Unable to render embedded object: File (Inera-logo-1.0-färg_mindre.png) not found.

Denna SAD beskriver arkitekturen för Underskriftstjänsten - Webb och Underskriftstjänsten - API. För motsvarande beskrivning av artikeln Underskriftstjänsten - Bas, se Underskriftstjänsten - Bas


Innehållsförteckning

Revisionshistorik

Version

Datum

Författare

Kommentar

0.12023-mm-ddKvick, HeleneUtkast
0.22023-mm-ddKvick, HeleneJustering, rättning 
0.32023-08-29Eriksson, StefanUppdatering av text och bilder
0.42023-09-01Eriksson, StefanUppdatering efter granskning
0.52023-09-19Eriksson, StefanMindre uppdateringar
0.62023-10-25Eriksson, StefanUppdatering efter granskning
0.72023-10-30Eriksson, StefanUppdatering efter granskning
2.02023-11-02Eriksson, StefanUppdatering efter granskning


1. Inledning

1.1. Nomenklatur

Nomenklaturen är hämtad från Referensarkitektur för identitet och åtkomst eller Referensarkitektur för elektronisk underskrift och stämpel om termen inte återfinns i listan nedan. För övriga begrepp, se SAD Underskriftstjänsten.


BegreppBeskrivning

API

Application Programmer’s Interface, ett gränssnitt för system och applikationer

eID tjänst för privata e-legitimationer

Extern tjänst som stödjer legitimering samt legitimering för underskrift för privata e-legitimationer såsom BankID, Freja ID+ samt eIDAS.

On-premise

Syftar på applikationer som driftas lokalt i organisationens egna driftmiljöer samt av organisationens egen driftpersonal. 

1.2.   Syfte

Detta dokument syftar till att beskriva de funktioner som Underskriftstjänsten – Webb tillhandahåller, och hur denna funktionalitet tillgängliggörs via Underskriftstjänsten – Webb och dess gränssnitt mot anslutande system.

Underskriftstjänsten – Webb använder Underskriftstjänsten - elektronisk underskrift (P4) för att signera samt validera dokument enligt PAdES standarden, se vidare Profilhantering (Ref. P3) vilken signaturtyp som gäller per underskriftsprofil. Använd PAdES variant återfinns i den valideringsrapport under "Basic Policy" som skapas då signeringsuppdraget har blivit undertecknat av alla signatärer.

1.3. Avgränsningar

Detta dokument har inte som syfte att beskriva Underskriftstjänsten – Webb underliggande arkitektur eller logiska uppbyggnad.

1.4.  Målgrupp

De huvudsakliga målgrupperna för detta dokument är: systemförvaltare och systemarkitekter.

1.5. Referenser

RefDokument IDURL
P1SITHShttps://www.inera.se/siths
P2SITHS eID apparnahttps://confluence.cgiostersund.se/x/MlYgDQ
P3UnderskriftsprofilerProfilhantering
P4Underskriftstjänsten - elektronisk underskriftUnderskriftstjänsten - elektronisk underskrift
P5

Referensarkitektur – Elektronisk underskrift och stämpel

Referensarkitektur – Elektronisk underskrift och stämpel
P6 

Användarhandbok - Underskriftstjänsten Webb

Användarhandbok - Underskriftstjänsten Webb
P7

SAD - Underskriftstjänsten - Inera - Identitet och åtkomst

SAD - Underskriftstjänsten - Inera - Identitet och åtkomst
Denna information är låst och behörighetsstyrd. Åtkomst ges endast efter inloggning om du är behörig.
P8

eID tjänst

https://www.cgi.com/se/sv/business-process-services/elektronisk-identifiering-och-underskrift/e-id-och-e-legitimation
P9

Riksarkivet

https://riksarkivet.se/


2. Arkitekturell översikt

Följande förenklade arkitekturell översikt visar de viktigaste gränssnitten som berör Underskriftstjänsten - Webb. För en mer detaljerad bild se SAD - Underskriftstjänsten - Inera - Identitet och åtkomst (Ref. P7), där Underskriftstjänsten - Webb motsvarar en e-tjänst med inbyggd stödtjänst.



