Lägga till trust i IdP för SITHS e-id

För att IdP:n i Lokala Säkerhetstjänster ska kunna hantera inloggning med kort utfärdade för SITHS e-id måste man lägga till tillit (trust) för framförallt utgivare:
SITHS e-id Person HSA-id 3 CA v1

Siffran 3 i utgivarnamnet står för utgivningsprocessens tillitsnivå (Level of Assurance - LOA). Traditionellt så har all SITHS-kortinloggning i Lokala Säkerhetstjänster hanterats som LOA3.

Enligt uppgift som kommer reservkort att ges ut med en annan utgivare som har tillitsnivå LOA-nivå 2. Vill man tillåta kort med LOA2 så måste man utföra stegen nedan även för CA-certifikat:
SITHS e-id Person HSA-id 2 CA v1
Observera att om man bara lägger till LOA 2-certifikatet så kommer det att behandlas som ett LOA3-certifikat. Vill man att IdP:n skriver LOA2 i SAML-biljetten måste man konfigurera det som ett extra steg. Detta går endast att göra i version 2.17 av Lokala Säkerhetstjänster.
Notera även att det då inte kommer att gå att logga in i Säkerhetstjänsters Webbgränssnitt med ett sådant certifikat eftersom det kräver LOA3.

Mer information om ny PKI-struktur och länkar till certifikatsinformation för tillit finns på Ineras hemsida för SITHS och Certifikatsspecifikationer. Här kan man också ladda hem SIHTS e-id för test och produktions-miljöer.

Enligt uppgift så läggs alltid ett andra certifikatstyp med på korten med Personnummer istället för HSA-id. För att användarna inte ska behöva välja mellan dessa rekommenderas att endast lägga till HSA-id-varianten i sin trust-store.

Under våren 2020 kommer fler typer av SITHS e-id-certifikat för olika ändamål och där alla har olika utgivare. Den lokala organisationen bestämmer givetvis själv vilka utgivare den egna IdP:n skall ha tillit till. Instruktionerna under rubriken Utförande nedan går att använda även till dessa.

Ineras nationella installationer har trust för ovanstående utgivare.

Utförande

1. Ladda hem certifikatet för test- eller produktionsmiljö enligt tabellen ovan.
   
   
2. Logga in i Säkerhetstjänster som administratör och installera certifikatet under menyn Administration → Certifikatsutfärdare.
   Man bör välja Revokeringskontroll: OCSP faller tillbaka på CRL. Lämna adressfälten tomma som i bilden nedan.
   
   
   Klicka på bilden för en större version...
   
   
   
3. Gå till menyn Administration → Webbserver. Lägg till den nyss tillagda utfärdaren i de två Förtroendekällorna Trust Service och No Check Trust Service genom att sätta en bock framför utfärdaren SITHS e-id Person HSA-id 3 CA v1.
   
   (ifall den nyss tillagda utfärdaren inte dyker upp trots att detta gjorts i steget innan starta då om alla noder i klustret - fenomenet noterat i äldre version av Lokala Säkerhetstjänster)
   
   
   Klicka på bilden för en större version...
   
   
   
   
4. Det ska nu gå att använda IdP:n för inloggning med ett SITHS e-id-kort.
   
   
   Exempel från inloggning med certifikatsval i webbläsaren Chrome.
   
   
   

Ändra tillitsnivå - Level of Assurance (LOA) 

Ifall man vill ha stöd för LOA2-korten och samtidigt vill att det skall stå LOA2 i SAML-biljetterna som IdP:n ställer ut måste man ändra på detta i konfiguration

1. Gå till menyn Administration → Generell Konfiguration → Trust Factory 
   
   
2. Välj rätt utgivare i rullgardinslisten. Här kan det hända att namnet består av slumpade siffror men när man valt rätt så ser man namnet t.ex 
   

   SITHS e-id Person HSA-id 2 CA v1
   
   
   
   Exempel på att konfigurationsfilen för SITHS e-id Person HSA-id 2 CA v1 fått namnet 156957694375-2
   

   
   
   
3. Ändra LoA Level till LoA 2. Notera att man kan behöva kryssa ur rutan Default för att kunna ändra. Klicka Spara!
   
   
   
   Notera även att det då inte kommer att gå att logga in i Säkerhetstjänsters Webbgränssnitt med ett LOA2-certifikat eftersom det kräver LOA3.