Dokumenthistorik
| Version | Datum | Aktör | Förändring |
|---|---|---|---|
0.1 |
| Utkast | |
| 0.2 |
| Omstrukturering | |
| 0.3 |
| Fortsatt arbete med att beskriva utifrån anslutna e-tjänsters informationsbehov | |
| 0.9 |
| Uppdaterad. Klar för granskning |
Innehåll
1. IdP 2.0 Release Notes
| Miljö | Preliminärt Installationsdatum |
|---|---|
| DEV | |
| TEST |
|
| QA | |
| Prod |
|
2. Förändringar i korthet
- Anslutning mot nya Autentiseringstjänsten för att tillhandahålla autentisering med SITHS eID-klienter på Windows/iOS/Android.
- Anslutning mot nya Underskriftstjänsten för att tillhandahålla signering i SITHS eID-klienter via Autentiseringstjänsten.
- Nya användarattribut tillgängliga för tjänster att begära.
- Användargränssnittet har ändrat färgsättning och har nu bättre följsamhet mot Riktlinjer för tillgängligt webbinnehåll (WCAG).
- Stöd för förbättrad hantering av nyckelmaterial för att uppfylla eIDAS-kraven för utfärdande av mobila certifikat med LoA 3.
- Förhindrar dubbla anrop i inloggningsflödet (t.ex. vid dubbelklick) som kunde leda till misslyckade inloggningar.
- Yrkestitel visas numera i uppdragsvalet.
3. Bakgrund
Som delar av projektet Ny Lösning för SITHS införs ny Underskriftstjänst samt Autentiseringstjänst med tillhörande autentiseringsklienter för Windows, iOS och Android. Syftet med projektet är bland annat att:
- Tillhandahålla mobil autentisering och underskrift för vårdpersonal
- Följa Ineras Referensarkitektur för Identitet och Åtkomst
- Följa DIGG:s Tekniska Ramverk för Sweden Connect och leva upp till kraven i eIDAS-förordningen.
De nya funktionerna innebär att e-tjänster anslutna till IdP kan välja att låta sina användare logga in med de nya SITHS eID-klienterna på Windows/iOS/Android, som ett alternativ till existerande inloggningsmetod med Net iD Enterprise och mTLS. Anslutna e-tjänster kan också ansluta till Underskriftstjänsten för att möjliggöra digital signering i SITHS eID-klienterna.
4. Förändringar för anslutna tjänster
4.1. Påverkan på existerande funktionalitet
Användargränssnitten har bytt färgsättning och utseende enligt Gränssnittsförändringar nedan. I övrigt förändras inte existerande anslutningars funktionalitet eller användarupplevelse. Inloggning med Net iD Enterprise via mTLS fortsätter att fungera som vanligt, och det finns ingen automatisk aktivering av de nya autentiseringsmetoderna för anslutna e-tjänster, utan det sker manuellt enligt nedan.
4.2. Aktivering av de nya autentiseringsmetoderna
I dagsläget har alla anslutna tjänster endast en autentiseringsmetod tillgänglig, mTLS med Net iD Enterprise. Anslutna tjänster kan välja att ändra vilka inloggningsmetoder som skall vara aktiva och därmed valbara för användarna vid autentisering.
Tillgängliga metoder:
- SITHS eID på samma enhet
- SITHS eID på annan enhet
- mTLS med Net iD Enterprise
Om endast en metod är aktiv så ställs användaren inte inför något val.
Aktivering av de nya autentiseringsmetoderna som använder SITHS eID-klienterna via Autentiseringstjänsten går principiellt till enligt följande:
- Den anslutande organisationen inkommer med en ny uppdaterad Förstudie för anslutning till IdP där de nya autentiseringsmetoderna begärs för testmiljöerna.
- När förstudien är godkänd aktiveras de nya metoderna i testmiljöerna.
- Funktionen verifieras i testmiljöerna.
- Ny uppdaterad förstudie där de nya autentiseringsmetoderna begärs för produktionsmiljön. Bifoga resultat från testningen.
- När förstudien är godkänd aktiveras de nya metoderna i produktionsmiljön.
Förutom det formella anslutningsförfarandet tillkommer arbete kring att distribuera klienter till användarna, ordna med brandväggsöppningar mot Autentiseringstjänsten, säkerställa att e-tjänsten använder en browser (för att anropa IdP) på ett sätt som möjliggör för autostart av SITHS eID-klienten ifall inloggning med SITHS eID på samma enhet skall användas, et.c.
