Ladda ner SITHS eID-app för Windows
- Former user (Deleted)
- Fadi.Jazzar@inera.se
- Former user (Deleted)
Innehållsförteckning
Revisionshistorik
Nedladdning för Produktionsmiljö
Obligatorisk uppgradering
Från och med breddlanseringen av SITHS eID Portal krävs minst version 2.0.8481 av SITHS eID-appen för Windows.
Inloggning och konfiguration av SITHS eID Portal, samt legitimering och underskrift i andra tjänster kommer fortsatt att fungera med tidigare supporterad version.
Viktig information kring installation/avinstallation. OBS! Uppdaterad 2023-11-02
- Starta alltid om datorn efter avinstallation
- Vid uppgradering/byta till en äldre version eller vid byte av paketering måste man: 1. Avinstallera, 2. Starta om datorn, 3. Installera det nya paketet
- Eftersom SITHS eID-appen inte är lika "känd" som programvaror från Microsoft eller andra stora utvecklare. Kan det hända att ni måste göra vissa undantag på er klientmiljö för att det ska gå att ladda ner och/eller installera och köra SITHS eID-appen.
- Starta om datorn vid avinstalltionsproblem
| SITHS eID-version | SAC-version | Nedladdningslänk | Filstorlek och Hashvärde | Kommentar | Releasedatum | Sista datum för support |
|---|---|---|---|---|---|---|
| 2.2.8824.22629 | 10.8.2725.0 | Kan vara kompatibel med Net iD Enterprise |
| Ej fastställt | ||
INTE kompatibel tillsammans med Net iD Enterprise |
| Ej fastställt |
Information om äldre versioner för produktionspaketeringar
Övriga paketeringar
Paketeringar för:
- Systemutvecklare, testare och systemförvaltare. Dessa paketeringar ger möjlighet att, i appen, byta vilken miljö (TEST, QA eller Produktion) som används.
- IT-organisationer som bara vill hantera ett paket för flera användargrupper kan använda dessa paket och styra av miljöbytesfunktionaliteten för vissa användare som endast ska jobba mot Produktionsmiljö
Nedladdning av aktuella versioner för övriga paketeringar
Information om äldre versioner för övriga paketeringar
Beskrivningar av olika paketeringar
Kompatibilitetskrav
Installation
Se även den tekniska dokumentationen på Thales sidor om du söker:
- Inställningar som kan göras för Thales Safenet Authentication Client (SAC) - Se "Administrator guide"
- Information om kompatibilitet för kortläsare och operativsystem för SAC minidriver i MD-paketeringarna av SITHS eID-appen för Windows - "Se Release Notes"
- ADMX/ADML-filer som kan användas för styrning av inställningar för SAC minidriver via Grupp principer (GPO)
Under rubrikerna nedan har vi lyft fram några av de vanligaste inställningarna som man behöver förhålla sig till vid installation, användning och för konfiguration av SITHS eID-appen och SAC.
Detaljerad information om installation
Certifikatinläsning för MD-paketering
För optimal hantering av autentiseringslösningar baserade på Dubbelriktad TLS/Mutual TLS (mTLS) ska Microsofts egen certifikatpropageringstjänst stängas av. OM den inte stängs av kan användare uppleva problem med att tidigare användares certifikat dyker upp som valbara på datorer som delas med andra användare. Dessa certifikat kan dock inte användas även om de kan väljas eftersom det privata nyckelmaterialet ligger på ett SITHS-kort som inte finns kvar i en kortläsare ansluten till datorn. Orsaken är att Windows egen tjänst bara lägger till certifikat, men inte har någon logik för att raderas dem när kortet avlägssnas från kortläsaren.
Avstängning av denna tjänst görs med fördel med hjälp av Microsoft grupp principer (GPO).
