Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

Relevanta dokument
Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Checklista för tekniskt ansvarig

Manual - Inloggning. Svevac

Användarguide för anslutning till MCSS

EFOS-dagen, Lanseringsplan. 26 September 2018

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Teknisk Anslutningsguide Efos Server

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Användarmanual Administratör

Manual - Inloggning. Svevac

Guide för kunder med Nordea e-legitimation

Instruktion till vårdnadshavare såhär kommer du igång med Päikky

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

PhenixID & Inera referensarkitektur. Product Manager

Extern åtkomst till Sociala system

Användarmanual Administratör

INLOGGNING 1 (6) Det finns två sätt att logga in i Privera: Med engångslösenord till mobiltelefon Med engångslösenord till e-post

SeniorNet Huddinge Öppet Hus

Manual inloggning Svevac

Manual - Inloggning. Svevac

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

Molnplattform. Version 1.0. Användarhandbok

Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server

Konfigurering av Multifaktorsautentisering (MFA)

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Användarmanual Administratör

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Instruktion för Handelsbankens kortläsare

Release notes. BOOK-IT PUB version 3.3

Snabbstart för Novell Vibe Mobile

Lägg in ett schema i Lärknuten

Instruktion till vårdnadshavare såhär kommer du igång med Päikky

Bilagan innehåller beskrivning av de åtaganden rörande IT som gäller för

Rekommendationer teknisk lösning_samsa_ ver

Vaka Användarmanual. Användarmanual. VAKA Passersystem

Platsbesök. Systemkrav

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Kom igång med Windows Phone

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Starta en webbläsare (t ex Internet Explorer, Mozilla Firefox, Safari) Skriv in nedan adress:

Projektplatser & Samarbetsplatser: inloggning

Användarguide för anslutning till Treserva och TES Användarguide för anslutning till Treserva och TES

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

ANVISNING Om det inte lyckas att logga in i Kelain på en Mac-dator Innehåll

Installationsguide Junos Pulse för MAC OS X

Hur jag arbetar med min dator del 2

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Utvärdering Kravspecifikation

2-faktor autentisering

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Systemkrav Bilflytt 1.3

Komma igång med Qlikview

Uppkoppling med Pulse Secure och Symantec VIP Access

Kontaktchip - annat innehåll och nya kortprofiler för integration

Kom igång med Rapp. Rapp

Datatal Flexi Presentity

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Innehåll Net ID installation... 2 Instruktion för nedladdning av HCC... 7 Låsa upp kort med hjälp av PUK-koden Byt säkerhetskod...

Skapa e' Personkonto

Release notes. Axiell Arena version 4.0

Nya Mina vårdkontakter. En presentation över det nya gränssnittet för invånare

Termer och begrepp. Identifieringstjänst SITHS

Anvisningar för inkoppling till Mikrodataåtkomst vid SCB

Lägg in ett schema i Lärknuten

Guide e-lista för ledare

Användarhandledning Nordea Swish Företag Admin

Systemkrav för Qlik Sense. Qlik Sense 2.2 Copyright QlikTech International AB. Alla rättigheter förbehållna.

Systemkrav för Qlik Sense. Qlik Sense September 2017 Copyright QlikTech International AB. Alla rättigheter förbehållna.

Infrastruktur med möjligheter

Systemkrav Bilflytt 1.4

Systemkrav för Qlik Sense. Qlik Sense September 2017 Copyright QlikTech International AB. Alla rättigheter förbehållna.

Ladda ner och konfigurera appen

Västerviks kommuns E-portal

Krav på säker autentisering över öppna nät

ANVISNING Om det inte lyckas att logga in i Kelain på en Windows-dator Innehåll

Studievägledning Guide till dig som ska gå Livsmedelsverkets e-utbildning Inspektionsmetod

Konfigurering av inloggning via Active Directory

Biometria Violweb. Installation kundportalaccess - för IT-administratörer. Mars 2019

Systemkrav Tekis-Bilflytt 1.3

Kerberos baserad Single Sign On, tillämpningsexempel

Rekommenderad IT-miljö

Redigering av dokument - SaveToServer

Micro Focus Vibe Snabbstart för mobil

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Systemkrav för Qlik Sense. Qlik Sense June 2017 Copyright QlikTech International AB. Alla rättigheter förbehållna.

Checklista. För åtkomst till Svevac

Version 1.6 Utfärdare Anton Lundin

Collector sparkonto Inloggning

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Systemkrav. Åtkomst till Pascal

SeniorNet Säkerhet på nätet.

Transkript:

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos) 2017-09-28

Hur passar Efos in i referensarkitekturen?

som hand i handske skulle jag vilja hävda

Helt enkelt därför att både: det gamla sättet att logga in (A) och det nya sättet att logga in (B) Är enkelt att tillämpa i referensarkitekturen

Det vill säga A B Här är rätta stället! Integrera inte olika autentiseringsmetoder här

Dubbelriktad TLS med kort Lösenord Engångskoder via SMS Mobilt BankID (privatpersoner) U2F (FIDO) Osv Osv Utan att behöva ändra minsta lilla detalj här! Lägg till ta bort eller ändra på autentiseringsmetoder här!