Tekniska gränssnitt mellan delsystem/komponenter

Följande bild visar gränssnitten mellan komponenterna som tillsammans realiserar funktionen Underskriftstjänsten – Webb.



SAML 2.0 Web SSO används vid legitimering av signatär. Endast privata e-legitimationer och SITHS eID stöds.

Sweden Connect Federated Signing DSS används vid underskrift.

SMTP protokollet används för att skicka aviseringar med e-post via en SMTP server.

2.1.  Arkitekturella mål

  • Följsamhet mot Digitaliseringsmyndighetens specifikationer kring fristående underskriftstjänst
  • Följsamhet mot Ineras Referensarkitekturer (Ref. P5)

2.2. Prioriterade områden

  • Användning av underskriftsprofil vid skapande av signeringsuppdrag
  • Tillämpning av vald underskriftsprofil vid underskrift
  • Underskrift med SITHS eID och privata e-legitimationer

2.3.  Följsamhet till T-boken

N/A

3. Användargränssnitt

Underskriftstjänsten – Webb är en applikation som presenterar ett användargränssnitt där både Administratör och signatärer kan logga in. Administratör loggar in och skapar signeringsuppdrag genom att ladda upp de dokument som ska undertecknas, anger vilka som ska underteckna dokument samt initierar underskriftsflödet.

Signatärer får en avisering om att ett undertecknande krävs och de kan då logga in i Underskriftstjänsten – Webb, läsa dokumentet och sen antingen underteckna alternativt neka en underteckning av dokumentet.

För handhavade information samt övriga bilder på användargränssnittet, se Användarhandboken (Ref. P6).

4. Användningsfall

4.1. Användningsfall - Översikt

Översikt över de mest signifikanta användningsfallen.


RefBeskrivning
AF1

Administratör skapar signeringsuppdrag

AF2

Signatär undertecknar signeringsuppdrag

AF3

Administratör hämtar underskrivna dokument

AF4

Alternativflöde - Signatär avbryter underskriftsflödet

AF5

Exportering av faktureringsunderlag

4.2. Aktörsinformation

AktörBeskrivning
Administratör

Fysisk person som innehar SITHS e-legitimation som administrerar signeringsuppdrag

Signatär

Fysisk person som innehar en e-legitimation som skall underteckna ett uppdrag

Systemadministratör 

Fysisk person som innehar SITHS e-legitimation som administrerar tjänsten

4.3. Logisk realisering av användningsfall

4.3.1.  AF1 - Administratör skapar signeringsuppdrag

4.3.1.1. Textuell beskrivning

Flödet startar när en administratör ska skapa ett signeringsuppdrag.

  1. Administratören loggar in i Underskriftstjänsten - Webb med sin e-legitimation. Endast personer med SITHS e-legitimation kan agera administrator.
  2. Underskriftstjänsten - Webb visar tillgängliga signeringsuppdrag.
  3. Administratören skapar ett signeringsuppdrag genom att:
    1. ange en rubrik
    2. ange en optionell beskrivning
    3. ange giltighetstid för signeringsuppdraget, om ingen giltighetstid anges används ett konfigurerat standard värde.
    4. ange gallringstid för signeringsuppdraget, om ingen gallringstid anges används ett konfigurerat standard värde.
    5. ange de dokument som skall undertecknas genom att ladda upp ett eller flera dokument
    6. eventuellt ladda upp en eller flera bilagor som inte ska undertecknas men som bifogas för ytterligande information
    7. ange den eller de signatärer som ska underteckna dokumenten, för varje signatär anges:
      1. Namn
      2. E-postadress
      3. Underskriftsprofil samt eventuellt ett eller flera av de attribut som vald underskriftsprofil kräver
    8. ange om undertecknandet skall ske sekventiellt eller parallellt
      1. i ett sekventiell underskriftsflöde kan endast en signatär i taget underteckna. Det är först när aktuell signatär har undertecknat signeringsuppdraget som nästa signatär i kedjan får en avisering om att ett signeringsuppdrag finns tillgängligt. 
      2. i ett parallellt underskriftsflöde  får alla signatärer en avisering samtidigt om att ett signeringsuppdrag är tillgängligt. Viss logik finns för att förhindra att fler än en signatär kan underteckna åt gången.
      3. Alla signatärer får även en avisering då signeringsuppdraget är undertecknat av alla signatärer.
  4. Underskriftstjänsten - Webb sparar det skapade signeringsuppdraget tillsammans med alla uppladdade dokumentet som administratören lagt till i signeringsuppdraget.
  5. Underskriftstjänsten - Webb skickar aviseringar till administratören samt berörda signatärer.

