2.3 Anslutningsguide - Underskriftstjänsten Webb och API

Owned by Stefan Eriksson
Last updated: igår vid 1:10 em
3 min read

Revisionshistorik

 Visa revisionshistorik
VersionDatumFörfattareKommentar
1.0

 

Tomas Fransson & Stefan ErikssonAnslutningsguide för Underskriftstjänsten 2.0
1.1

 

Stefan ErikssonUppdaterat med Underskriftstjänsten API
1.2

 

Stefan ErikssonUppdaterad efter granskning
1.3

 

Stefan ErikssonUppdaterad med inskickning av publika nyckeln
1.4

 

Stefan ErikssonFörtydligade kring formatet på klientcertifikatet för API tillgång

Innehållsförteckning

 Visa innehållsförteckning


Introduktion

Underskriftstjänsten - Webb och API tillhandahåller funktioner för säker och standardiserad elektronisk underskrift i enlighet med Digitaliseringsmyndighetens (DIGGs) Tekniskt ramverk för Sweden connect.
Tjänsten  stödjer undertecknande med SITHS e-legitimation  antingen med SITHS-kort i dator eller mobilt med Mobilt SITHS. Tjänsten stödjer även undertecknande med flertalet av DIGG godkända e-legitimationer. För en komplett lista av e-legitimationer, se www.inera.se/underskriftstjansten

Denna guide har som syfte att stötta organisationer som avser att ansluta till antingen Underskriftstjänsten - API eller Underskriftstjänsten - Webb. Guiden innehåller teknisk information om hur man fyller i förstudien för denna typ av anslutningar. För mera information om tjänsten  se huvudsidan för Underskriftstjänsten för en översiktlig beskrivning av tjänsten. För olika anslutningsmönster, se Olika integrationsmönster för Underskriftstjänsten. Om du avser att nyttja Underskriftstjänsten - Bas, använd Anslutningsguide till Underskriftstjänst - Bas


Teknisk översikt

Underskriftstjänsten - Webb

Underskriftstjänsten - Webb levereras som ett webbgränssnitt, utan krav på eller möjlighet att göra några externa integrationer.

Internt har tjänsten integrationer med Ineras IdP för SITHS eID, med en IdP för alla andra e-legitimationer samt en mailserver för att kunna göra notiferingar till de som ska skriva på, vilka vi kallar för signatärer.

De som vi kallar för administratörer laddar upp dokumentet och definierar ett signeringsuppdrag i webbgränssnittet. Det färdiga resultatet måste användaren själv ta hand om, någon integration med arkivsystem finns inte.

Validering av dokumentet sker i samband med signering och dokumenteras i en valideringsrapport av tjänsten som en del av utförd signering.


Bild6.PNG

Tekniska förutsättningar

Underskriftstjänsten - Webb

Alla Administratörer måste ha SITHS e-legitimation och SITHS eID-klienter (appar) på Windows eller Mobiltelefon.

Användarflöden som finns i Underskriftstjänsten Webb är:

  • Signatärer
    • Lista över pågående Underskriftsuppdrag
    • Presentation av uppdrag innehållande dokument och bilagor för signering
    • Autentisering till Underskriftstjänsten sker med BankID, Freja eID eller SITHS beroende på underskriftsprofil.
  • Administratörer
    • Skapande av underskriftsuppdrag
      • Underskriftsprofiler för signatärer (Personnummer, Personnummer + OrgNr, HSA-id, HSA-id + OrgNr och eIDAS) 
    • Lista över klara underskriftsuppdrag
    • Lista över händelser kopplade till underskriftsuppdraget
    • Valideringsrapport med samtliga signatärers underskrifter
    • Autentisering till Underskriftstjänsten - Webb sker med SITHS

Själva autentiseringen och presentation av underskriftsmeddelandet ("Sign Message") styrs av uppdragets information i kombination med IdP-tjänsten och eID-klienterna.2

Signatärer och administratörer notiferas om signeringsuppdragen via email, avsändaren är noreply@inera.se.


Underskriftstjänsten - API

Verksamhetssystem som vill integrera med och anropa Underskriftstjänsten API måste anropa Underskriftstjänsten API med dubbelriktad TLS/Mutual TLS (mTLS). Detta kräver att verksamhetssystemet anropar Underskriftstjänsten API med ett SITHS funktionscertifikat (klientcertifikat) utgivet av SITHS. 