Grupp-principen hittas här: Computer Configuration\Administrative templates\Windows Components\Smartcard
Följande inställningar ska inaktiveras:
- Activate certificate propagation from smartcard
- Activate root certificate propagation from smartcard
Även Microsofttjänsten CertPropSvc inaktiveras
Installationsparameterar
Installationspaketet för appen levereras endast som en .exe fil. Detta beror på att att denna installation i sin tur består av ett antal MSI-paket från Ineras olika leverantörer. Installationspaketet stödjer ett antal flaggor som kan användas om installationen ska köras via en kommandotolk eller som en oövervakad installation. Vilka installationsflaggor som finns kan visas genom flaggan /?.
Exempel: <installationsfilensnamn> /?
Oövervakad/Tyst installation
Kan genomföras genom installationsflaggorna /quiet eller /passive
Varning om att lita programvara från Thales DIS
Från och med version 2.0.8481 av SITHS eID-appen för Windows (som använder SAC minidriver 10.8.2701) får man INTE längre denna varning.
För äldre versioner av SITHS eID-appen för Windows i MD-paketering (SAC minidriver) måste man för tyst installation installera tillit till Thales kodsigneringscertifikat.
Se rubriken Installera tillit till Thales kodsigneringscertifikat för information om hur tillit installeras
Varningen kommer från hur Windows hanterar installation av drivrutiner som inte är certifierade av Microsoft. Drivrutinerna från Thales som används för autentiseringslösningen Dubbelriktad TLS/Mutual TLS (mTLS) är ännu inte certifierade av Microsoft. För användare som gör denna installation manuellt kan man gå vidare genom att välja "Installera" i användardialogen nedan.
Valet i rutan "Lita alltid på programvara från Thales DIS CPL USA, Inc." avgör huruvida tillit till Thales kodsigneringscertifikat ska installera permanent på aktuellt dator eller om datorn endast ska lita på certifikatet för den pågående installationen.
Installera tillit till Thales kodsigneringscertifikat
För att kunna genomföra en oövervakad installation av behöver Thales kodsigneringscertifikat vara betrott på de datorer där SITHS eID i MD-paketering ska installeras. Thales kodsigneringscertifikat publiceras som en del av releasen och återfinns.
OBS! Säkerställ att installation av tillit sker i datorns certifikatslagring och INTE i användarens certifikatlagring. Certifikatet behöver installeras i datorns certifikatlagring under "Betrodda utgivare/Trusted publishers".
Här kan du Ladda ner Thales kodsigneringscertifikat
Tillit till dessa certifikat kan med fördel installeras med Microsoft grupp principer (GPO).
Firefox
Vid tyst installation på klientdatorer med webbläsaren Firefox får man två olika beteenden för Autentiseringslösningar baserade på mTLS beroende på om webbläsaren är öppen när den tysta installationen körs:
- Firefox öppen:
- certifikatval hanteras av Firefox.
- pin-dialog hanteras av Windows.
- Firefox stängd
- certifikatval hanteras av Firefox.
- pin-dialog hanteras av Firefox.
Dessa olika beteenden beror på att SAC PKCS#11 inte kan installeras om Firefox är öppen när den tysta installationen körs.
Avinstallation
Vid tyst avinstallation gäller det att tänka på att användarens dator måste startas om innan appen installeras på nytt.
Detta beror på att avinstallationen tar bort viktiga filer från datorn vid nästa omstart. Har man då redan installerat appen på nytt kommer viktiga filer att tas bort vid omstart och göra att appen inte kommer gå att använda.
Konfiguration efter installation
Efter installation kan vissa inställningar i Windowsregistret göras för att justera hur SITHS eID-appen och SAC ska fungera.
Paketeringar som innehåller SAC minidriver (MD-paketen)
Detta avsnitt gäller endast för autentiseringslösningar baserade på Dubbelriktad TLS (mTLS) och därmed de paket av SITHS eID-Windowsapp som innehåller SAC minidriver. Se mer information om hur certifikat läses från SITHS-kortet till datorn och de två olika autentiseringslösningarna på denna sida: Inläsning av SITHS-kort på Windows
Följande inställningar kan även justeras med hjälp av de ADMX/ADML-filer som finns publicerade på Thales sidor för respektive version av SAC
Aktivera "PIN-SSO"
Vid installation kommer användarens pin-kod för legitimering att "cachas" av SAC minidriver för att användaren inte ska behöva ange sin pin-kod upprepade gånger.
Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till att PIN-SSO är Aktiv:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL DWORD: SingleLogon value=2
PIN-SSO nollställs automatiskt när:
- Den timeout som kan definieras enligt rubriken nedan uppnås, se Hantera timeout för SSO
- Datorn startas om
- När användaren drar ut sitt SITHS-kort ur kortläsaren
För att stänga av detta beteende justeras registervärdet enligt nedan
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL DWORD: SingleLogon value=0 (SSO AVSTÄNGD)
Om ni lägger till ovan nämnda registervärden under ALLA användarprofiler på datorn (HKEY_CURRENT_USER) med hjälp av Grupprinciper/Group policies (GPO:er) i er miljö kan ni få PIN-SSO att nollställas även vid:
- Strömsparläge/Viloläge
- Låst användarsession
Möjliga värden för denna inställning är:
- 0 - SAC begär pin när det behövs
- 1 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2
- 2 - SAC använder PIN-SSO för applikationer som använder Microsoft CAPI/CAPI2 och PKCS#11
Hantera timeout för PIN-SSO
Vid installation kommer cachningen av användarens pin-kod att upphöra efter en given tid
Följande konfiguration i Windowsregistret styr denna timeout och är som standard konfigurerad till en timeout om 4h:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL DWORD: SingleLogonTimeout value=14400 (timeout i sekunder --> dvs 4h)
För att ändra detta beteende justeras registervärdet enligt nedan:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\SafeNet\Authentication\SAC\GENERAL DWORD: SingleLogonTimeout value=<ange timeout i sekunder>
Utöver denna timeout nollställs pin-SSO när:
- Datorn startas om
- När användaren drar ut sitt SITHS-kort ur kortläsaren
Stäng av installation av rotcertifikat
Från och med version 2.0.8481 av SITHS eID-appen för Windows (som använder SAC minidriver 10.8.2701) är denna funktion avstängd som standard.
För tidigare versioner av MD-paketen kommer SAC minidriver som standard att vilja installera tillit till rotcertifikat som finns på SITHS-korten på användarens dator. Denna funktion kan stängas av genom att skapa nedan registernyckel.
Rotcertifikat fanns på SITHS-korten för 410-korten (produkter vars produktnummer börjar med "4" eller "9" (4XX resp. 9XX).
HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\CertStore\ DWORD: PropagateCACertificates value=0 (Installation inaktiverad)
Möjliga värden för denna inställning är:
- 0 - SAC försöker inte installera tillit till rotcertifikat från SITHS-kortet på användarens dator
- 1 - SAC försöker installera tillit till rotcertifikat från SITHS-kortet på användarens dator
Aktivera loggning för Dubbelriktad TLS/Mutual TLS (mTLS) - SAC minidriver
Aktivera endast loggning när du försöker återskapa felet och ska ta ut en logg att skicka in till supporten. Detta eftersom loggningen skriver stora mängder loggar.
- Töm mappen C:\Windows\Temp\eToken.log på eventuella gamla loggfiler
- Skapa en registernyckel vid namn Log
- På följande plats i Windows-registret: HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC
- Under registernyckeln Log skapas följande registervärden som 32-bitars värde (DWORD)
- Enabled = 1
- 0 - Loggning avstängd
- 1 - Loggning startad
- Enabled = 1
- Starta om datorn för att börja fånga loggar
- Återskapa felet
- Stäng av loggning igen genom att sätta Enabled= 0
- Starta om datorn
- Loggfilerna samlas i mappen C:\Windows\Temp\eToken.log på datorn
- Spara mappen eToken.log som en zip-fil och bifoga den till ärendet
- Om filen blir stor kan vi behöva be Thales skapa en länk för uppladdning av filen. Denna kommer då att skickas direkt till den kontaktperson som skapade ärendet hos Inera support.
