2.3 Anslutningsguide - Underskriftstjänsten Webb och API
Revisionshistorik
Innehållsförteckning
Introduktion
Underskriftstjänsten - Webb och API tillhandahåller funktioner för säker och standardiserad elektronisk underskrift i enlighet med Digitaliseringsmyndighetens (DIGGs) Tekniskt ramverk för Sweden connect.
Tjänsten stödjer undertecknande med SITHS e-legitimation antingen med SITHS-kort i dator eller mobilt med Mobilt SITHS. Tjänsten stödjer även undertecknande med flertalet av DIGG godkända e-legitimationer. För en komplett lista av e-legitimationer, se www.inera.se/underskriftstjansten
Denna guide har som syfte att stötta organisationer som avser att ansluta till antingen Underskriftstjänsten - API eller Underskriftstjänsten - Webb. Guiden innehåller teknisk information om hur man fyller i förstudien för denna typ av anslutningar. För mera information om tjänsten se huvudsidan för Underskriftstjänsten för en översiktlig beskrivning av tjänsten. För olika anslutningsmönster, se Olika integrationsmönster för Underskriftstjänsten. Om du avser att nyttja Underskriftstjänsten - Bas, använd Anslutningsguide till Underskriftstjänst - Bas
Teknisk översikt
Underskriftstjänsten - Webb
Underskriftstjänsten - Webb levereras som ett webbgränssnitt, utan krav på eller möjlighet att göra några externa integrationer.
Internt har tjänsten integrationer med Ineras IdP för SITHS eID, med en IdP för alla andra e-legitimationer samt en mailserver för att kunna göra notiferingar till de som ska skriva på, vilka vi kallar för signatärer.
De som vi kallar för uppdragsskapare laddar upp dokumentet och definierar ett signeringsuppdrag i webbgränssnittet. Det färdiga resultatet måste användaren själv ta hand om, någon integration med arkivsystem finns inte.
Validering av dokumentet sker i samband med signering och dokumenteras i en valideringsrapport av tjänsten som en del av utförd signering.
Tekniska förutsättningar
Underskriftstjänsten - Webb
Alla uppdragsskapare måste ha SITHS e-legitimation och SITHS eID-klienter (appar) på Windows eller Mobiltelefon.
Användarflöden som finns i Underskriftstjänsten Webb är:
- Signatärer
- Lista över pågående Underskriftsuppdrag
- Presentation av uppdrag innehållande dokument och bilagor för signering
- Autentisering till Underskriftstjänsten sker med BankID, Freja eID eller SITHS beroende på underskriftsprofil.
- Uppdragsskapare
- Skapande av underskriftsuppdrag
- Underskriftsprofiler för signatärer (Personnummer, Personnummer + OrgNr, HSA-id, HSA-id + OrgNr och eIDAS)
- Lista över klara underskriftsuppdrag
- Lista över händelser kopplade till underskriftsuppdraget
- Valideringsrapport med samtliga signatärers underskrifter
- Autentisering till Underskriftstjänsten - Webb sker med SITHS
- Skapande av underskriftsuppdrag
Själva autentiseringen och presentation av underskriftsmeddelandet ("Sign Message") styrs av uppdragets information i kombination med IdP-tjänsten och eID-klienterna.2
Signatärer och Uppdragsskapare notiferas om signeringsuppdragen via email, avsändaren är noreply@inera.se.
Underskriftstjänsten - API
Verksamhetssystem som vill integrera med och anropa Underskriftstjänsten API måste anropa Underskriftstjänsten API med dubbelriktad TLS/Mutual TLS (mTLS). Detta kräver att verksamhetssystemet anropar Underskriftstjänsten API med ett SITHS funktionscertifikat (klientcertifikat) utgivet av SITHS.
Funktionscertifikatet ska innehålla aktörens HSA-id. Utifrån detta funktionscertifikat konfigureras Underskriftstjänsten API med aktörens organisationsnummer.
