Revisionshistorik

Visa revisionshistorik

Version	Datum	Författare	Kommentar
1.0	30 nov. 2023	Tomas Fransson & Stefan Eriksson	Anslutningsguide för Underskriftstjänsten 2.0
1.1	1 dec. 2023	Stefan Eriksson	Uppdaterat med Underskriftstjänsten API
1.2	8 dec. 2023	Stefan Eriksson	Uppdaterad efter granskning
1.3	20 dec. 2023	Stefan Eriksson	Uppdaterad med inskickning av publika nyckeln

Innehållsförteckning

Visa innehållsförteckning

Introduktion

Underskriftstjänsten - Webb och API tillhandahåller funktioner för säker och standardiserad elektronisk underskrift i enlighet med Digitaliseringsmyndighetens (DIGGs) Tekniskt ramverk för Sweden connect.
Tjänsten stödjer undertecknande med SITHS e-legitimation antingen med SITHS-kort i dator eller mobilt med Mobilt SITHS. Tjänsten stödjer även undertecknande med flertalet av DIGG godkända e-legitimationer. För en komplett lista av e-legitimationer, se www.inera.se/underskriftstjansten

Denna guide har som syfte att stötta organisationer som avser att ansluta till antingen Underskriftstjänsten - API eller Underskriftstjänsten - Webb. Guiden innehåller teknisk information om hur man fyller i förstudien för denna typ av anslutningar. För mera information om tjänsten se huvudsidan för Underskriftstjänsten för en översiktlig beskrivning av tjänsten. För olika anslutningsmönster, se Olika integrationsmönster för Underskriftstjänsten. Om du avser att nyttja Underskriftstjänsten - Bas, använd Anslutningsguide till Underskriftstjänst - Bas

Teknisk översikt

Underskriftstjänsten - Webb

Underskriftstjänsten - Webb levereras som ett webbgränssnitt, utan krav på eller möjlighet att göra några externa integrationer.

Internt har tjänsten integrationer med Ineras IdP för SITHS eID, med en IdP för alla andra e-legitimationer samt en mailserver för att kunna göra notiferingar till de som ska skriva på, vilka vi kallar för signatärer.

De som vi kallar för administratörer laddar upp dokumentet och definierar ett signeringsuppdrag i webbgränssnittet. Det färdiga resultatet måste användaren själv ta hand om, någon integration med arkivsystem finns inte.

Validering av dokumentet sker i samband med signering och dokumenteras i en valideringsrapport av tjänsten som en del av utförd signering.

Tekniska förutsättningar

Underskriftstjänsten - Webb

Alla Administratörer måste ha SITHS e-legitimation och SITHS eID-klienter (appar) på Windows eller Mobiltelefon.

Användarflöden som finns i Underskriftstjänsten Webb är:

Signatärer
- Lista över pågående Underskriftsuppdrag
- Presentation av uppdrag innehållande dokument och bilagor för signering
- Autentisering till Underskriftstjänsten sker med BankID, Freja eID eller SITHS beroende på underskriftsprofil.
Administratörer
- Skapande av underskriftsuppdrag
  - Underskriftsprofiler för signatärer (Personnummer, Personnummer + OrgNr, HSA-id, HSA-id + OrgNr och eIDAS)
- Lista över klara underskriftsuppdrag
- Lista över händelser kopplade till underskriftsuppdraget
- Valideringsrapport med samtliga signatärers underskrifter
- Autentisering till Underskriftstjänsten - Webb sker med SITHS

Själva autentiseringen och presentation av underskriftsmeddelandet ("Sign Message") styrs av uppdragets information i kombination med IdP-tjänsten och eID-klienterna.²

Signatärer och administratörer notiferas om signeringsuppdragen via email, avsändaren är noreply@inera.se.