Övriga registervärden för logginställningar:
- När loggning aktiverats kommer följande även följande defaultvärden användas. Dessa kan justeras via egna 32-bitars värden (DWORD), men vi rekommenderar att ni låter dem vara kvar på default.
- Days = 1
- Antal dagar som loggen skapas
- MaxFileSize = 2000000 (2Mb)
- Maxstorlek för respektive loggfil i mappen eToken.log
- Days = 1
- Registervärdet TotalMaxSize = 20000000 (20 miljoner = 20Mb) kan skapas för att styra den totala maxstorleken på hela mappen eToken.log. Observera dock att denna inställning kan medföra att äldre loggar som behövs vid felsökning kan komma att skrivas över av nyare loggar.
- Maximal filstolek på hela mappen eToken.log
Loggning för Dubbelriktad TLS/Mutual TLS (mTLS) med SAC minidriver i Windows loggbok (event viewer)
- Skapa värdet EnableLogEvents som ett 32-bitars värde (DWORD)
- På följande plats i Windows-registret HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\General
- Dessa syns sedan i Windows Event Viewer i loggen Application med Source=SAC
För organisationer som inte använder AD-inloggning med SITHS eID på kort
OM ni inte använder AD-inloggning kan denna funktionalitet stängas av via följande registerinställningar
Inaktivera upplåsning med PUK (Lås upp PIN) vid Windows inloggningsskärm
Skapa ett REG_DWORD i underföljande registernyckel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{673FACBC-6DF0-425b-B558-48DF53E95EC3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{673FACBC-6DF0-425b-B558-48DF53E95EC3}
DWORD: Disabled value=1 (Döljer valet att låsa upp ett blockerat kort med PUK-koden. Menyvalet vid namn "Lås upp PIN")
Möjliga värden för denna inställning är:
- 1 = Valet att låsa upp med puk är dolt
- 0 = Valet att låsa upp med puk syns
Inaktivera valet för användaren att logga in med smartkort vid Windows inloggningsskärm
Skapa ett REG_DWORD i underföljande registernyckel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
DWORD: Disabled value=1 (Döljer valet för smartkort)
Möjliga värden för denna inställning är:
- 1 = Valet att logga in med smartkort är dolt
- 0 = Valet att logga in med smartkort syns
SITHS eID-appen
Kända fel
Visar kända fel i senaste versionen av SITHS eID-appen.
Fel och ändringsbegäran under utredning
| Sammanfattning | Jira | Beskrivning | Planerad åtgärd |
|---|---|---|---|
| Registernycklar för PIN-SSO vid mTLS sätts inte korrekt vid installation | IAM-5277 | Registervärden i Windowsregistret för PIN-SSO via autentiseringslösningen för Dubbelriktad TLS (mTLS) sätts inte korrekt med installationspaket et 2.1.8651 | Rättning i 2.1.8706 |
Onödig omstartsdialog vid uppgradering till ny version | IAM-4308 | Onödig omstartsdialog vid interaktiv uppgradering till nyare version. Omstart krävs inte och vid tyst installation kan paketet anropas med tillägget /norestart för att undvika omstart av datorn. Om omstart ej genomförs kan appen ej avinstalleras innen en omstart har genomförts.
