Innehållsförteckning

Klicka här för att expandera ...

Revisionshistorik

Klicka här för att expandera ...

Version	Datum	Författare	Kommentar
1.0	3 feb. 2021	Former user (Deleted)	Godkännande av dokumentet
1.01	9 apr. 2021	Former user (Deleted)	Uppdatering av IP-adresser för Autentisering med SITHS eID
1.1	16 apr. 2021	Former user (Deleted)	Förberedelser för IPv6 hos en av driftleverantörerna
1.2	10 maj 2021	Former user (Deleted)	Autentiseringstjänstskonsolidering, konnektivitetsmatris, felsökning slutanvändare mm
1.3	19 maj 2021	Former user (Deleted)	Förberedande information om nya sökvägar till Autentiseringstjänst, samt Utfärdandeportal för Mobilt SITHS och dess IdP
1.4	9 juni 2021	Former user (Deleted)	PU samt testportal (QA och PROD) IP#
1.5	24 aug. 2021	Former user (Deleted)	Justering av sökväg för Direktanslutning av IdP till Autentiseringstjänst i TEST-miljö
1.51	10 sep. 2021	Former user (Deleted)	Justering av sökväg för Direktanslutning av IdP till Autentiseringstjänst i QA-miljö
1.52	17 sep. 2021	Former user (Deleted)	Justering av sökväg för Direktanslutning av IdP till Autentiseringstjänst i Produktionsmiljö
1.53	15 okt. 2021	Former user (Deleted)	Justering av sökväg för klienter i produktion
1.54	8 nov. 2021	Former user (Deleted)	Justering av länk till Swagger för Relying party API i TEST-miljö
1.55	23 mars 2023	Former user (Deleted)	Kompletterade med kommande IP-adresser för TEST-miljö
1.56	6 apr. 2023	Former user (Deleted)	Kompletterade med kommande IP-adresser för QA/Prod-miljö
1.57	15 maj 2023	Former user (Deleted)	Förtydligande om att kunder ska öppna för hela nätverkssegmenten.
1.58	17 maj 2023	Former user (Deleted)	Lade till ytterligare IP-adresser som kommer att användas för mTLS i IdP:n från hösten 2023.
1.60	30 maj 2023	Former user (Deleted)	Lade till IP-adresser och FQDN för samtliga tjänster
1.61	31 maj 2023	Former user (Deleted)	Lade till datum då secure-endpoints/domännamn för IdP:n kommer att byta IP-adress under september för respektive miljö. Dvs. de domännamn som används för autentiseringsmetoden "SITHS-kort på denna enhet", närmare bestämt Dubbelriktad TLS/Mutual TLS (mTLS)
1.62	7 juni 2023	Former user (Deleted)	Justerade datum får TEST-miljön kommer få ny IP-adresser för mTLS till 31/5-2023
1.63	26 jan. 2024	Christoffer Johansson	Justering av nomenklatur då Utfärdandeportalen för Mobilt SITHS utgår och ersätts av SITHS eID Portal och Mina sidor. Dessa fungerar inte heller via verktyg för trafikinspektion som t ex. proxy.
1.7	15 mars 2024	Christoffer Johansson	Justering av information om Cipher Suites för olika ingångar

Inledning

Ineras tjänster för Identitet och åtkomsthantering (IAM-tjänster), Personuppgiftstjänsten och /wiki/spaces/CHDOK/pages/3475219675 finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing.

Med IAM-tjänster avses:

IdP
Autentiseringstjänst SITHS
Utfärdandeportal för Mobilt SITHS

Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras IAM-tjänster eller anställda som administrerar spärrar i den nationella tjänsten.

Kunder med Sjunetuppkoppling ska ha tagit del av avsnitten om:

Nätverksinställningar

Nedan hittar du information om om vilka Domännamn, IP-adresser, Subnät, Portar och protokoll som används samt en konnektivitetsmatris

Proxy och TLS-inspektion

Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från användarnas datorer till SITHS eID Portal, Mina sidor, Certificate Services, IdP eller Autentiseringstjänsten.

Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö.