Observera att verksamhetssystemet ges fulla rättigheter för den aktör (organisationsnummer) som anges i den tekniska anslutningen. Verksamhetssystemet måste därför ha en egen behörighetsmodell som styr åtkomsten till specifika signeringsuppdrag.
Teknisk anslutning
Underskriftstjänsten - Webb
Följande information inkluderas vid den Tekniska anslutningen till Underskriftstjänsten i en förstudie:
- Organisationsnamn
- Organisationsnummer
- HSA-id för organisationen
Dessutom tillkommer en del adminstrativ information, t ex ärendenummer för beställning och kontaktinformation för din organisation.
Efter godkänd förstudie får din organisation tillgång till Underskriftstjänsten - Webb. Se Handboken för hur webbgränssnittet fungerar.
Underskriftstjänsten - API - Klientcertifikat
Följande information inkluderas vid den Tekniska anslutningen till Underskriftstjänsten i en förstudie:
- Beställning av SITHS funktionscertifikat att användas som ett klientcertifikat för API access. Ett per verksamhetssystem.
- HSA-id
Efter godkänd förstudie får din organisation tillgång till Utvecklarinfo för Underskriftstjänsten API.
Förstudien är ett underlag för konfiguration av Underskriftstjänsten API.
Den publika nyckeln hämtas ut från klientcertifikatet (funktionscertifikatet) och skickas in samtidigt med förstudien. Certifikatsinformation skall exporteras i X.509 format och sparat i PEM Base64 format (Privacy Enhanced Mail) med en filändelse av .pem eller .crt. Kontrollera att innehållet i den exporterade filen startar med "BEGIN CERTIFICATE".
Miljö
Underskriftstjänsten - Webb och API
Underskriftstjänsten är driftsatt i tre publika miljöer kopplade mot motsvarande IdP-miljöer och centrala underskriftstjänster.
Miljö | URL - Webb | URL - API | IdP för SITHS | IdP för övriga legitimationer (URL-prefix) 1 | Central underskriftstjänst (URL-suffix) |
---|---|---|---|---|---|
Acceptanstest | webb.utj.ineratest.org | api.utj.ineratest.org/api/v1 | idp.ineratest.org | https://m00-mg-local.testidp.funktionstjanster.se/samlv2/idp/metadata/*2 | *.st.signatureservice.se |
QA-miljö | webb.utj.ineraqa.org | api.utj.ineraqa.org/api/v1 | idp.ineraqa.org | https://m00-mg-local.testidp.funktionstjanster.se/samlv2/idp/metadata/*2 | *.at.signatureservice.se |
Produktion | webb.utj.inera.se | api.utj.inera.se/api/v1 | idp.inera.se | https://m00-mg-local.idp.funktionstjanster.se/samlv2/idp/metadata/*2 | *.signatureservice.se |
1 Gäller även eIDAS.
2 "*" ersätts med specifikt nummer för vald Idp ex. BankID samma enhet, BankID annan enhet etc.
Checklista
Underskriftstjänsten - Webb
- Är organisationens juridiska ansvar analyserat, utifrån den tänkta lösningen?
- Är det klart hur användardialoger och arbetsflöden i verksamhetssystemen ska se ut vid förberedelse av dokument för elektronisk underskrift?
- Är det beslutat hur arkivering av underskrivna dokument skall gå till?
- Är SITHS eID-klienter distribuerade till användarna, eller finns det en plan för distribution?
- Om du har krav på att signaturen ska innehålla organisationsnummer, läs denna artikel först.
Underskriftstjänsten - API
- Har varje verksamhetssystem som skall integrera till Underskriftstjänstens API ett eget SITHS funktionscertifikat?
- Har verksamhetssystemet infört en egen behörighetsmodell som styr åtkomsten till specifika signeringsuppdrag?
- Är den publika nyckeln från klientcertifikatet (SITHS funktionscertifikatet) exporterat enligt X.509 PEM formatet, startar innehållet med "BEGIN CERTIFICATE"?
Publik Information