Mobilt Efos och ny metod för stark autentisering

Relevanta dokument
Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Termer och begrepp. Identifieringstjänst SITHS

Checklista för tekniskt ansvarig

PhenixID & Inera referensarkitektur. Product Manager

EFOS-dagen, Lanseringsplan. 26 September 2018

Termer och begrepp. Identifieringstjänst SITHS

Kontaktchip - annat innehåll och nya kortprofiler för integration

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Manual - Inloggning. Svevac

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Teknisk Anslutningsguide Efos Server

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Manual inloggning Svevac

Användarguide för anslutning till MCSS

Manual - Inloggning. Svevac

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Manual - Inloggning. Svevac

Testa ditt SITHS-kort

Avtal om Kundens användning av E-identitet för offentlig sektor

Extern åtkomst till Sociala system

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Användarhandbok för Windows v6

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

SeniorNet Huddinge Öppet Hus

Avtal om Kundens användning av Identifieringstjänst SITHS

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Innehåll Net ID installation... 2 Instruktion för nedladdning av HCC... 7 Låsa upp kort med hjälp av PUK-koden Byt säkerhetskod...

Introduktion till SAML federation

Systemkrav. Åtkomst till Pascal

Net id OEM Användarhandbok för Windows

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

ehälsomyndighetens nya säkerhetskrav

Ditt nya smarta etjänstekort!

Referensarkitekturen för Identitet och Åtkomst och hur det fungerar i praktiken. Per Mützell, Inera Tomas Fransson, Inera

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Infrastruktur med möjligheter

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

eid Support Version

Krav på säker autentisering över öppna nät

Vägledning för implementering av AD-inloggning med SITHS-kort

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Komma igång med Qlikview

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Identitet, kontroll & spårbarhet

Användarguide för anslutning till Treserva och TES Användarguide för anslutning till Treserva och TES

Portförändringar. Säkerhetstjänster 2.1 och framåt

Användarmanual Administratör

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Elevlegitimation ett konkret initiativ.

BILAGA 1 Definitioner

Instruktion för Handelsbankens kortläsare

Release notes. Webcert 6.1

Handbok för användare. HCC Administration

Installationsanvisningar. till IST Analys

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Bilagan innehåller beskrivning av de åtaganden rörande IT som gäller för

E-legitimationsnämndens legitimeringstjänster för test

Tekniskt ramverk för Svensk e- legitimation

Manual för nedladdning av certifikat till reservkort

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

SITHS Thomas Näsberg Inera

Anvä ndärmänuäl PortWise fo r leveränto ren

Administrativ manual RiksSvikt 3.7.0

Statistiska centralbyrån

Installationsguide fo r CRM-certifikat

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

Instruktion för integration mot CAS

Portalinloggning SITHS HCC och Lösenordsbyte manual

Svensk e-legitimation

Användarhandbok för Linux

Användarmanual Administratör

Bilaga 2 utdrag urinförandehandbok

Tekniskt ramverk för Svensk e-legitimation

Konfigurering av inloggning via Active Directory

Guide för kunder med Nordea e-legitimation

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Felsökningsunderlag. för Nationell patientöversikt, NPÖ. Dokumentationsversion 3.0 Datum

Instruktion för att hämta personli t certifikat med Internet Explorer m.fl.

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Bilaga 1 till avtal om hemtjänst enligt lagen om valfrihetssystem

Systemkrav och rekommendationer. Åtkomst till Pascal

Köra programportalen med Windows 8

Oanade möjligheter. Oanade möjligheter är ett initiativ skapat av Sparbankernas Riksförbund och Svenska Bankföreningen

Introduktion. September 2018

Checklista. För åtkomst till Svevac

Transkript:

