollera att anropet verkligen går till den nya IdPn: idp.qa.siths.se

 

Fråga: Vid anrop av nya IdP 3.1 fungerar det inte, i våra loggar står det: “Could not find metadata for SAML entity”

Svar: Kontrollera att anropet verkligen går till den nya IdPn: idp.qa.siths.se

 

Fråga: Vi har tidigare kunna ange flera omdirigeringsadresser för våra OIDC-klienter, men går det i IdP-3.1

Svar: För närvarande går det inte att registrera mer än 1 (en) adress, men funktionen för registrering av flera URLer ligger med i backlogg för kommande utveckling.

 

Fråga: Vi får ett 403-fel vid inloggning, hur ska vi börja felsökningen?

Svar: Börja med att kontrollera att du har ett giltigt personcertifikat (testpersonens personnummer som identitet) på kortet. Ditt kort bör se ut som nedan:

 

image-20260129-085710.png

 

 

För frågor om informationen på denna sida maila idpbas@inera.se

 

Publik Information