Underskriftstjänsten - API

Verksamhetssystem som vill integrera med och anropa Underskriftstjänsten API måste anropa Underskriftstjänsten API med dubbelriktad TLS/Mutual TLS (mTLS). Detta kräver att verksamhetssystemet anropar Underskriftstjänsten API med ett SITHS funktionscertifikat (klientcertifikat) utgivet av SITHS.

Funktionscertifikatet ska innehålla aktörens HSA-id. Utifrån detta funktionscertifikat konfigureras Underskriftstjänsten API med aktörens organisationsnummer.

Observera att verksamhetssystemet ges fulla rättigheter för den aktör (organisationsnummer) som anges i den tekniska anslutningen. Verksamhetssystemet måste därför ha en egen behörighetsmodell som styr åtkomsten till specifika signeringsuppdrag.

Teknisk anslutning

Underskriftstjänsten - Webb

Följande information inkluderas vid den Tekniska anslutningen till Underskriftstjänsten i en förstudie:

Organisationsnamn
Organisationsnummer
HSA-id för organisationen

Dessutom tillkommer en del adminstrativ information, t ex ärendenummer för beställning och kontaktinformation för din organisation.

Efter godkänd förstudie får din organisation tillgång till Underskriftstjänsten - Webb. Se Handboken för hur webbgränssnittet fungerar.

Underskriftstjänsten - API - Klientcertifikat

Följande information inkluderas vid den Tekniska anslutningen till Underskriftstjänsten i en förstudie:

Beställning av SITHS funktionscertifikat att användas som ett klientcertifikat för API access. Ett per verksamhetssystem.
HSA-id

Efter godkänd förstudie får din organisation tillgång till Utvecklarinfo för Underskriftstjänsten API.

Förstudien är ett underlag för konfiguration av Underskriftstjänsten API.

Den publika nyckeln hämtas ut från klientcertifikatet (funktionscertifikatet) och skickas in samtidigt med förstudien.

Miljö

Underskriftstjänsten - Webb och API

Underskriftstjänsten är driftsatt i tre publika miljöer kopplade mot motsvarande IdP-miljöer och centrala underskriftstjänster.

Du som användare av tjänsten behöver främst känna till adresserna till URL- Webb och URL - API.

Miljö	URL - Webb	URL - API	IdP för SITHS	IdP för övriga legitimationer (URL-prefix) ¹	Central underskriftstjänst (URL-suffix)
Acceptanstest	webb.utj.ineratest.org	api.utj.ineratest.org/api/v1	idp.ineratest.org	https://m00-mg-local.testidp.funktionstjanster.se/samlv2/idp/metadata/*²	*.st.signatureservice.se
QA-miljö	webb.utj.ineraqa.org	api.utj.ineraqa.org/api/v1	idp.ineraqa.org	https://m00-mg-local.testidp.funktionstjanster.se/samlv2/idp/metadata/*²	*.at.signatureservice.se
Produktion	webb.utj.inera.se	api.utj.inera.se/api/v1	idp.inera.se	https://m00-mg-local.idp.funktionstjanster.se/samlv2/idp/metadata/*²	*.signatureservice.se

¹ Gäller även eIDAS.

² "*" ersätts med specifikt nummer för vald Idp ex. BankID samma enhet, BankID annan enhet etc.

Checklista

Underskriftstjänsten - Webb

Är organisationens juridiska ansvar analyserat, utifrån den tänkta lösningen?
Är det klart hur användardialoger och arbetsflöden i verksamhetssystemen ska se ut vid förberedelse av dokument för elektronisk underskrift?
Är det beslutat hur arkivering av underskrivna dokument skall gå till?
Är SITHS eID-klienter distribuerade till användarna, eller finns det en plan för distribution?
Om du har krav på att signaturen ska innehålla organisationsnummer, läs denna artikel först.

Underskriftstjänsten - API

Har varje verksamhetssystem som skall integrera till Underskriftstjänstens API ett eget SITHS funktionscertifikat?
Har verksamhetssystemet infört en egen behörighetsmodell som styr åtkomsten till specifika signeringsuppdrag?

Webbläsaren stöds inte