Mobilt Efos och ny metod för stark autentisering I och med lanseringen av E-identitet för offentlig sektor, Efos, kommer Inera att leverera komponenter som möjliggör att en användare ska kunna logga in på tjänster i mobiltelefoner och surfplattor. Dessa plattformar har som regel inte samma förutsättningar att hantera smarta kort och hanterar kryptografi på ett mycket mer varierande sätt än ex. Windows och Mac. Därav görs logiken för autentisering och underskrift om i grunden för att minska beroendet till vilket operativsystem och webbläsare som användaren har. Denna nya metod kallas för Efos oberoende identifieringskanal i och med att man separerar den: Informationskanalen där tjänsten presenterar sin information/sitt gränssnitt för användaren Säkerhetskanalen där användaren genomför sin inloggning med hjälp av en elektronisk identitetshandling. Den engelska termen för detta är Out-of-band authentication. Inom Efos tillhandahålls denna metod med hjälp av produkten Net id Access och dess komponenter. Komponenterna som levereras En självservice med en utfärdandeprocess - Gör det möjligt för användaren att ladda ner en kvalitetssäkrad e-legitimation i form av certifikat till mobiltelefoner och surfplattor En webbservice (Net id Access Server) Förmedlar anrop till den bärare där användaren har sin e-legitimation. En användarapplikation (Net id Access Client) Installeras på hos användaren. När användaren öppnar applikationen meddelas Net id Access Server om att begäran kan skickas dit för att be användaren logga in. Net id Access Client kan installeras på surfplattor och mobiltelefoner och medger då att certifikat utfärdas och lagras i andra bärare än smarta kort. Det är just denna hantering som kallas Mobilt Efos. Net id Access Client ska också installeras på Windows och Mac, se mer under rubriken Ny metod för stark autentisering Ny metod för stark autentisering Mobilt Efos möjliggör, liksom smarta kort (SITHS-kort), stark autentisering. Sid 1/6

Dess komponenter kan också återanvändas som en ny metod för stark autentisering med smarta kort, t ex. Efos-kort och SITHS-kort. Net id Access Client ska därför också installeras på datorer och på surfplattor/mobiltelefoner med skal som kan läsa smarta kort. Fördelarna är denna nya metod leder till ett minskat beroende till vilket operativsystem och vilken webbläsare som användaren nyttjar. Ineras långsiktiga plan är att så många som möjligt av dagens integrationer för autentisering och underskrift ska byggas om för att alltid använda denna nya metod. Säkerhetstjänster håller på att ta fram en plan för när den gamla metoden inte längre kommer stödjas. Förutsättningar För att en tjänst ska kunna erbjuda sina användare inloggning med Mobilt Efos och möjligheten att logga in med smarta kort med den nya tekniken krävs följande: Tjänsten måste anpassas till att följa referensarkitekturen för identitet och åtkomsthantering. Referensarkitekturen kräver att organisationen implementerar en Identifieringstjänst. Den Identifieringstjänst som tjänsten använder måste också vara anpassad till att kunna kommunicera med komponenten Net id Access Server. Användarna som ska kunna logga in med Mobilt Efos måste få denna typ av e- legitimation utfärdad Användarna måste installera applikationen Net id Access Client, versioner och instruktioner kommer att presenteras på sidorna under projektets webbplats Anslutning Ineras tjänster Ett arbete har redan påbörjats för att anpassa Ineras Identifieringstjänst (Säkerhetstjänsters autentiseringstjänst) till Net id Access Server för att tillämpa den nya metoden för stark autentisering. Några nationella tjänster kommer gå igång i pilot i produktion under början av 2018. Planen är att alla tjänster successivt kommer att kunna hantera inloggning både med Mobilt Efos och Efos e-legitimation på smarta kort enligt den nya metoden. Den gamla metoden med import av certifikat och Mutual TLS kommer dock att stödjas ytterligare en tid. Kunder och leverantörer Andra aktörer (landsting/kommuner/myndigheter/leverantörer) kommer erbjudas möjlighet att integrera mot funktionaliteten hos Net id Access Server. OBS! Anslutning av andra aktörer kommer inte att påbörjas förrän efter sommaren 2018 då alla måste fokusera på att lyckas med övergången från SITHS till Efos först. Sid 2/6

Vissa landsting/kommuner/leverantörer håller på att testa integrationer redan nu i begränsad form med hjälp av SecMaker. När anslutningar kommer påbörjas kommer det finnas krav på att: Aktören följer referensarkitekturen för identitet och åtkomst Går igenom en anslutningsprocess för att få identifieringstjänsten godkänd och uppkopplad mot Net id Access. Mer information kommer Begränsningar och utmaningar AD-inloggning Inloggning i till exempel Microsoft AD och vissa andra lösningar kommer att kräva den gamla metoden för autentisering ännu en tid. Därför bör alla användare också ha en installation av applikationen Net id Enterprise. Personnummer vs. HSA-id OBS! Om den nya tekniken ska användas tillsammans med användare som har SITHS-kort måste anropet från Identifieringstjänsten skickas med HSA-id. Eftersom många användare in kan detta behöver ev. någon logik byggas som kan översätta ett personnummer till ett HSA-id. Detta har ex. gjort för Ineras Säkerhetstjänster. Utfärdande av Mobilt Efos Mobilt Efos är benämningen på förmågan att lagra e-legitimationen i en app på en mobiltelefon eller surfplatta snarare än ett smart kort. Vid lanseringen av Efos kommer utfärdande i grova drag fungera enligt: 1. Organisationen väljer att aktivera möjligheten för sina användare att hämta Mobilt Efos. Detta görs i Efosportalen med hjälp av Efos förvaltning. 2. Organisationen informerar och uppmanar användarna att hämta Mobilt Efos enligt instruktion. Mer information kommer 3. Användaren i sin tur loggar in med sitt SITHS- eller Efos-kort och hämtar själv ner sitt Mobilt Efos. Observera, Inledningsvis kommer endast kort som har e-legitimationer som bedöms vara utfärdade i enlighet med tillitsnivå 3 tillåtas för hämtning av Mobilt Efos. Sammanfattningsvis kommer alltså inte SITHS-certifikat på reservkort, samordningskort, Skatteverkets id-kort eller Telias kort att tillåtas. Sid 3/6

