Olika anslutningsmönster för Underskriftstjänsten

Innehåll

Introduktion

Denna sida beskriver olika sätt som din organisation kan nyttja Ineras underskriftstjänst. Efter att ha läst detta bör du kunna avgöra vilken metod som bäst uppfyller din organisations behov.

Artikeln beskriver skillnaderna mellan de tre artiklarna Underskriftstjänsten - Bas, Underskriftstjänsten - API och Underskriftstjänsten - Webb, som representerar olika sätt att ansluta till tjänsten. Sist finns det referenser för vidare läsning. För mer detaljerad information om de specifika åtgärder som krävs för varje typ av anslutning, rekommenderas Anslutningsguide till Ineras underskriftstjänst. På Ineras hemsida finns all information om hur du beställer tjänsten.

Principiella skillnader mellan olika integrationsmönster för olika artiklar

Målet med att nyttja Underskriftstjänsten från Inera är att få en elektronisk signatur på sitt dokument. För användaren innebär det alltid att använda en e-tjänst. Realiseringen av detta innebär att ett antal komponenter samverkar med e-tjänsten, bl.a. en koppling till en central underskriftstjänst. Denna samverkan kallar vi för underskriftsflöde.  Mer om detta finns att läsa i l Hantering av personidentiteter vid signering i ett underskriftsflöde. Graden av komplexitet för den anslutande organisationen avgörs mycket av hur mycket av underskriftsflödet organisationen vill ta på sig. Med ökad komplexitet följer också ökade möjligheter till flexibilitet och egen utformning av användarupplevelsen.                                                               .

Underskriftstjänsten - Bas

Översikt

image-20241018-083107.png

                                                                         Underskriftstjänsten - Bas: djupintegration med eget ansvar för underskriftsflödet

I Underskriftstjänsten - Bas måste användarorganisationen realisera underskriftsflödet i den egna e-tjänsten. Det innebär en hel del integrationsarbete men också stor flexibilitet vad gäller utformning av t ex användardialoger.

I dagsläget går det enbart att använda SITHS eID för underskrift via denna integration. 

Verksamhetens ansvar

Underskriftstjänsten - Bas från Inera i kombination med Stödtjänsten och Ineras IdP ger sammantaget dig som kund en bra teknisk utgångspunkt för en lyckad integration. Trots det är det en hel del utveckling som ska göras i den anslutna e-tjänsten. Det finns också ett juridiskt ansvar för dig som kund, som du kan läsa i den juridiska vägledningen från eSAM. Inera rekommenderar dig som kund att betrakta detta som ett projekt, då det är ett relativt omfattande arbete att inför digitala signaturer i din organisation.

Detta är en sammanfattning av vad du som kund behöver göra tekniskt för att ansluta till tjänsten i normalfallet

  • Installera Stödtjänsten från Inera eller motsvarande från någon annan leverantör i den egna miljön

  • Utveckla e-tjänsten för att

    • Anropa Stödtjänsten för att skapa kontrollsumma, foga ihop dokument med signatur, validera det signerade dokumentet

    • Anropa den centrala Underskriftstjänsten för att skapa signaturen

    • Ansluta e-tjänsten till Ineras IdP för autentisering (valbart)

    • Hantera dokumentet i underskriftsflödet och för arkivering eller annan hantering

Anslutningen till Underskriftstjänsten är specifik för varje ansluten e-tjänst men Stödtjänsten kan användas av flera e-tjänster i din organisation. Dvs det räcker med en installation av Stödtjänsten för att försörja flera e-tjänster med denna funktion. Det går givetvis också att bygga in den funktionalitet som Stödtjänsten erbjuder i den anslutande e-tjänsten.

Anslutning till Stödtjänsten och IdP från Inera 

Det är lämpligt att de eller de e-tjänster i din organisation som ska anslutas till Underskriftstjänsten även ansluter till Ineras IdP för autentisering av användarna. Det är inget krav, det går att använda en lokal IdP för autentiseringen, eller någon annan lösning som din organisation finner lämpligt att använda. Dock är det ur flera aspekter viktigt att fastställa användarens identitet. En är att hantera behörigheten till de dokument som ska signeras, en annan är att kunna skicka undertecknarens identitet till Underskriftstjänsten som ska fastställa den genom att avkräva legitimering av användaren. Eftersom Underskriftstjänsten från Inera använder Ineras IdP för detta, underlättar det om e-tjänsten använder samma IdP för autentisering.