| Ej fastställt |
Byte av paketering utan versionsuppgradering kräver omstart | IAM-3996 | Byte mellan "SITHS eID-app för Windows" (UTAN minidriver) till "SITHS eID-app för Windows MD" (med SAC minidriver) och vice versa kräver omstart om inte bytet sker i samband med en versionsuppgradering | Ej fastställt |
Otydlig användardialog vid Windows inloggningsskärm | IAM-4057 | Förtydliga användardialogen vid Windows inloggningsskärm. Idag väljer användare felaktigt menyvalet Lås upp PIN när de ska logga in på Windows med SITHS eID på kort. Det korrekta sättet att logga in finns dokumenterat på följande sida: Inloggning och autentisering i Windows | Ej fastställt |
SITHS eID-app för Windows ska stödja publicerad desktop och publicerad app via Windows Server | IAM-3446 | Addera stöd för SITHS eID-appen för Windows och autentiseringslösningen out-of-band tillsammans med Windows server som backend för virtualiseringsteknik för klienter. | Ej fastställt |
Stöd för extern kortläsare med pin-pad ska omfatta samtliga kortprodukter | IAM-3280 | Utöka stöd för kortläsare med extern pin-pad till att även inkludera SITHS äldre kortprodukter 410-kort (Produktnr. 4XX och 9XX) 840-kort (Produktnr. 5XX) | Ej fastställt |
Två parallella installationer av SITHS eID Windowsklient efter tyst uppgradering till 2.1 | IAM-5221 | I vissa fall när SITHS eID Windowsklient uppgraderas från tidigare version i tyst läge (/quiet /norestart) lyckas uppgraderingen men tidigare version finns kvar i listan med installerade appar & funktioner i Windows. | Ej fastställt |
Vid uppgradering till version 2.1 blir språket i engelska i Safenet Authentication Client Monitor. | IAM-5218 | SITHS eID Windowsklient version 2.1 stödjer svenska språk i Safenet Authentication Client, vilket fungerar om appen installeras utan att någon tidigare version finns installerad. Vid uppgradering av tidigare version kan språket felaktigt bli engelska. En tillfällig lösning på problemet är att först avinstallera tidigare version, starta om datorn, och därefter installera version 2.1. | Ej fastställt |
Windows-skalning påverkar appens utseende på Citrix Publicerad App | IAM-5164 | Under tester av Windowsklienten på citrix har det upptäckts ett fel i klientens UI när windows-scaling på lokal PC är satt till något annat än 100%. Har hittills endast påträffats på Citrix Publicerad App Server 2019 och 2022. | Ej fastställt |
Saknar planerad rättning
SACMonitor.exe - Systemfel (eToken.dll kan inte hittas)
Feltext: Kodkörningen kan inte fortsätta eftersom det inte går att hitta eToken.dll. Prova att installera om programmet.
Orsak: Kan inträffa fr.o.m. version 2.0 av SITHS eID Windowsklient. Beror på att användaren/lokal IT har avinstallerat SITHS eID-appen och installerat den igen utan att först starta om datorn. Vid omstart kommer avinstallationsscriptet att köras vid uppstart och ta bort eToken.dll från den senast utförda installationen som gjordes innan omstarten.
Åtgärd: Starta om datorn efter avinstallation av SITHS eID-appen innan du installerar den igen enligt den uppmaning som visas för användaren vid avinstallation.
Exempel på meddelanden:
- Vid avinstallation tillsammans med användarinteraktion får man följande uppmaning som ska förhindra att detta sker
- Efter omstart av datorn får man följande felmeddelande om en nyinstallation av SITHS eID-appen görs utan omstart
- SITHS eID-appen visar då detta felmeddelande tills en korrekt ominstallation av appen har genomförts
Sätt in kortet i kortläsaren, Inget certifikat hittades, För många inloggningsförsök via dubbelriktad TLS (fast kortet sitter i)
Feltext: Olika beroende på hur inloggning sker och vart man tittar. Kan vara ett av följande:
- felmeddelande i tjänsten där man försöker logga in. Framförallt vid autentiseringslösningen med Dubbelriktad TLS (mTLS)
- att det ser ut som att man inte satt i något kort i SITHS eID-appen vid autentiseringslösningen out-of-band
Orsak: Kan t ex. inträffa om man har:
- certifikat för fel miljö på det SITHS-kort du använder
- problem med drivrutinerna för den kortläsare man använder. Se till att alltid använda senaste versionen av drivrutiner från tillverkaren av kortläsaren och inte de som laddas ner automatiskt av Windows
- problem med strömsparläge för kortläsaren på datorn. Kan justeras både i BIOS och i inställningar för energisparläge på datorn beroende på om det är en inbyggd eller extern kortläsare
- problem med drivrutinen för kortet (SAC PKCS#11)
Åtgärder:
- Starta om webbläsaren
- Hjälper inte det - Starta om datorn
- Om felet kvarstår - Kontakta lokal IT för att utesluta problem med kortläsare eller certifikat. För mer information om hur certifikaten läsas in från SITHS-kortet i de olika autentiseringsmetoderna, se Inläsning av SITHS-kort på Windows
Exempel på felmeddelanden:
| <IdP 2.4 | >IdP 2.4 (aktiveras hösten 2023) | |
|---|---|---|
|
|
|
Problem att ladda ner SITHS eID-appen
Feltext: Olika beroende på vilken typ av klientskydd och webbläsare. Nedan exempel kommer från Microsoft Edge som stoppar nedladdning av SITHS eID-appen.