För information om Nätverksinställningar för SITHS i samband med Utfärdande av certifikat till smarta kort och Mobilt SITHS, samt för information om spärrkontroll för certifikat, se: Nätverksinställningar för SITHS

Konnektivitet

Användarnas SITHS eID-klienter behöver kunna kommunicera med SITHS eID Portal, Mina sidor, Certificate Services och Autentiseringstjänsten
För att kunna utfärda/administrera Mobilt SITHS eID så måste användarnas browser kunna komma åt SITHS eID Mina sidor den instans av Ineras IdP som SITHS eID Portal och Mina sidor använder sig av för autentisering.
Organisationer som sitter på Sjunet och internet samtidigt behöver välja över vilket nät och hur trafiken skall routas (se avsnitt Nätverksinställningar för tjänster inom identitet och åtkomst#sjunet)

Detta kan sammanfattas på matrisform.

Kommunikation behövs mellan..	eID klient	Autentiseringstjänst	SITHS eID Portal/Mina sidor	Browser	Ineras IdP	Lokal IdP
SITHS eID-app		ja	ja
Autentiseringstjänst SITHS	ja				ja	ja
SITHS eID Portal/Mina sidor	ja			ja	ja
Browser			ja		ja
Ineras IdP		ja	ja	ja
Lokal IdP		ja

IP-adresser

För att säkerställa funktionalitet ska ni för öppna för trafik från hela nätverkssegmenten nedan.

IPv4

82.136.182.0/24
82.136.183.0/24

IPv6

2a01:58:6106::/48

IP-adresser per miljö

Visa IP-adresser per miljö och tjänst

Miljö	Tjänst	Domännamn	Adress (IPv4)	Ny adress från hösten 2023
TEST	IdP för autentisering	Landningssida https://idp.ineratest.org	82.136.182.16
	IdP för autentisering	mTLS https://secure.idp.ineratest.org https://secure0.idp.ineratest.org https://secure1.idp.ineratest.org ...osv. https://secure9.idp.ineratest.org	82.136.182.27
	Autentiseringstjänst SITHS för autentisering med SITHS eID-apparna	Anslutande SITHS eID-app https://authservice.test.siths.se	82.136.183.38
		Anslutande IdP https://secure-authservice.test.siths.se	82.136.183.40
	Testportal	https://test.idp.ineratest.org	82.136.182.16
	Personuppgiftstjänstens användargränssnitt	https://pu.ineratest.org https://ws.pu.ineratest.org https://api.pu.ineratest.org	82.136.182.17
	/wiki/spaces/CHDOK/pages/3475353158	https://sparradmin.ineratest.org https://ws.sparradmin.ineratest.org https://ws.sparrtjanst.ineratest.org	82.136.182.18
	Samtyckestjänst	https://samtyckestjanst.ineratest.org https://ws.samtyckestjanst.ineratest.org	82.136.182.19
	Loggtjänst	https://loggtjanst.ineratest.org https://ws.loggtjanst.ineratest.org	82.136.182.20
QA	IdP för autentisering	Landningssida https://idp.ineraqa.org	82.136.182.9
	IdP för autentisering	mTLS https://secure.idp.ineraqa.org https://secure0.idp.ineraqa.org https://secure1.idp.ineraqa.org ...osv. https://secure24.idp.ineraqa.org	82.136.182.9	From 12/9-2023: 82.136.182.29
	Autentiseringstjänst SITHS för autentisering med SITHS eID-apparna	Anslutande SITHS eID-app https://authservice.qa.siths.se	82.136.183.71
		Anslutande IdP https://secure-authservice.qa.siths.se	82.136.183.72
	Testportal	https://test.idp.ineraqa.org	82.136.182.9
	Personuppgiftstjänstens användargränssnitt	https://pu.ineraqa.org https://ws.pu.ineraqa.org https://api.pu.ineraqa.org	82.136.182.21
	Spärradministration	https://sparradmin.ineraqa.org https://ws.sparradmin.ineraqa.org https://ws.sparrtjanst.ineraqa.org	82.136.182.23
	Samtyckestjänst	https://samtyckestjanst.ineraqa.org https://ws.samtyckestjanst.ineraqa.org	82.136.182.22
	Loggtjänst	https://loggtjanst.ineraqa.org https://ws.loggtjanst.ineraqa.org	82.136.182.24
PROD	IdP för autentisering	Landningssida https://idp.inera.se	82.136.182.2
	IdP för autentisering	mTLS https://secure.idp.inera.se https://secure0.idp.inera.se https://secure1.idp.inera.se ...osv. https://secure24.idp.inera.se	82.136.182.2	From 26/9-2023: 82.136.182.3
	Autentiseringstjänst SITHS för autentisering med SITHS eID	Anslutande SITHS eID-app https://authservice.siths.se	82.136.183.103
	Autentiseringstjänst SITHS för autentisering med SITHS eID	Anslutande IdP https://secure-authservice.siths.se	82.136.183.104
	Testportal	https://test.idp.inera.se	82.136.182.2
	Personuppgiftstjänstens användargränssnitt	https://pu.inera.se https://admin-pu.inera.se https://ws.pu.inera.se https://api.pu.inera.se	82.136.182.28
	Spärradministration	https://sparradmin.inera.se https://ws.sparradmin.inera.se https://ws.sparrtjanst.inera.se	82.136.182.25
	Samtyckestjänst	https://samtyckestjanst.inera.se https://ws.samtyckestjanst.inera.se	82.136.182.26
	Loggtjänst	https://loggtjanst.inera.se https://ws.loggtjanst.inera.se	82.136.182.31