För mer detaljerad information om de nya autentiseringsmetoderna och vilka krav de ställer, se Anslutningsguide till Autentiseringstjänsten.
4.3. Anslutning till Underskriftstjänsten
De tjänster som vill aktivera signering via IdP och Underskriftstjänsten behöver ansluta till Underskriftstjänsten. Ytterligare information och anslutningsinstruktioner kommer inom kort.
5. Nya användarattribut
- I och med anpassningar för att ansluta till nya autentiseringsmetoder samt till den nya signeringstjänsten så har det blivit aktuellt att kunna lyfta fler attribut från användarcertifikatet (istället för att hämta dem från HSA).
- Apoteksid har lagts till som ett nytt sambi-attribut.
- Det är nu möjligt för anslutande tjänster att begära användarens samtliga uppdrag från HSA.
- Det finns nu möjlighet för anslutande tjänster att begära användarens samtliga HSA-ID:n.
Följande nya attribut finns tillgängliga för anslutande tjänster att begära:
| Namn | OIDC | SAML Friendly | SAML Name | Beskrivning |
|---|---|---|---|---|
| CredentialGivenName | credentialGivenName | credentialGivenName | urn:credential:givenName | Förnamn från användarens certifikat, d.v.s. inte från HSA |
CredentialSurname | credentialSurname | credentialSurname | urn:credential:surname | Efternamn från användarens certifikat, d.v.s. inte från HSA |
| CredentialPersonalIdentityNumber | credentialPersonalIdentityNumber | credentialPersonalIdentityNumber | urn:credential:personalIdentityNumber | Personidentifierare (personnummer eller HSA-id) från användarens certifikat, d.v.s. inte från HSA |
| CredentialDisplayName | credentialDisplayName | credentialDisplayName | urn:credential:displayName | Förnamn och efternamn från användarens certifikat, d.v.s. inte från HSA |
| CredentialOrganizationName | credentialOrganizationName | credentialOrganizationName | urn:credential:organizationName | Organisationsnamn från användarens certifikat, d.v.s. inte från HSA |
CredentialCertificatePolicies | credentialCertificatePolicies | credentialCertificatePolicies | urn:credential:certificatePolicies | Certifikats policies från användarens certifikat, d.v.s. inte från HSA |
PharmacyIdentifier | pharmacyIdentifier | pharmacyIdentifier | http://sambi.se/attributes/1/pharmacyIdentifier | Apoteksid från HSA |
| AllCommissions | allCommissions | allCommissions | urn:allCommissions | Användarens samtliga uppdrag från HSA |
| AllEmployeeHsaIds | allEmployeeHsaIds | allEmployeeHsaIds | urn:allEmployeeHsaIds | Användarens samtliga HSA ID:n |
För att få tillgång till de nya attributen, skicka in en ny uppdaterad förstudie där ni begär önskade attribut.
För exempel på hur de nya attributen ser ut i biljetter/tokens, se den uppdaterade attributlistan.
6. Användargränssnitt
6.1.1. Generella förändringar
Gränssnittet har ändrat färgsättning till vit-grön för att vara mer i linje med övriga tjänster. Det har också anpassats för att vara mer följsamt mot Riktlinjer för tillgängligt webbinnehåll (WCAG).
6.1.2. Medarbetaruppdragsval - förändrad användardialog
- Uppdragsvalssidan har ändrat utseende enligt de generella förändringarna.
- Yrkestitel visas nu för varje uppdrag.
Gamla uppdragsvalssidan:
Nya uppdragsvalssidan:
6.1.3. Val av autentiseringsmetod - ny användardialog
För de tjänster som aktiverar fler än en autentiseringsmetod så kommer användarna vid autentisering att mötas av en ny dialog där de får välja vilken metod de vill använda.
6.1.4. Nya inloggningsmetoder
För information kring de nya klienterna, se respektive användarhandbok.
6.1.4.1. Inloggning med SITHS eID på denna enhet
När användaren väljer att logga in med "SITHS eID på denna enhet" så försöker IdP starta SITHS eID-appen automatiskt.
När Autentiseringstjänsten och appen upprättat kontakt så väntar IdP på att autentiseringen skall slutföras.
6.1.4.2. Inloggning med SITHS eID på annan enhet
IdP presenterar en QR-kod som skall scannas med SITHS eID-appen på mobil enhet.