Funktionscertifikatet ska innehålla aktörens HSA-id. Utifrån detta funktionscertifikat konfigureras Underskriftstjänsten API med aktörens organisationsnummer.

Observera att verksamhetssystemet ges fulla rättigheter för den aktör (organisationsnummer) som anges i den tekniska anslutningen. Verksamhetssystemet  måste därför ha en egen behörighetsmodell som styr åtkomsten till specifika signeringsuppdrag.

 Teknisk anslutning

Underskriftstjänsten - Webb

Följande information inkluderas vid den Tekniska anslutningen till Underskriftstjänsten  i en förstudie:

  • Organisationsnamn 
  • Organisationsnummer
  • HSA-id för organisationen

Dessutom tillkommer en del adminstrativ information, t ex ärendenummer för beställning och kontaktinformation för din organisation.

Efter godkänd förstudie får din organisation tillgång till Underskriftstjänsten - Webb. Se Handboken för hur webbgränssnittet fungerar.

Underskriftstjänsten - API - Klientcertifikat

Följande information inkluderas vid den Tekniska anslutningen till Underskriftstjänsten  i en förstudie:

  • Beställning av SITHS funktionscertifikat att användas som ett klientcertifikat för API access. Ett per verksamhetssystem.
  • HSA-id

Efter godkänd förstudie får din organisation tillgång till Utvecklarinfo för Underskriftstjänsten API.

Förstudien är ett underlag för konfiguration av Underskriftstjänsten API.

Den publika nyckeln hämtas ut från klientcertifikatet (funktionscertifikatet) och skickas in samtidigt med förstudien. Certifikatsinformation skall exporteras i X.509 format och sparat i PEM Base64 format (Privacy Enhanced Mail)  med en filändelse av .pem eller .crt. Kontrollera att innehållet i den exporterade filen startar med "BEGIN CERTIFICATE".

Miljö

Underskriftstjänsten - Webb  och API 

Underskriftstjänsten är driftsatt i tre publika miljöer kopplade mot motsvarande IdP-miljöer och centrala underskriftstjänster.

Du som användare av tjänsten behöver främst känna till adresserna till URL- Webb och URL - API.

Miljö

URL - Webb

URL - API

IdP för SITHS

IdP för övriga legitimationer (URL-prefix) 1

Central underskriftstjänst (URL-suffix)

Acceptanstest

 webb.utj.ineratest.orgapi.utj.ineratest.org/api/v1idp.ineratest.orghttps://m00-mg-local.testidp.funktionstjanster.se/samlv2/idp/metadata/*2*.st.signatureservice.se
QA-miljöwebb.utj.ineraqa.orgapi.utj.ineraqa.org/api/v1idp.ineraqa.orghttps://m00-mg-local.testidp.funktionstjanster.se/samlv2/idp/metadata/*2*.at.signatureservice.se

Produktion

webb.utj.inera.seapi.utj.inera.se/api/v1idp.inera.sehttps://m00-mg-local.idp.funktionstjanster.se/samlv2/idp/metadata/*2*.signatureservice.se


1 Gäller även eIDAS.

2 "*" ersätts med specifikt nummer för vald Idp ex. BankID samma enhet, BankID annan enhet etc.


Checklista

Underskriftstjänsten - Webb 

  • Är organisationens juridiska ansvar analyserat, utifrån den tänkta lösningen?
  • Är det klart hur användardialoger och arbetsflöden i verksamhetssystemen ska se ut vid förberedelse av dokument för elektronisk underskrift?
  • Är det beslutat hur arkivering av underskrivna dokument skall gå till?
  • Är SITHS eID-klienter distribuerade till användarna, eller finns det en plan för distribution?
  • Om du har krav på att signaturen ska innehålla organisationsnummer, läs denna artikel först.

Underskriftstjänsten - API

  • Har varje verksamhetssystem som skall integrera till Underskriftstjänstens API ett eget SITHS funktionscertifikat?
  • Har verksamhetssystemet infört en egen behörighetsmodell som styr åtkomsten till specifika signeringsuppdrag?
  • Är den publika nyckeln från klientcertifikatet (SITHS funktionscertifikatet) exporterat enligt X.509 PEM formatet, startar innehållet med "BEGIN CERTIFICATE"?


Publik Information