Portar

443
80 (redirectas till https (443)

Transportkryptering

Allt trafik mot Ineras IAM-tjänster krypteras över HTTPS. För anrop mot vissa tjänster krävs Mutal TLS över HTTPS

TLS-protokoll

Lägsta TLS protokollversion som stöds är TLSv1.2

Cipher suites

Eftersom Ineras IAM-tjänster i dagsläget har två olika driftleverantörer har olika tjänster vissa variationer i vilka Cipher Suites som stöds.

Se Cipher Suites per protokoll och funktion genom att expandera nedan fält

Visa cipher suites över TLSv1.2 - Legitimeringstjänst IdP för medarbetare, Testsida för IdP, PU och Spärradministrationens gränssnitt

Dubbelriktad TLS

För IdP används dubbelriktad TLS på domännamnen secure[0-24].idp.inera<miljö>.[se/org] och följande cipher suites

Cipher suite
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Enkelriktad TLS

test.idp.inera<miljö>.[se/org]
idp.inera<miljö>.[se/org]

Cipher suite
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA

Visa cipher suites över TLSv1.3 - Legitimeringstjänst IdP för medarbetare, Testsida för IdP, PU och Spärradministrationens gränssnitt

Dubbelriktad TLS

OBS! För IdP används dubbelriktad TLS på domännamnen secure[0-24].idp.inera<miljö>.[se/org]. TLS 1.3 har INTE aktiverats för detta då det inte är kompatibelt med Net iD Enterprise

Enkelriktad TLS

test.idp.inera<miljö>.[se/org]
idp.inera<miljö>.[se/org]

Cipher suite
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256

Visa cipher suites över TLS 1.2 - SITHS eID Portal/Mina sidor (och dedikerad IdP), Certificate Services, Autentiseringstjänst

Dubbelriktad TLS

IdP använder inte dubbelriktad TLS hos denna driftleverantör.

Används t ex. för anslutande IdP mot Autentiseringstjänsten på https://secure-authservice.<miljö>.siths.se

Cipher suite
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Enkelriktad TLS

Cipher suite
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Visa cipher suites över TLS 1.3 - SITHS eID Portal/Mina sidor (och dedikerad IdP), Certificate Services, Autentiseringstjänst

Dubbelriktad TLS

IdP använder inte dubbelriktad TLS hos denna driftleverantör

Enkelriktad TLS

Cipher suite
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256

Sjunet

IAM-tjänsterna finns tillgängliga både på Sjunet och Internet med samma instanser och adresser, så kallad multi-homing. Detta gör att kunder som har en Sjunetuppkoppling behöver vara extra noggranna med att tänka över sina trafikmönster vid integration mot Ineras komponenter för Identitet- och åtkomsthantering

Klicka här för att expandera ...

Bakgrund

IP-adressblocken som omnämns under rubriken "Inledning" har historiskt funnits endast på Sjunet, och kan tidigare ha routats antingen via Internet eller Sjunet beroende på:

tidigare kommunikation från Sjunetförvaltningen om att alla dessa nät ska routas via Sjunet
tidigare kommunikation från Ineras Projekt, IdP- eller SITHS förvaltning om att 82.136.182.0/24 respektive 82.136.183.0/24 ska routas via Internet eller Sjunet beroende på hur man vill styra sina användares trafik vid inloggning till IdP:n

Beroende på hur er organisation routar dessa nät kommer ev. brandväggsöppningar att behöva utföras antingen i brandväggen för internet eller i brandväggen för Sjunet.