- <namn på fil som laddas ner> laddas inte ned ofta. Kontrollera att du litar på <namn på fil som laddas ner> innan du öppnar den.
Orsak: Organisationens IT-avdelning har säkerhetsinställningar som inte tillåter nedladdning av exekverbara filer som klientskydded/operativsystemet/webbläsaren inte känner igen då de inte laddats ner tillräckligt många gånger globalt.
Åtgärd: Säkerställ att just er IT-miljö tillåter nedladdning av installationsfilerna för SITHS eID-Windowsapp alternativt tillse att IT-funktionen laddar ner och distribuera installationen enligt de distributionsverktyg som ni använder internt.
Exempel på felmeddelanden:
Problem att installera eller starta SITHS eID-appen
Feltext: Olika beroende på vilken typ av klientskydd som används. Nedan exempel kommer från Windows Defender där ASR-regler sätter stopp för installation av SITHS eID-appen och även att programmet SITHS_eID.exe får startas manuellt eller vid appväxling när användaren väljer autentiseringsmetoden.
Orsak: Organisationens IT-avdelning har säkerhetsprogramvaror som identifierar hot mot datorn i form av försöka att installera och/eller starta applikationer som inte känns igen eller har godkänts av IT-avdelningen/IT-säkerhetsavdelningen. SITHS eID-appen är, på den globala marknaden, både en ny och relativt liten applikation och känns därför inte igen av denna typ av applikationer.
Åtgärd:
- Säkerställ att just er säkerhetsprogramvara tillåter att både installation och start av SITHS eID-appen tillåts. Som hjälp har vi ovan listat de checksummor (hash-värden) som installationspaketen har för att IT-avdelningen ska kunna veta att det är just den SITHS eID-app som Inera distriburerar som man tillåter.
- Prova en annan webbläsare.
Exempel på felmeddelanden:
Felaktigheter i vilka certifikat som går att välja vid inloggning med mTLS
Feltext: Feltext saknas. Påverkar autentiseringslösningar baserade på Mutual TLS, dvs. SITHS eID i MD-paketering och där inloggningen sker via webbläsare eller i övrigt baserar sig på att certifikaten hämtas via Windows certifikatlagring (My store). Felet består i att användaren av ex. webbläsaren ombeds att välja certifikat för inloggning. I detta val kan man se något av följande problem:
- Det visas certifikat för kort som inte längre är anslutna till datorn
- Certifikat för nyligen anslutna kort visas inte
Orsak: Hanteringen av certifikat i Windows certifikatlager kan hanteras både av SITHS eID-appen i MD-paketering (med hjälp av SAC) eller Windows egna tjänst.
Åtgärd: Inaktivera Windows egen tjänst för certifikatpropagering Certificate Propagation (CertPropSvc). Detta kan göras:
- Manuellt på datorn
- Via grupp principer för Microsoft AD
- [Computer Configuration\Administrative Templates\Windows Components\Smart Card]
- Inaktivera följande två inställningar
- Via registerinställningar
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp
- Nycklarna CertPropEnabled och EnableRootCertificatePropagation ska vara inaktiverade
Publik Information