Inera tillhandahåller även ett applikationspaket Stödtjänsten som underlättar integrationen med Underskriftstjänsten om e-tjänsten integreras mot den tjänsten. Stödtjänsten hanteras i din organisations miljö.

Nedan en bild som översiktligt hur e-tjänsten integreras i underskriftsflödet när din organisation väljer att nyttja hela Ineras erbjudande, där anslutningen till Ineras IdP för autentisering är valbar (den streckade pilen). När det gäller legitimering för underskrift, använder lösningen alltid Ineras IdP.

image-20241018-083236.png

                                                                                 Kundens e-tjänst är ansluten till Underskriftstjänsten, Ineras IdP och Stödtjänsten

Kundens lokala IdP med Underskriftstjänsten utan stödtjänst

Ett alternativ är att ansluta kundens lokala IdP som en IdP-proxy till Ineras IdP för att på så sätt undvika att realisera både hanteringen av SITHS eID och integrationen med Underskriftstjänsten. Den lösningen ger möjligheten att kunna hämta användarinformation från den lokala katalogtjänsten och ge SSO, Single Sign-On, vid autentisering. Detta är analogt med att använda en lokal IdP som IdP-proxy för autentisering. IdP-proxy:n uppträder som en IdP gentemot de anslutna e-tjänsterna och som en SP gentemot Ineras IdP. Att notera är att även i det fallet är det Ineras IdP som är integrerad mot Underskriftstjänsten, inte kundens IdP.

Bilden nedan illustrerar också möjligheten att bygga in Stödtjänstens funktionalitet i den egna e-tjänsten. Det betyder en mindre komponent att hålla reda på i den egna driftsmiljön. Dock tappar man möjligheten att nyttja Stödtjänsten för flera e-tjänster som ska integreras mot den centrala underskriftstjänsten. Det går givetvis att använda Stödtjänsten, även i fallet med en egen IdP.

                                                                                                                                     Kundens IdP ansluten till Ineras IdP som IdP-proxy

Underskriftstjänsten - API

Översikt

                                                            Underskriftstjänsten - API: integration  med  färdigt underskriftsflöde

Kundens e-tjänst integreras mot ett färdigt underskriftsflöde via ett API. Vid anropet så skickar kundens e-tjänst information om vilka som ska skriva under med vilken underskriftsprofil och vilka dokument som ska signeras. De underskrivna dokumenten leverereras tillbaka till kundens e-tjänst. 

För att signera ett dokument kan olika e-legitimationer användas, inklusive SITHS eID, men för den som initierar flödet är det ett krav att använda SITHS eID.

Verksamhetens ansvar

Underskriftstjänsten - API från Inera ger dig som kund en bra teknisk utgångspunkt för en lyckad integration. Utvecklingsinsatsen i den anslutna e-tjänsten begränsas till anrop av REST-tjänster. Det finns ett juridiskt ansvar för dig som kund, som du kan läsa i den juridiska vägledningen från eSAM. Inera rekommenderar dig som kund att betrakta detta som ett projekt, då det är ett relativt omfattande arbete att inför digitala signaturer i din organisation.

Användaren av systemet är antingen adminstratör och kan lägga upp signeringsuppdrag eller signatär, den som signerar. Administratören måste autentisera sig med SITHS eID,  signatären kan signera med SITHS eID eller annan e-legitimation. Se www.inera.se/underskriftstjansten för vilka e-legitimationer som är möjliga att använda för legitimering för underskrift. 

Efter att administratören lagt upp en begäran om signering av en eller flera signatärer via sin e-tjänst så kommer signatärerna notifieras via email. När alla har signerat, notifieras administratören.

Detta är en sammanfattning av vad du som kund behöver göra tekniskt för att ansluta till tjänsten

  • Utveckla e-tjänsten för att

    • Anropa Underskriftstjänsten - API för att skapa underlag för signering

    • Ansluta e-tjänsten till Ineras IdP för autentisering (valbart)

    • Hantera det underskrivna dokumentet som returneras till kundens e-tjänst, t ex arkivering

Anslutning till Underskriftstjänsten - API

Det är lämpligt att de eller de e-tjänster i din organisation som ska anslutas till Underskriftstjänsten - API även ansluter till Ineras IdP för autentisering av användarna. Det är inget krav, det går att använda en lokal IdP för autentiseringen, eller någon annan lösning som din organisation finner lämpligt att använda. Dock är det ur flera aspekter viktigt att fastställa användarens identitet. En är att hantera behörigheten till de dokument som ska signeras, en annan är att kunna skicka signatärernas identitet till Underskriftstjänsten - API som ska fastställa den genom att avkräva legitimering av signatären. 

