Kunder med Sjunetuppkoppling ska ha tagit del av avsnitten om:

• Sjunet
• Felsökningsguide

Ineras IAM-tjänster är inte tänkta att användas via verktyg för inspektion av nätverkstrafik, t ex. proxy, TLS-inspektion eller annan teknik som riskerar att manipulera/påverka anropen från SITHS eID apparna till Autentiseringstjänsten och Utfärdandeportalen.

Om ni använder detta och stöter på problem är rekommendationen att vitlista domännamn och IP-adresser för aktuell miljö.

För att säkerställa funktionalitet ska ni för öppna för trafik från hela nätverkssegmenten nedan.

Bakgrund

IP-adressblocken som omnämns under rubriken "Inledning" har historiskt funnits endast på Sjunet, och kan tidigare ha routats antingen via Internet eller Sjunet beroende på:

• tidigare kommunikation från Sjunetförvaltningen om att alla dessa nät ska routas via Sjunet

• tidigare kommunikation från Ineras Projekt, IdP- eller SITHS förvaltning om att 82.136.182.0/24 respektive 82.136.183.0/24 ska routas via Internet eller Sjunet beroende på hur man vill styra sina användares trafik vid inloggning till IdP:n

Beroende på hur er organisation routar dessa nät kommer ev. brandväggsöppningar att behöva utföras antingen i brandväggen för internet eller i brandväggen för Sjunet.

Åtgärder

1. Bestäm om ni vill nå dessa komponenter via Internet eller Sjunet.

2. Säkerställ att ni routar ovanstående adressblock rätt baserat på ovan val av routing

3. Säkerställ att er trafik NAT:as bakom en IP-adress som matchar den routing ni väljer:
   1. Routing Sjunet → NAT bakom en Sjunet IP-adress
   2. Routing Internet → NAT bakom en Internet IP-adress

Övriga tjänster

• DNS uppslag:Får klienten DNS-uppslag mot rätt IP-adresser? (Testet inkluderar ett DNS-namn från respektive subnät) 
  • nslookup idp.inera.se (resultatet som klienten ska få är 82.136.182.2)
  • nslookup authservice.siths.se (resultatet som klienten ska få är 82.136.183.103)
  • nslookup sparradmin.inera.se (resultatet som klienten ska få är 82.136.182.4)
• Routing: Vilken väg tar trafiken (Sjunet/Internet)?
  Använd tracert för att se vilken väg trafiken tar:
  • tracert -d 82.136.182.2 (Om den i slutet passerar 10.9.34.6 så går trafiken över sjunet)
  • tracert -d 82.136.183.103 (Om den i slutet passerar 81.89.159.168 så går trafiken över sjunet)
    
  • tracert -d 82.136.182.4
• NAT: Säkerställ att era klienter NAT:as bakom rätt adress beroende på vilken routing ni väljer så att trafiken hittar tillbaka
  • Routing Sjunet → NAT bakom en Sjunet IP-adress
  • Routing Internet → NAT bakom en Internet IP-adress
  • Om ni inte kan Source-routa och ha olika NAT-adresser för era olika Interna nät måste samtliga nät NAT:as bakom rätt IP-adress beroende på ert val av routing (Internet/Sjunet)

1. Kan du inte logga in i etjänsten?
   1. har du provat från fler datorer?
      
      1. JA: felanmäl till din lokala IT support och hänvisa gärna till den sida du nu läser: Nätverksinställningar för tjänster inom identitet och åtkomst
      2. NEJ: prova gärna med annan dator
   2. Anges något servicefönster med beräknad användarpåverkan på www.inera.se/driftstatus/kommande-atgarder/ eller allmän driftstörning på www.inera.se/driftstatus/ för etjänsten eller dess stödtjänster?
      1. JA: avvakta tills störningen/servicefönstret är avslutat
      2. NEJ: Kan du surfa till idp.inera.se eller  och få fram bilden:
         
         
         1. JA: Kan en kollega logga in i etjänsten?
            1. NEJ: kontakta Inera Support (inera@support.se) och ange problem med etjänsten
            2. JA: kontakta lokal katalogansvarig för att säkerställa att du har rätt medarbetaruppdrag, attribut i HSA etc
         2. NEJ: din organisations nätadministratörer behöver öppna brandväggar och/eller justera DNS. Felanmäl till din lokala IT support och hänvisa gärna till denna sida.
   3. Har du testat ditt eID på test.idp.inera.se och det fungerar där?
      1. JA: felet ligger troligen i den etjänst du försöker nå, om det är en etjänst från Inera, kontakta Inera Support (inera@support.se) och ange problem med etjänsten
      2. NEJ: problemet är ditt eID (mobilt eller på SITHS kort) och du behöver felanmäla till din lokala SITHS eller HSA förvaltning

1. Erbjuds er eTjänst på Sjunet?
   1. JA: genomför vanliga informationsinsatser när tjänst finns på ny IP adress
   2. NEJ: Sitter vissa/alla av eTjänstens slutanvändare i organisation med Sjunet?
      
      1. Genomför tester innan övergång till IdP:n i så breda (geografiskt spridda) organisatoriska enheter som möjligt för att i god tid fånga och hantera de användargrupper på nätsegment som har konntektivitetsproblem
      2. Eventuellt implementera loggning av konnektivitet och kontakta Säkerhetstjänsters förvaltning genom ett ärende till support@inera.se
2. Fungerar autentisering i Testportalen (test.idp.inera.se)
   1. JA: felet ligger troligen etjänsten
   2. NEJ: problemet är den aktuella personenens eID:t (mobilt eller på SITHS kort) och behöver felanmälas till den lokala SITHS förvaltningarna (IT support)

1. Kontrollera att portar öppnats och instruktioner följts i avsnitt Sjunet?
2. Har organisationen olika routrar för Sjunet och internet? (d v s separat routing)?
   
   1. JA: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
      1. Inera rekommenderar att ni routar trafiken över sjunet där ni har en högre tillgänglighetsgaranti
      2. Justera tabell / BGP
   2. NEJ: Kontrollera routingtabell för 82.136.182.0/24 och/eller 82.136.183.0/24 (exponeras både på Sjunet och internet)
      1. Båda routrarna bör få näten annonserade till sig - alternativt static/default route
      2. Justera tabell / BGP
3. Har organisationen brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet? Öppna dessa efter behov och nät

1. Har ni brandväggsregler som begränsar TCP trafik på portarna 80 eller 443 mot internet?
   
   1. JA: Öppna dessa mot 82.136.182.0/24 och/eller 82.136.183.0/24
2. NEJ: Om klienter på aktuella nät för slutanvändare besöker idp.inera.se och idp.ineratest.org (eller motsvarande tjänsts adress/miljö) i webbläsare ser de då "404"?
   
   
   1. NEJ: Kontrollera att portar öppnats och instruktioner följts i avsnitt Sjunet?
3. JA: Kommunikationen med Ineras IdP och andra Ineratjänster fungerar

Översikt: tre olika nätscenarier för slutkund

Fullständigt fråga-svarsträd