4.3.1.2. Realisering

Administratörmed browser Administratörmed browser Underskriftstjänsten - Webb Underskriftstjänsten - Webb Underskriftstjänsten Underskriftstjänsten IdPn(SITHS eID) IdPn(SITHS eID) E-post tjänst E-post tjänst Logga in AuthnRequest Begär autentisering Legitimering SAML Respons med Assertion Hämtar signeringsuppdrag Visar befintliga signeringsuppdrag Skapa nytt signeringsuppdrag Validerar inkommet data Sparar signeringsuppdrag Aviserar berörda parter om nya signeringsuppdrag

4.3.2. AF2 - Signatär undertecknar signeringsuppdrag

4.3.2.1. Textuell beskrivning

Flödet startar när en signatär har fått en avisering (e-post) angående att det finns ett tillgängligt signeringsuppdrag som ska undertecknas.

  1. Signatären klickar på den länk som finns angivet i det aviseringsmejl som signatären har fått angående det nya signeringsuppdraget.
    1. Mejlet innehåller även information om vilken typ av legitimering som behövs för att kunna underteckna signeringsuppdraget.
  2. Signatären skickas vidare till Underskriftstjänsten - Webb där denna får legitimera sig med sin e-legitimation.
    1. Om signeringsuppdraget kräver ett medarbetaruppdrag och signatären loggar in utan ett medarbetaruppdrag visas ett felmeddelande. Signatären måste då logga ut och logga in igen med ett medarbetaruppdrag. 
    2. Om signeringsuppdraget kräver ett specifikt medarbetaruppdrag och signatären loggar in med fel medarbetaruppdrag visas ett felmeddelande. Signatären måste då logga ut och logga in igen med rätt medarbetaruppdrag.
    3. Om signeringsuppdraget kräver ett specifikt HSAid och signatären loggar in med fel HSAid visas ett felmeddelande. Signatären måste då logga ut och logga in igen med rätt HSAid.
  3. Underskriftstjänsten - Webb visar signeringsuppdraget, de dokument som skall undertecknas samt eventuellt bilagor för den inloggade signatären.
  4. Signatären  granskar dokumenten och går vidare för att underteckna.
  5. Underskriftstjänsten - Webb förbereder dokumenten för underskrift.
    1. Underskriftstjänsten - Webb väljer vilken logisk IdP som skall anropas utifrån signeringsuppdragets underskriftsprofil.
    2. Underskriftstjänsten - Webb extraherar användarattribut från den initiala autentiseringen för att i SignRequest till Underskriftstjänsten kunna peka ut vem som skall utföra underskriften.
  6. Underskriftstjänsten - Webb skickar underskriftsbegäran (DSS SignRequest) till Underskriftstjänsten. SignRequest innehåller bland annat vilket data som skall signeras(<csig:SignTasks>), vem som skall utföra underskriften (<csig:Signer>), det underskriftsmeddelande som skall visas för Signatären (SignMessage), krav på tillitsnivå för legitimeringen, samt vilket underskriftsprofil som önskas (<csig:AuthnProfile>).
  7. Underskriftstjänsten utför undertecknandet, se Underskriftstjänstens användningsfall.
  8. Underskriftstjänsten - Webb får tillbaka undertecknat dokument data.
  9. Om fler signatärer ska underteckna:
    1. vid ett sekventiellt underskriftsflöde aviseras nästa signatär i kedjan och exekveringen avbryts
    2. vid ett parallellt underskriftsflöde sker ingen avisering då alla signatärer redan har fått en avisering och exekveringen avbryts
  10. När alla signatärer har undertecknat signeringsuppdraget validerar Underskriftstjänsten - Webb signaturen på dokumenten och skapar en valideringsrapport.
  11. Underskriftstjänsten - Webb loggar alla händelser som rör signeringsuppdraget under hela underskriftsflödet. Denna händelselogg kan laddas ner av administratören när signeringsuppdraget är avslutat.
  12. Underskriftstjänsten - Webb aviserar administratören att signeringsuppdraget är underskrivet.
  13. Underskriftstjänsten - Webb aviserar de signatärer som ännu ej fått avisering att signeringsuppdraget är underskrivet.
  14. Signatärer kan nu ladda ner/hämta de underskrivna dokumenten.
  15. Underskriftstjänsten - Webb gallrar/raderar signeringsuppdraget inklusive alla dokument efter vald gallringstid.