Åtgärder

Bestäm om ni vill nå dessa komponenter via Internet eller Sjunet.
Säkerställ att ni routar ovanstående adressblock rätt baserat på ovan val av routing
Säkerställ att er trafik NAT:as bakom en IP-adress som matchar den routing ni väljer:
1. Routing Sjunet → NAT bakom en Sjunet IP-adress
2. Routing Internet → NAT bakom en Internet IP-adress

Webbadresser

Huvuddomäner

Miljö

Domän

TEST

*.ineratest.org

*.test.siths.se

QA

*.ineraqa.org

*.qa.siths.se

PROD

*.inera.se

*.siths.se

Subdomäner

Varje subdomän inom Ineras komponenter för identitet- och åtkomsthanteringhar ett syfte som beskrivs nedan

Klicka här för att expandera ...

Tjänst	Subdomän	Anteckning
IdP för autentisering	idp.*
IdP för autentisering	secure.idp.*	Användarautentisering via mTLS och Net iD Enterprise
SITHS eID Portal	portal.<miljö>.siths.se
Mina sidor	minasidor.miljö.siths.se
IdP för SITHS eID Portal och Mina sidor	idp.<miljö>.siths.se
Certificate Services	websocket-certificateservices.<miljö>.siths.se cms-pki.<miljö>.siths.se api-certificateservices.<miljö>.siths.se
Autentiseringstjänst	authservice.<miljö>.siths.se
Autentiseringstjänst	secure-authservice.<miljö>.siths.se	Kommunikation via mTLS mellan IdP och Autentiseringstjänsten. Behövs endast för kunder som har en direktanslutning lokal IdP → Autentiseringstjänsten.
Testportal	test.idp.*

Tjänst	Subdomän	Anteckning
Personuppgiftstjänsten	pu.*	Användargränssnitt för person- och kontaktuppgifter
Spärradministration	sparradmin.*	Användargränssnitt för administration av spärrar inom patientdatalagen

Fullständiga adresser

Nedan finns en tabell över samtliga hostnamn/adresser som används av Ineras komponenter för identitet- och åtkomsthantering samt övriga tjänster

Klicka här för att expandera ...

Miljö

IdP för autentisering

IdP för SITHS eID Portal och Mina sidor

Certificate Services

Autentiseringstjänst

SITHS eID Portal

Mina sidor

Testportal

TEST

idp.test.siths.se

websocket-certificateservices.test.siths.se

cms-pki.test.siths.se

api-certificateservices.test.siths.se

SITHS eID App → authservice.test.siths.se
IdP → secure-authservice.test.siths.se

portal.test.siths.se

Används för systemtester och acceptanstester av Inera och våra leverantörer

minasidor.test.siths.se

Används för systemtester och acceptanstester av Inera och våra leverantörer.

Kunder kan utfärda Mobilt SITHS här med hjälp av SITHS-kort i QA

test.idp.ineratest.org

QA

idp.qa.siths.se

websocket-certificateservices.qa.siths.se

cms-pki.qa.siths.se

api-certificateservices.qa.siths.se

SITHS eID App → authservice.qa.siths.se
IdP → secure-authservice.qa.siths.se

portal.qa.siths.se

minasidor.qa.siths.se

test.idp.ineraqa.org

PROD

idp.siths.se

websocket-certificateservices.siths.se

cms-pki.siths.se

api-certificateservices.siths.se

SITHS eID App → authservice.siths.se

IdP → secure-authservice.siths.se

portal.siths.se

minasidor.siths.se

test.idp.inera.se

Övriga tjänster

Miljö	Personuppgiftstjänsten	Spärradministration
TEST	pu.ineratest.org	sparradmin.ineratest.org
QA	N/A	N/A
PROD	pu.inera.se	sparradmin.inera.se

Sökvägar för API:er och metadata

Anslutning av tjänst eller IdP → Ineras IdP

För att i en egen tjänst möjliggöra legitimering av användare via Ineras IdP

Metadata för Ineras IdP

För e-tjänster eller lokala IdP:er som skall ansluta till IdP för autentisering.

