Dokumenthistorik
| Version | Datum | Aktör | Förändring |
|---|---|---|---|
0.1 |
| Utkast | |
| 0.2 |
| Omstrukturering | |
| 0.3 |
| Fortsatt arbete med att beskriva utifrån anslutna e-tjänsters informationsbehov | |
| 0.9 |
| Uppdaterad. Klar för granskning | |
| 0.91 |
| Uppdaterad efter granskning. Förtydligande. Korrigering av termer. | |
| 0.92 |
| Flera dokument i dokumentlistan. |
Innehåll
1. IdP 2.0 Release Notes
| Miljö | Preliminärt Installationsdatum |
|---|---|
| DEV | |
| TEST |
|
| QA | |
| Prod |
|
2. Förändringar i korthet
- Anslutning mot nya Autentiseringstjänsten för att tillhandahålla autentisering med SITHS eID-klienter på Windows/iOS/Android.
- Anslutning mot nya Underskriftstjänsten för att tillhandahålla autentiserings för underskrift i SITHS eID-klienter via Autentiseringstjänsten.
- Nya användarattribut tillgängliga för tjänster att begära.
- Användargränssnittet har ändrat färgsättning och har nu bättre följsamhet mot Riktlinjer för tillgängligt webbinnehåll (WCAG).
- Stöd för förbättrad hantering av nyckelmaterial för att uppfylla eIDAS-kraven för utfärdande av mobila certifikat med LoA 3.
- Förhindrar dubbla anrop i inloggningsflödet (t.ex. vid dubbelklick) som kunde leda till misslyckade inloggningar.
3. Bakgrund
Som delar av projektet Ny Lösning för SITHS införs ny Underskriftstjänst samt Autentiseringstjänst med tillhörande autentiseringsklienter för Windows, iOS och Android. Syftet med projektet är bland annat att:
- Tillhandahålla mobil autentisering och underskrift för medarbetare
- Följa Ineras Referensarkitektur för Identitet och Åtkomst
- Följa DIGG:s Tekniska Ramverk för Sweden Connect avseende anslutning till fristående underskriftstjänst
- Anpassa arkitekturen till kraven i eIDAS-förordningen avseende hantering av nyckelmaterial
De nya funktionerna innebär att e-tjänster anslutna till IdP kan välja att låta sina användare logga in med de nya SITHS eID-klienterna på Windows/iOS/Android, som ett alternativ till existerande inloggningsmetod med Net iD Enterprise och mTLS. Anslutna e-tjänster kan också ansluta till Underskriftstjänsten för att möjliggöra elektronisk underskrift med hjälp av SITHS eID-klienterna.
4. Förändringar för anslutna och anslutande tjänster
4.1. Påverkan på existerande funktionalitet
Användargränssnitten har bytt färgsättning och utseende enligt Gränssnittsförändringar nedan. I övrigt förändras inte existerande anslutningars funktionalitet eller användarupplevelse. Inloggning med Net iD Enterprise via mTLS fortsätter att fungera som vanligt, och det finns ingen automatisk aktivering av de nya autentiseringsmetoderna för anslutna e-tjänster, utan det sker manuellt enligt nedan.
4.2. Aktivering av de nya autentiseringsmetoderna
I dagsläget har alla anslutna tjänster endast en autentiseringsmetod tillgänglig, mTLS med Net iD Enterprise. Anslutna tjänster kan välja att ändra vilka inloggningsmetoder som skall vara aktiva och därmed valbara för användarna vid autentisering.
Tillgängliga metoder:
- SITHS eID på samma enhet
- SITHS eID på annan enhet
- mTLS med Net iD Enterprise
Om endast en metod är aktiv så ställs användaren inte inför något val.
Aktivering av de nya autentiseringsmetoderna som använder SITHS eID-klienterna via Autentiseringstjänsten går principiellt till enligt följande:
- Den anslutande organisationen inkommer med en ny uppdaterad Förstudie för anslutning till IdP där de nya autentiseringsmetoderna begärs för testmiljöerna.
- När förstudien är godkänd aktiveras de nya metoderna i testmiljöerna.
- Funktionen verifieras i testmiljöerna.
- Ny uppdaterad förstudie där de nya autentiseringsmetoderna begärs för produktionsmiljön. Bifoga resultat från testningen.
- När förstudien är godkänd aktiveras de nya metoderna i produktionsmiljön.
Förutom det formella anslutningsförfarandet tillkommer arbete kring att distribuera klienter till användarna, ordna med brandväggsöppningar mot Autentiseringstjänsten, säkerställa att användarna använder en browser (för att anropa IdP) på ett sätt som möjliggör för autostart av SITHS eID-klienten (se SITHS eID Appväxling - Exempel för inbäddade webbläsare), et.c.
