Innehållsförteckning
Revisionshistorik
Inledning
Ineras tjänster för Identitet och åtkomsthantering (IAM-tjänster), Personuppgiftstjänsten och Spärrtjänsten finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing.
Med IAM-tjänster avses:
- IdP
- Autentiseringstjänst SITHS
- Utfärdandeportal för Mobilt SITHS
Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras IAM-tjänster eller anställda som administrerar spärrar i den nationella tjänsten.
Kunder med Sjunetuppkoppling ska ha tagit del av avsnitten om:
Nätverksinställningar
Nedan hittar du information om om vilka Domännamn, IP-adresser, Subnät, Portar och protokoll som används samt en konnektivitetsmatris
Proxy och TLS-inspektion
Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från SITHS eID apparna till Autentiseringstjänsten och Utfärdandeportalen.
Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö.
Konnektivitet
- Användarnas SITHS eID-klienter behöver kunna kommunicera med Autentiseringstjänsten och Utfärdandeportalen.
- För att kunna utfärda/administrera Mobilt SITHS eID så måste användarnas browser kunna komma åt Utfärdandeportalen samt den instans av Ineras IdP som Utfärdandeportalen använder sig av för autentisering.
- Organisationer som sitter på Sjunet och internet samtidigt behöver välja över vilket nät och hur trafiken skall routas (se avsnitt sjunet)
Detta kan sammanfattas på matrisform.
Kommunikation behövs mellan.. | eID klient | Autentiseringstjänst | Utfärdandeportal | Browser | Ineras IdP | Lokal IdP |
eID klient | ja | ja | ||||
Autentiseringstjänst SITHS | ja | ja | ja | |||
Utfärdandeportal | ja | ja | ja | |||
Browser | ja | ja | ||||
Ineras IdP | ja | ja | ja | |||
Lokal IdP | ja |
IP-adresser
För att säkerställa funktionalitet ska ni för öppna för trafik från hela nätverkssegmenten nedan.
IPv4
- 82.136.182.0/24
- 82.136.183.0/24
IPv6
2a01:58:6106::/48
IP-adresser per miljö
Portar
- 443
- 80 (redirectas till https (443)
Transportkryptering
Allt trafik mot Ineras IAM-tjänster krypteras över HTTPS. För anrop mot vissa tjänster krävs Mutal TLS över HTTPS
TLS-protokoll
Lägsta TLS protokollversion som stöds är TLSv1.2
Cipher suites
Eftersom Ineras IAM-tjänster i dagsläget har två olika driftleverantörer har olika tjänster vissa variationer i vilka Cipher Suites som stöds.
Se Cipher Suites per protokoll och funktion genom att expandera nedan fält
Sjunet
IAM-tjänsterna finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing. Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras komponenter för Identitet- och åtkomsthantering
Webbadresser
Huvuddomäner
Miljö | Domän |
---|---|
TEST | *.test.siths.se |
QA | *.qa.siths.se |
PROD | *.inera.se *.siths.se |
Subdomäner
Varje subdomän inom Ineras komponenter för identitet- och åtkomsthanteringhar ett syfte som beskrivs nedan
Fullständiga adresser
Nedan finns en tabell över samtliga hostnamn/adresser som används av Ineras komponenter för identitet- och åtkomsthantering samt övriga tjänster
Sökvägar för API:er och metadata
Anslutning av tjänst eller IdP → Ineras IdP
För att i en egen tjänst möjliggöra legitimering av användare via Ineras IdP
Metadata för Ineras IdP
För e-tjänster eller lokala IdP:er som skall ansluta till IdP för autentisering.
- SAML-metadata exponeras på /saml
- OIDC-metadata exponeras på /oidc/.well-known/openid-configuration
Direktanslutning lokal IdP → Autentiseringstjänsten
För lokala IdP:er som skall ansluta direkt till Autentiseringstjänsten via Relying Party API enligt Anslutningsguide till Autentiseringstjänsten.
Miljö | Adress för Relying Party API | API-dokumentation |
---|---|---|
TEST | ||
QA | https://authservice.qa.siths.se/openapi/swagger-ui/index.html?url=/v3/api-docs/rp# | |
PROD | https://authservice.siths.se/openapi/swagger-ui/index.html?url=/v3/api-docs/rp# |
Integrationer mot externa system
IdP:ns integration mot HSA-miljöer
IdP interagrerar direkt mot HSA-katalogen för att hämta användarattribut, ej via den nationella tjänsteplattformen.
För Spärradministrationstjänstens integrationer, se Beroenden i tjänstens SAD
Personuppgifttjänstens gränssnitt har beroenden till IdP för slutanvändares autentisering samt för Skatteverkets tjänst Navet, se Översikten i tjänstens SAD.
Felsökningsguide
Innehåller en översikt och målgruppsanpassade felsökningsguider