4.3.2.2. Realisering

Signatärmed browser Signatärmed browser Underskriftstjänsten - Webb Underskriftstjänsten - Webb Underskriftstjänsten Underskriftstjänsten Idp(SITHS eID) Idp(SITHS eID) E-post tjänst E-post tjänst Logga in AuthnRequest Begär autentisering Legitimering SAML Response med Assertion Hämta dokument som ska undertecknas Skapa underskriftsbegäran Visar dokument att underteckna Granska dokument Undertecknar dokument Begär legitimering för underskrift Begär autentisering Legitimering Signatär legitimerad Undertecknat dokument Validerar underskrift Skapar valideringsrapport Aviserar berörda parter om utförd signering Visar underskrivet dokument

4.3.3. AF3 - Administratör hämtar underskrivna dokument

4.3.3.1. Textuell beskrivning

Flödet startar när ett signeringsuppdrag är avslutat och administratör vill hämta de underskrivna dokumenten.

  1. Administratören loggar in i Underskriftstjänsten - Webb med sin e-legitimation. Endast personer med SITHS e-legitimation kan agera administratör.
  2. Underskriftstjänsten - Webb visar en lista med signeringsuppdrag sorterade på status.
  3. Administratören väljer det avslutade uppdraget
  4. Administratören väljer det eller de dokument som ska laddas ner.
  5. Administratören kan i detta skede även ta bort/radera signeringsuppdraget, vilket leder till att även alla dokument raderas.

4.3.3.2. Realisering

Administratörmed browser Administratörmed browser Underskriftstjänsten - Webb Underskriftstjänsten - Webb Idp(SITHS eID) Idp(SITHS eID) Logga in AuthnRequest Begär autentisering Legitimering SAML Respons med Assertion Visar sidan med signeringsuppdrag Väljer signeringsuppdrag Laddar ner dokument Hämtar dokument från signeringsuppdrag Returnerar dokument

4.3.4. AF4 - Alternativflöde - Signatär avbryter underskriftsflödet

4.3.4.1. Textuell beskrivning

Flödet startar när en signatär har fått en avisering (e-post) angående att det finns ett tillgängligt signeringsuppdrag som ska undertecknas.