Beskrivning av logiken vid autentisering Bild Jämförelse gamla och nya autentiseringsmetoden Gamla autentiserings- och underskriftsmetoden Traditionell inloggning med smarta kort har gjorts genom att webbaserade tjänster själva eller med hjälp av en IdP kommunicerar direkt via webbläsaren, till operativsystemet som tar hjälp av Net id för att integrera med det smarta kortet (SITHS-kortet). Detta har fungerat olika bra beroende på vilken webbläsare och operativsystem användaren nyttjat och har i princip inte fungerat på några mobiltelefoner och surfplattor med undantag för vissa surfplattor som kört Windows. För underskrifter har beroendet varit ännu större och sedan 2016 har det i princip bara fungerat att skapa underskrifter på Windows 7 eller senare och Internet Explorer 11 eller tidigare. Detta beroende på att webbläsarutvecklarna tagit bort stöd för de API:er (ActiveX och NPAPI) som Net id varit beroende av i sin plugin. Det förekommer också olika direktintegrationer mot de smarta korten och andra användningsfall där Net id plugin använts. Även dessa har sina utmaningar när det kommer till att förvalta integrationerna. Sid 4/6

Beskrivning av nya autentiserings- och underskriftsmetoden Logiken för den nya autentiserings- och underskriftsmetoden är mycket lik den som används inom Mobilt BankID och fungerar så att: 1. Användaren går till tjänsten där hen vill logga in. 2. Varje tjänst inom en organisation tar hjälp av en Identifieringstjänst (ex. en IdP som Säkerhetstjänster) för integrationen mot olika autentiseringsmetoder, i enlighet med referensarkitekturen för identitet och åtkomsthantering. 3. Vid Identifieringstjänsten får användaren välja hur hen vill logga in 4. Använda en Efos e-legitimation som finns på: 4.1. Samma bärare som hen vill nyttja Tjänsten via. 4.1.1. Detta val startar automatiskt applikationen Net id Access Client på samma bärare och användaren uppmanas att ange sin pin-kod för sin e-legitimation 4.2. På en annan bärare än den där användaren vill nyttja tjänstenanvändaren får då börja med att ange sitt person-id. Detta behövs för att Net id Access ska kunna leta efter den bärare användaren vill använda för att autentiseringen med sin Efos e- legitimation. OBS! Om den nya tekniken ska användas tillsammans med användare som har SITHS-kort måste anropet från Identifieringstjänsten skickas med HSA-id. Eftersom många användare in kan detta behöver ev. någon logik byggas som kan översätta ett personnummer till ett HSA-id. Detta har ex. gjort för Ineras Säkerhetstjänster. 4.2.2. När användaren har gjort sitt val tar Identifieringstjänsten kontakt med Net id Access Server 4.2.3. Net id Access server ligger sedan och väntar på att användaren ska starta Net id Access Client på någon bärare 5. När appen startar kontrolleras om en inloggningsbegäran för användaren finns i Net id Access Server 6. Om det finns en pågående begäran uppmanas användaren att ange sin pin-kod på den bärare där appen startas. 6.1. Om en användare har flera bärare med en egen e-legitimation kan bara den där appen först öppnas användas 7. Om rätt pin-kod anges utförs en kryptografisk beräkning som påvisar användarens identitet för Net id Access Server. 8. Net id Access Server återkopplar utfallet av autentiseringen eller underskriften och annan metadata till Identifieringstjänsten alt. Underskriftstjänsten 9. För autentisering utfärdar Identifieringstjänsten ett identitetsintyg som också kan förses med behörighetsstyrande information. 10. Identitetsintyget skickas tillbaka till tjänsten där användaren ville logga in. Tjänsten kan då ta ett beslut om huruvida användaren ska beviljas åtkomst eller inte. Sid 1/6

Flöde för nya autentiserings- och underskriftsmetoden Sid 1/6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss