Lansering av Inera IdP-Invånare våren 2026

Innehåll:

1 Innehåll:
2 Bakgrund
3 Nya funktioner i IdP-Invånare (version 3.2)
4 Vad behöver anslutna organisationer göra i samband med nya releasen?
5 Viktiga datum för IdP-Invånare
6 Teknisk information
7 IdP SAML Metadata
- 7.1 Adresser för nerladdning av metadata
8 IdP OIDC information
- 8.1 Adresser för nerladdning av signeringsnycklar (OIDC)
- 8.2 Adresser för .well-known/openid-configuration
9 Nätverksinformation
10 Certifikatsinformation
11 Tester av IdP 3.2
12 FAQ IdP 3.2 (uppdateras vartefter frågor inkommer)

Bakgrund

Under 2025 påbörjades ett arbete för att samordnad Ineras olika IdP-erbjudanden. Först ut var Idp-Plus som togs fram för att uppfylla de nya säkerhetskrav som EHM ställde för åtkomst till Nationella Läkemedelslistan, NLL. Tjänsten lanserades 30 september 2025, Den 26 januari 2026 kommer en ny version av IdP-Bas att släppas, detta görs i samma säkra driftsmiljö som för IDP-Plus och det är upp till anslutande parter att själva bestämma när övergång ska ske. Det 3:dje steget för att samordna Ineras Idp-tjänster gäller IdP-Invånare, dvs. den funktion som t.ex. används för invånarna när de loggar in i 1177. Lansering av nya IdPn kommer ske 19 maj, men på samma sätt som för tidigare IdPer, det är anslutande part som bestämmer när övergången ska göras, och migreringsfönstret kommer hållas öppet ett par månader.

Nya funktioner i IdP-Invånare (version 3.2)

Legitimeringstjänst IdP för medabetare - Bas, Legitimeringstjänst IdP för medabetare - Plus samt Legitimeringstjänst IdP för invånare delar kodbas och har därmed den mesta funktionaliteten gemensam. Det är främst konfiguration som styr vad de olika IdPerna erbjuder för funktionalietet och inloggningsmetoder.

Exempel på funktionalitet:

Möjlighet att som kund själv hantera klientkonfiguration i QA-miljö för både SAML och OIDC klienter
Temabyggare - Webbgränssnitt som ger möjlighet att som kund själv anpassa utseendet till egen visuell profil i QA-miljö - temahantering ger möjlighet för kund att anpassa utseendet till egen visuell profil
Export och importfunktion för konfigurerade SP-klienter
Versionshantering av klienter för att kunna spåra förändringar och möjliggöra snabb rollback
Tidsstyrd aktivering av förändringar i konfigurerade SP-klienter
Stöd för att i framtiden kunna hantera andra eIDn än SITHS, BankID, Freja eID+ och Freja OrgID
Bättre och skalbar prestanda för att säkra framtida användningskrav och trafikvolymer
Effektivare driftsförvaltning - samma kodbas för Ineras olika IdP-erbjudanden
Effektivare drift - fullt ut automatiserad och versionshanterad release och deploy

Vad behöver anslutna organisationer göra i samband med nya releasen?

Den nya versionen av IdP:n kommer sättas upp i en helt ny driftsmiljö och vi vill därför att alla ansluter sina TEST/QA-system till den nya IdP-Invånare QA-miljö som vi kommer ta i drift den 9:e februari. Byte till den nya driftsmiljön innebär både för- och nackdelar för dig som kund, några som kan nämnas är:

Fördelar:

En ny QA-miljö sätts upp med IdP-Invånare i mitten av februari, så eventuella pågående tester i gamla CGIs QA-miljö påverkas ej
Som kund bestämmer man själv när övergång till den nya IdP-Invånare ska ske, både QA och PRODUKTION, vår målsättning är att så många som möjligt genomför flytten i produktion före halvårsskiftet 2026.
Samtliga SPs (SAML) och RPs (OIDC) konfiguration kommer vara inlästa i nya miljön

Nackdelar:

SSO kommer inte fungerar mellan de två driftsmiljöerna, av detta skäl ser vi gärna att övergång till den nya IdP:n sker under en begränsad tid.
En ny driftmiljö innebär även nya IP-adresser som kan kräva brandväggsöppningar, se mer information här

Viktiga datum för IdP-Invånare

Datum	DNS-värde för miljö	Händelse

Datum	DNS-värde för miljö	Händelse
Feb 9, 2026	TEST ( idp.test.invanar-idp.se )	IdP-Invånare för TEST öppnar.
Mar 16, 2026	QA ( idp.qa.invanar-idp.inera.se )	IdP-Invånare för QA öppnar. IdPns klienter inlästa från nuvarande Idp. Tester kan påbörjas.
Apr 20, 2026	PRODUKTION ( idp.invanar-idp.inera.se)	Metadata tillgängligt för nedladdning
May 19, 2026	PRODUKTION (idp.invanar-idp.inera.se)	Klienter inlästa från Funktionstjänsters IdP (m09-mg-local.idp.funktionstjanster.se) och IdP-Invånare går i produktion

Teknisk information

Den nya driftsmiljön är uppsatt på motsvarande sätt som den gamla men med ett nytt signeringscertifikat. Den nya miljön kommer också ingå i domänen inera.se och den får därför ett nytt DNS-namn. Det nya DNS-värdet i produktion blir idp.invanar-idp.inera.se och i QA idp.qa.invanar-idp.inera.se

För SAML-SP (SP=Service Provider=Klient) betyder det att konfigurera den nya URLen för IdP:n, samt hämta och byta ut IdP-metadata, läs mer här
För OIDC-RP (RP=Requesting Party=Klient) måste förvaltaren kontrollera rutinen, då byte INTE kan ske automatiskt eftersom IdPn fått nytt DNS-namn, läs mer här
Viktigt att ni även kontrollerar er nätverks/brandväggs-konfiguration då den nya IdPn tillhör en ny domän och sitter på ett nytt IP-nät, läs mer här

Viktigt att tänka på: Det finns ingen SSO mellan nya och gamla IdPn, så har ni tjänster som nyttjar SSO, se till att ordna med en gemensam övergång till nya IdPn,

IdP SAML Metadata

Den nya driftsmiljön kommer läsa över all klientkonfiguration enligt tidplanen ovan. Då version 3.2 sätts upp i en ny driftsmiljö med ett nytt signeringscertifikat så kan denna förändring kräva lite andra handgrepp jämfört med då bara signeringscertifikatet byts ut. Både den gamla driftsmiljön och den nya driftsmiljön kommer vara i drift parallellt under ett par månader så kan ni själva bestämma när övergång ska ske, skulle problem uppstår vid byte så är det bara att peka tillbaka mot den gamla IdPn.

Adresser för nerladdning av metadata

TEST: https://idp.test.invanar-idp.inera.se/saml
QA: https://idp.qa.invanar-idp.inera.se/saml
Produktion: https://idp.invanar-idp.inera.se/saml

IdP OIDC information

Den nya driftsmiljön kommer läsa över all klientkonfiguration enligt tidplanen ovan. I OIDC-världen finns ingen utväxling av metadata som för SAML utan här sker ofta uppdatering av IdP:ns nycklar, som används för signering, automatiskt i bakgrunden. Men i detta fall så är det ju från klientens (RPs) synvinkel en helt ny IdP som sätts upp, och den måste således konfigureras upp i RP:n

Adresser för nerladdning av signeringsnycklar (OIDC)

TEST: https://idp.test.invanar-idp.inera.se/citizen/oidc/jwks.json
QA: https://idp.qa.invanar-idp.inera.se/citizen/oidc/jwks.json
Produktion: https://idp.invanar-idp.inera.se/citizen/oidc/jwks.json (öppnas under april månad)

Adresser för .well-known/openid-configuration

TEST: https://idp.test.invanar-idp.inera.se/citizen/oidc/.well-known/openid-configuration
QA: https://idp.qa.invanar-idp.inera.se/citizen/oidc/.well-known/openid-configuration
Produktion: https://idp.invanar-idp.inera.se/citizen/oidc/.well-known/openid-configuration (öppnas under april månad)

OBS Tänk även på den utgående brandväggsöppningen som kan behövas, se “Nätverksinformation” nedan

Nätverksinformation

Nät 82.136.183.0/24 bör redan vara hanterat avseende routing och brandväggsregler, se vidare information på denna länk: https://inera.atlassian.net/wiki/spaces/IAM/pages/300389655/N+tverksinst+llningar+f+r+SITHS#kontroll_over_sjunet
I de fall OIDC används se även till att det finns brandväggsöppningar för utgående trafik till IdPn. Det är nödvändigt för att RP (Requesting Party) ska nå fram till IdPns JWKS URI. För PRODUKTION ska denna öppning ske till 82.136.183.199 och för QA är till det 82.136.183.183

Certifikatsinformation

De nya certifikaten kommer fortfarande att vara utfärdade av SITHS och vara av typerna enligt nedan:

För PRODUKTION: SITHS e-id Function CA v1
För QA: TEST SITHS e-id Function CA v1

Tester av IdP 3.2

Förslagsvis ansluter man en utvecklings- eller testmiljö till IdP 3.2 för att säkerställa att man når nya IdPn och och inloggningen fungerar. Därefter är det en stark rekommendation att genomföra mer omfattande tester för att säkerställa att nya IdPn inte får någon oönskad effekt.

OBS. Upptäcker ni avvikelser mellan nya och nuvarande IdP är det enklast och snabbast att maila ett ärende till idpinvanare@inera.se

FAQ IdP 3.2 (uppdateras vartefter frågor inkommer)

Fråga: Om vi byter till nya IdP-Invånare QA 3.2 och vill gå tillbaka till “gamla IdP”, hur gör vi då?

Svar: Ni behöver ändra tillbaka URL och eventuellt läsa om metadata/nyckel beroende på hur ert system fungerar.

Fråga: Vi vill byta certifikatet i vår metadatafil hur gör vi det?

Svar: Maila in en ny metadatafil till idpinvanare@inera.se så uppdaterar vi.

Fråga: Vi ser att vårt metadata har felaktiga kontaktuppgifter, hur uppdaterar vi det?

Svar: Maila in en ny metadatafil till idpinvanare@inera.se så uppdaterar vi.

Fråga: vV har flera system som kör SSO, kommer SSO fungera mellan den gamla och nya IdPn som ni sätter upp?

Svar: Nej, planera därför så att era tjänster börja nyttja den nya IdPn vid samma tidpunkt

Fråga: Det står att i version 3.2 så finns ny funktionalitet: “Möjlighet att som kund själv hantera klientkonfiguration”. Hur gör man det?

Svar: För att logga in i IdP-Invånare QAs klienthantering behöver du ett Siths testkort. Maila in kortuppgifter (personnummer) och vilket/vilka klientid du administrerar till idpinvanare@inera.se så ordnar vi med ett konto.

Fråga: Det står att i version 3.2 så finns ny funktionalitet, “Temabyggare - Webbgränssnitt som ger möjlighet att som kund själv anpassa utseendet till egen visuell profil i QA-miljö”, hur kommer jag åt den?

Svar: För närvarande hanteras temahanteringen av IdP-förvaltningen, vill ni ha ett eget tema maila i så fall till idpinvanare@inera.se så får vi ta ett möte och diskutera det.