  1. Signatären klickar på den länk som finns angivet i det aviseringsmejlet som signatären har fått angående det nya signeringsuppdraget.
    1. Mejlet innehåller även information om vilken typ av legitimering som behövs för att kunna underteckna signeringsuppdraget.
  2. Signatären skickas vidare till Underskriftstjänsten - Webb där denna får legitimera sig med sin e-legitimation.
    1. Om signatären legitimerar sig med en e-legitimation som inte kan användas för att underteckna signeringsuppdraget visas ett felmeddelande. Signatären måste då logga ut och försöka igen.
  3. Underskriftstjänsten - Webb visar signeringsuppdraget och de dokument som skall undertecknas för den inloggade signatären.
  4. Signatären  granskar dokumenten och väljer att avbryta. Signatären måste ange en kommenter och där ange skälet till varför signatären väljer att avbryta underskriftsflödet.
  5. Om fler signatärer förväntas underteckna signeringsuppdraget:
    1. vid ett sekventiellt underskriftsflöde aviseras all signatärer som redan har undertecknat om att signeringsuppdraget är avbrutet/återkallat.
    2. vid ett parallellt underskriftsflöde aviseras alla övriga signatärer om att signeringsuppdraget är avbrutet/återkallat.
  6. Underskriftstjänsten - Webb loggar alla händelser som rör signeringsuppdraget under hela underskriftsflödet. Denna händelselogg kan laddas ner när signeringsuppdraget är avslutat/avbrutet.
  7. Underskriftstjänsten - Webb aviserar administratören att signeringsuppdraget är avbrutet.
  8. Underskriftstjänsten - Webb gallrar/raderar signeringsuppdraget inklusive alla dokument efter vald gallringstid.

4.3.4.2. Realisering

Signatärmed browser Signatärmed browser Underskriftstjänsten - Webb Underskriftstjänsten - Webb Underskriftstjänsten Underskriftstjänsten Idp(SITHS eID) Idp(SITHS eID) E-post tjänst E-post tjänst Logga in AuthnRequest Begär autentisering Legitimering SAML Respons med Assertion Hämta dokument som ska undertecknas Skapa underskriftsbegäran Visar dokument att underteckna Avböjer underskrift med kommentar Sparar uppdragets status som avbrutet Aviserar berörda parter att uppdraget är avbrutet


4.3.5. AF5 - Exportering av faktureringsunderlag

4.3.5.1. Textuell beskrivning

Flödet startar när en systemadministratör vill exportera faktureingsunderlag.

  1. Systemadministratören loggar in i Underskriftstjänsten - Webb med sin e-legitimation. Endast personer med SITHS e-legitimation kan agera systemadministratör.
  2. Underskriftstjänsten - Webb visar första sidan med en menyrad för val av inställningssidan.
  3. Systemadministratören väljer menyvalet Inställningar för att visa inställningssidan.
  4. Systemadministratören väljer menyvalet att exportera faktureringsunderlag.
  5. Systemadministratören väljer ett från- och tilldatum för vilken datumintervall exporteringen skall ske.
  6. Systemadministratören väljer att exportera faktureringsunderlaget. En CSV-fil laddas ner.
  7. Systemadministratören loggar ut.

4.3.5.2. Realisering

Systemadministratörmed browser Systemadministratörmed browser Underskriftstjänsten - Webb Underskriftstjänsten - Webb Idp(SITHS eID) Idp(SITHS eID) Logga in AuthnRequest Begär autentisering Legitimering SAML Respons med Assertion Visar sidan med signeringsuppdrag Exportera faktureringsunderlag Skapar underlag utifrån sparade händelser Returnerar faktureringsunderlag


5. Icke-funktionella krav

Denna information är låst och behörighetsstyrd. Åtkomst sker genom att expandera fältet nedan efter inloggning om du är behörig.

Unable to render {include} The included page could not be found.

6. Teknisk lösning

Denna information är låst och behörighetsstyrd. Åtkomst sker genom att expandera fältet nedan efter inloggning om du är behörig.

Unable to render {include} The included page could not be found.

7. Säkerhet

Denna information är låst och behörighetsstyrd. Åtkomst sker genom att expandera fältet nedan efter inloggning om du är behörig.

Unable to render {include} The included page could not be found.

8. Informationshantering

Denna information är låst och behörighetsstyrd. Åtkomst sker genom att expandera fältet nedan efter inloggning om du är behörig.

Unable to render {include} The included page could not be found.

9. Driftaspekter

Denna information är låst och behörighetsstyrd. Åtkomst sker genom att expandera fältet nedan efter inloggning om du är behörig.

Unable to render {include} The included page could not be found.



  • No labels

Publik Information