SAML-metadata exponeras på /saml
OIDC-metadata exponeras på /oidc/.well-known/openid-configuration

Miljö	SAML Metadata	SAML EntityId	OIDC Metadata	OIDC issuer
TEST	https://idp.ineratest.org/saml	https://idp.ineratest.org:443/saml	https://idp.ineratest.org/oidc/.well-known/openid-configuration	https://idp.ineratest.org:443/oidc
QA	https://idp.ineraqa.org/saml	https://idp.ineraqa.org:443/saml	https://idp.ineraqa.org/oidc/.well-known/openid-configuration	https://idp.ineraqa.org:443/oidc
PROD	https://idp.inera.se/saml	https://idp.inera.se:443/saml	https://idp.inera.se/oidc/.well-known/openid-configuration	https://idp.inera.se:443/oidc

Direktanslutning lokal IdP → Autentiseringstjänsten

För lokala IdP:er som skall ansluta direkt till Autentiseringstjänsten via Relying Party API enligt Anslutningsguide till Autentiseringstjänsten.

Miljö	Adress för Relying Party API	API-dokumentation
TEST	https://secure-authservice.test.siths.se	https://authservice.test.siths.se/openapi/swagger-ui/index.html?configUrl=%2Fv3%2Fapi-docs%2Fswagger-config&urls.primaryName=Relying%20Party%20API%20V1
QA	https://secure-authservice.qa.siths.se	https://authservice.qa.siths.se/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#
PROD	https://secure-authservice.siths.se/	https://authservice.siths.se/openapi/swagger-ui/index.html?url=/v3/api-docs/rp#

Integrationer mot externa system

IdP:ns integration mot HSA-miljöer

IdP interagrerar direkt mot HSA-katalogen för att hämta användarattribut, ej via den nationella tjänsteplattformen.

Klicka här för att expandera ...

MIljö

Domäner

Ansluten till HSA miljö (se gärna även här (Riktlinjer för tester och testdata))

TEST

idp.ineratest.org

HSA Integrationsmiljö:

https://hsatest.inera.se/hsaadm/ (Internet)

https://testhotell2.carelink.sjunet.org/hsaadm/ (Sjunet)

QA

idp.ineraqa.org

PROD

idp.inera.se

HSA Produktionsmiljö:

https://hsa.inera.se/hsaadm (Internet)
https://hsahotell.carelink.sjunet.org/hsaadm (Sjunet)

För Spärradministrationstjänstens integrationer, se /wiki/spaces/CHDOK/pages/3475217939

Personuppgifttjänstens gränssnitt har beroenden till IdP för slutanvändares autentisering samt för Skatteverkets tjänst Navet, se Översikten i tjänstens SAD.

Felsökningsguide

Innehåller en översikt och målgruppsanpassade felsökningsguider

Allmän felsökning för nätadminitratörer

DNS uppslag: Får klienten DNS-uppslag mot rätt IP-adresser? (Testet inkluderar ett DNS-namn från respektive subnät)
- nslookup idp.inera.se (resultatet som klienten ska få är 82.136.182.2)
- nslookup authservice.siths.se (resultatet som klienten ska få är 82.136.183.103)
- nslookup sparradmin.inera.se (resultatet som klienten ska få är 82.136.182.4)
Routing: Vilken väg tar trafiken (Sjunet/Internet)?
Använd tracert för att se vilken väg trafiken tar:
- tracert -d 82.136.182.2 (Om den i slutet passerar 10.9.34.6 så går trafiken över sjunet)
- tracert -d 82.136.183.103 (Om den i slutet passerar 81.89.159.168 så går trafiken över sjunet)
- tracert -d 82.136.182.4
NAT: Säkerställ att era klienter NAT:as bakom rätt adress beroende på vilken routing ni väljer så att trafiken hittar tillbaka
- Routing Sjunet → NAT bakom en Sjunet IP-adress
- Routing Internet → NAT bakom en Internet IP-adress
- Om ni inte kan Source-routa och ha olika NAT-adresser för era olika Interna nät måste samtliga nät NAT:as bakom rätt IP-adress beroende på ert val av routing (Internet/Sjunet)