För mer detaljerad information om de nya autentiseringsmetoderna och vilka krav som ställs på anslutande organisationer, se Anslutningsguide till Autentiseringstjänsten.
4.3. Anslutning till Underskriftstjänsten
De e-tjänster som vill nyttja elektronisk underskrift behöver ansluta till Inera Underskriftstjänst. I och med denna anslutning möjliggörs autentisering för underskrift via IdP. Se Anslutningsguide till Ineras Underskriftstjänst.
4.4. Nya användarattribut
- I och med anpassningar för att ansluta till nya autentiseringsmetoder samt till den nya Underskriftstjänsten så har det blivit aktuellt att kunna lyfta fler attribut från användarcertifikatet (istället för att hämta dem från HSA).
- Apoteksid har lagts till som ett nytt sambi-attribut.
- Det är nu möjligt för anslutande tjänster att begära användarens samtliga uppdrag från Katalogtjänst HSA.
- Det finns nu möjlighet för anslutande tjänster att begära användarens samtliga HSA-ID:n.
Följande nya attribut finns tillgängliga för anslutande tjänster att begära:
| Namn | OIDC | SAML Friendly | SAML Name | Beskrivning |
|---|---|---|---|---|
| CredentialGivenName | credentialGivenName | credentialGivenName | urn:credential:givenName | Förnamn från användarens certifikat |
CredentialSurname | credentialSurname | credentialSurname | urn:credential:surname | Efternamn från användarens certifikat |
| CredentialPersonalIdentityNumber | credentialPersonalIdentityNumber | credentialPersonalIdentityNumber | urn:credential:personalIdentityNumber | Personidentifierare (personnummer eller HSA-id) från användarens certifikat |
| CredentialDisplayName | credentialDisplayName | credentialDisplayName | urn:credential:displayName | Förnamn och efternamn från användarens certifikat |
| CredentialOrganizationName | credentialOrganizationName | credentialOrganizationName | urn:credential:organizationName | Organisationsnamn från användarens certifikat |
CredentialCertificatePolicies | credentialCertificatePolicies | credentialCertificatePolicies | urn:credential:certificatePolicies | Certifikats policies från användarens certifikat |
PharmacyIdentifier | pharmacyIdentifier | pharmacyIdentifier | http://sambi.se/attributes/1/pharmacyIdentifier | Apoteksid från HSA |
| AllCommissions | allCommissions | allCommissions | urn:allCommissions | Användarens samtliga uppdrag från HSA |
| AllEmployeeHsaIds | allEmployeeHsaIds | allEmployeeHsaIds | urn:allEmployeeHsaIds | Användarens samtliga HSA ID:n |
För att få tillgång till de nya attributen, skicka in en ny uppdaterad förstudie där ni begär önskade attribut och anger vilken/vilka miljöer som skall uppdateras.
För exempel på hur de nya attributen ser ut i biljetter/tokens, se den uppdaterade attributlistan.
5. Användargränssnitt
5.1.1. Generella förändringar
Gränssnittet har ändrat färgsättning till vit-grön för att vara mer i linje med övriga tjänster. Det har också anpassats för att vara mer följsamt mot Riktlinjer för tillgängligt webbinnehåll (WCAG).
5.1.2. Medarbetaruppdragsval - förändrad användardialog
Uppdragsvalssidan har ändrat utseende enligt de generella förändringarna.
Gamla uppdragsvalssidan:
Nya uppdragsvalssidan:
5.1.3. Val av autentiseringsmetod - ny användardialog
För de tjänster som aktiverar fler än en autentiseringsmetod så kommer användarna vid autentisering att mötas av en ny dialog där de får välja vilken metod de vill använda.
5.1.4. Nya autentiseringsmetoder
För information kring de nya klienterna, se respektive användarhandbok.
5.1.4.1. Inloggning med SITHS eID på denna enhet
När användaren väljer att logga in med "SITHS eID på denna enhet" så försöker IdP starta SITHS eID-appen automatiskt.
När Autentiseringstjänsten och appen upprättat kontakt så väntar IdP på att autentiseringen skall slutföras.
5.1.4.2. Inloggning med SITHS eID på annan enhet
IdP presenterar en QR-kod som skall scannas med SITHS eID-appen på mobil enhet.
6. Dokumentation
Följande dokumentation är uppdaterad- 2.0 SAD - IdP
- 2.0 Attributlista
- 2.0 Lokal IdP
- 2.0 Guide till IdP
- Adresser, brandväggsöppningar & routing
- Anslutningsguide till Autentiseringstjänsten