Varje signeringsuppdrag som administratören lägger upp innehåller information om vilka dokument som ska signeras, av vilka signatärer och vilken underskriftsprofil som gäller för respektive signatär.

Då det signerade dokumentet returneras till den anslutna e-tjänsten är det också lämpligt att integrera e-tjänsten med kundens arkivsystem i de fall dokumentet ska arkiveras utanför systemet.

Signatärerna kan ladda ner de signerade dokumentet för egen hantering.

Underskriftstjänsten - Webb

Översikt

                                                   Underskriftstjänsten - Webb: ingen integration, e-tjänsten och underskriftsflödet finns inbyggt i tjänsten.

I denna variant krävs ingen integration av kundens e-tjänst. E-tjänsten som Inera levererar är integrerad i underskriftsflödet med inbyggd stödtjänstfunktionalitet.

Verksamhetens ansvar

Underskriftstjänsten - Webb från Inera kräver minimal teknisk insats för dig som kund. Det finns dock ett juridiskt ansvar för dig som kund, som du kan läsa i den juridiska vägledningen från eSAM. Även om tekniken inte är så komplicerad rekommenderar Inera dig som kund att betrakta detta som ett projekt, då det är ett relativt omfattande arbete att inför digitala signaturer i din organisation. Framför allt när det gäller att hantera det underskrivna dokumentet.

Anslutning till Underskriftstjänsten - Webb

Då Inera levererar komplett funktionalitet återstår det för verksamheten att införa digitala signaturer i sin verksamhet när man fått tillgång till Underskriftstjänsten - Webb. 

Användaren av systemet är antingen adminstratör och kan lägga upp signeringsuppdrag eller signatär, den som signerar. Administratören måste autentisera sig med SITHS eID, signatären kan signera med SITHS eID eller annan e-legitimation. Se www.inera.se/underskriftstjansten för vilka e-legitimationer som är möjliga att använda för legitimering för underskrift.

Varje signeringsuppdrag som administratören lägger upp innehåller information om vilka dokument som ska signeras, av vilka signatärer och vilken underskriftsprofil som gäller för respektive signatär.

Efter att administratören lagt upp en begäran om signering av en eller flera signatärer via Underskriftstjänsten - Webb så kommer signatärerna notifieras via email. När alla har signerat, notifieras administratören.

Autentiseringen för administratören sköts via Ineras IdP, med SITHS-kort eller Mobilt SITHS.

I tjänsten ingår ingen integration med något arkivsystem. Det innebär att verksamheten själva ansvarar för att ladda ner det signerade dokumentet från tjänsten och arkivera manuellt.

För- och nackdelar med de olika anslutningssätten 

Förmåga/anslutningssätt

Underskriftstjänsten - Bas och Ineras IdP

Underskriftstjänsten - Bas och kundens IdP

som IdP-proxy till Ineras IdP

Underskriftstjänsten - API

Underskriftstjänsten - Webb

Förmåga/anslutningssätt

Underskriftstjänsten - Bas och Ineras IdP

Underskriftstjänsten - Bas och kundens IdP

som IdP-proxy till Ineras IdP

Underskriftstjänsten - API

Underskriftstjänsten - Webb

Integration mellan IdP och Underskriftstjänsten sköts av centrala komponenter på Inera

JA

JA

JA

JA

Användardialoger vid underskrift sköts av centrala komponenter på Inera

JA

JA

JA

JA

SSO för lokala e-tjänster anslutna till lokal IdP (vid autentisering, ej underskrift)

NEJ

JA

JA

NEJ

Andra e-legitimationer än SITHS eID möjliga (vid autentisering)

NEJ

JA

JA (vid upplägg av signeringsuppdrag)

NEJ

Andra e-legitimationer än SITHS eID möjliga (vid underskrift)

NEJ

NEJ

JA

JA

Flera personer kan skriva under samma dokument

NEJ

NEJ

JA

JA

Signering av PDF

JA

JA

JA

JA

Signering av XML

JA

JA

NEJ

NEJ

Referenser




Publik Information