För eTjänsts slutanvändare

Kan du inte logga in i etjänsten?
1. har du provat från fler datorer?
  1. JA: felanmäl till din lokala IT support och hänvisa gärna till den sida du nu läser: Nätverksinställningar för tjänster inom identitet och åtkomst
  2. NEJ: prova gärna med annan dator
2. Anges något servicefönster med beräknad användarpåverkan på www.inera.se/driftstatus/kommande-atgarder/ eller allmän driftstörning på www.inera.se/driftstatus/ för etjänsten eller dess stödtjänster?
  1. JA: avvakta tills störningen/servicefönstret är avslutat
  2. NEJ: Kan du surfa till idp.inera.se eller och få fram bilden:
    1. JA: Kan en kollega logga in i etjänsten?
      1. NEJ: kontakta Inera Support (inera@support.se) och ange problem med etjänsten
      2. JA: kontakta lokal katalogansvarig för att säkerställa att du har rätt medarbetaruppdrag, attribut i HSA etc
    2. NEJ: din organisations nätadministratörer behöver öppna brandväggar och/eller justera DNS. Felanmäl till din lokala IT support och hänvisa gärna till denna sida.
3. Har du testat ditt eID på test.idp.inera.se och det fungerar där?
  1. JA: felet ligger troligen i den etjänst du försöker nå, om det är en etjänst från Inera, kontakta Inera Support (inera@support.se) och ange problem med etjänsten
  2. NEJ: problemet är ditt eID (mobilt eller på SITHS kort) och du behöver felanmäla till din lokala SITHS eller HSA förvaltning

För eTjänsts förvaltning

Erbjuds er eTjänst på Sjunet?
1. JA: genomför vanliga informationsinsatser när tjänst finns på ny IP adress
2. NEJ: Sitter vissa/alla av eTjänstens slutanvändare i organisation med Sjunet?
  1. Genomför tester innan övergång till IdP:n i så breda (geografiskt spridda) organisatoriska enheter som möjligt för att i god tid fånga och hantera de användargrupper på nätsegment som har konntektivitetsproblem
  2. Eventuellt implementera loggning av konnektivitet och kontakta Säkerhetstjänsters förvaltning genom ett ärende till support@inera.se
Fungerar autentisering i Testportalen (test.idp.inera.se)
1. JA: felet ligger troligen etjänsten
2. NEJ: problemet är den aktuella personenens eID:t (mobilt eller på SITHS kort) och behöver felanmälas till den lokala SITHS förvaltningarna (IT support)

För sjunetansluten organisations nätverksadministratörer

Kontrollera att portar öppnats och instruktioner följts i avsnitt Nätverksinställningar för tjänster inom identitet och åtkomst#Sjunet?
Har organisationen olika routrar för Sjunet och internet? (d v s separat routing)?
1. JA: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
  1. Inera rekommenderar att ni routar trafiken över sjunet där ni har en högre tillgänglighetsgaranti
  2. Justera tabell / BGP
2. NEJ: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
  1. Båda routrarna bör få näten annonserade till sig - alternativt static/default route
  2. Justera tabell / BGP
Har organisationen brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet? Öppna dessa efter behov och nät

För EJ sjunetansluten organisations nätverksadministratörer

Har ni brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet?
1. JA: Öppna dessa mot 82.136.182.0/24 och/eller 82.136.183.0/24
NEJ: Om klienter på aktuella nät för slutanvändare besöker idp.inera.se och idp.ineratest.org (eller motsvarande tjänsts adress/miljö) i webbläsare ser de då "404"?
1. NEJ: Kontrollera att portar öppnats och instruktioner följts i avsnitt Nätverksinställningar för tjänster inom identitet och åtkomst#Sjunet?
JA: Kommunikationen med Ineras IdP och andra Ineratjänster fungerar

Fullständigt fråga-svarsträd och översikt

Översikt: tre olika nätscenarier för slutkund

Under uppdatering

Dessa bilder är under arbete att bli mer generella för alla tjänster och komponenter

Fullständigt fråga-svarsträd

Nätverksinställningar för tjänster inom identitet och åtkomst

Innehållsförteckning

Revisionshistorik

Inledning

Nätverksinställningar

Konnektivitet

IP-adresser

IPv4

IPv6

IP-adresser per miljö

Portar

Transportkryptering

TLS-protokoll

Cipher suites

Dubbelriktad TLS

Enkelriktad TLS

Dubbelriktad TLS

Enkelriktad TLS

Sjunet

Bakgrund

Åtgärder

Webbadresser

Huvuddomäner

Subdomäner

Fullständiga adresser

Sökvägar för API:er och metadata

Anslutning av tjänst eller IdP → Ineras IdP

Metadata för Ineras IdP

Direktanslutning lokal IdP → Autentiseringstjänsten

Integrationer mot externa system

IdP:ns integration mot HSA-miljöer

Felsökningsguide