Men om vi backar lite - Vad är det gamla sättet att logga in? Gamla sättet => - Vanligtvis end-to-end uppkopplingar mellan webbläsare och webbserver med TLS-protokollet - Givetvis med stöd av PKI-infrastrukturens OSCP/CRL (låt oss sluta prata om SSL eftersom man inte får köra SSL längre)

det gamla sättet att logga in

Så vad är problemet med det gamla sättet att logga in? Svar: 1) Ingen som helst kontroll över användarupplevelsen, mycket webbläsarberoende och ibland är det så illa gjort att det utgör rena hånet mot slutanvändaren. Sämst i klassen är Apples Safari med Firefox på näst sista plats. 2) Många webbservrar är felkonfigurerade på TLS-nivå => a) Vissa användare kan helt enkelt inte logga in b) Säkerhetsrisker 3) Dubbelriktad TLS (med klientcertifikat i profilen) kan göras med Safari (ios) och Chrome (Android), men nån PIN-kod behöver inte anges (går inte att ställa in) 4) Omöjligt att separera informationskanal från säkerhetskanal

Microsoft: Internet Explorer på Windows 7 +

Microsoft: Edge och Internet Explorer på Windows 10 (med Microsofts CSP) +

Google: Chrome Tekniskt korrekt men 99% irrelevant för en användare +

Mozilla: Firefox Tekniskt korrekt men 100% irrelevant för en användare +

Apple: Safari 1. Dubblerar certifikaten 2. Listar irrelevanta certifikat 3. Sparar valet i KeyChain så att man mister möjligheten att välja nästa gång +

Matris för Net id Enterprise Linux

Matris för Net id Enterprise OS X

Matris för Net id Enterprise - Windows

Vilka nya tekniska lösningar införs och vad löser de för framtida krav?

Vilka nya tekniska lösningar införs och vad löser de för framtida krav? Det har ju hänt en del sedan SITHS-avtalet undertecknades En massa små men viktiga tekniska detaljer: - Edge påverkar både dubbelriktad TLS och signering/underskrift (Dubbelriktad TLS fungerar men kräver särskild konf, signering/underskrift fungerar inte) - Chrome fungerar inte länge för signering/underskrift - Firefox fungerar inte längre för signering/underskrift - Webbläsartillverkarna är inte längre lika slapphänta med taskigt konfigurerade webbservrar - Nya kort har kommit - Nya typer av bärare finns på marknaden Men kanske allra viktigast: - Användarna ÄR mobila och VILL VARA mobila - och det finns appar/lösningar att använda i ett mobilt arbetssätt (även om mycket återstår av både kodande och verksamhetsutvecklande)

Trumvirvel

Net id Access

Net id Access: - Fungerar som Mobilt BankID - Fast kostnad, inte 17 öre per inloggning - Stödjer både hårda och mjuka ID-handlingar

Om vi pratar om applikationer som körs via webbläsaren Enkelt: Lite redirects och GET och POST å sånt. (det här kan IT-nissarna) Logiken för att trigga igång appväxling eller att be användaren starta sin säkerhetsapp på annan enhet ligger hos autentiseringstjänsten (netid:///)

Men om det inte är via webbläsaren, tänk om det är en app? Vem ska då ta ansvar för appväxlingen i en lösning enligt referensarkitekturen? (Ni vet, sådär som med bankapparna som växlar till BankID och sen tillbaka )

Första varianten: Appen själv tar ansvaret för appväxling! Dvs, efter att a) Appen skickat en signal till applikationsservern att den vill logga in b) Applikationsservern har bett autentiseringsservern att fixa en inloggning c) Applikationsservern fått besked från autentiseringsservern att inloggning är påbörjad d) Applikationsservern informerat appen att nu är det dags att appväxla e) Appen kör: netid:///?autostarttoken=13217133940883231949192&redirect=https%3a%2f%2fservice.secmaker.com%2fref erence-applications%2fref009%2fdashboard%2findex.php

Andra varianten: Autentiseringstjänsten tar ansvaret för appväxling! Dvs, efter att a) Appen visar autentiseringsserverns egen grafik b) Autentiseringsservern tar hand om allt c) Autentiseringsservern kör: netid:///?autostarttoken=13217133940883231949192&redirect=https%3a%2f%2fservice.secmaker.com%2fref erence-applications%2fref009%2fdashboard%2findex.php

Vi tar det igen! Efos innebär att förutom den självklara PKI-leveransen så ingår även en ny autentiseringsmetod av typen out-of-band. SITHS och MCA => Bara elektroniska ID-handlingar med tillhörande OCSP/CRL E-identitet för offentlig sektor => Elektroniska ID-handlingar med tillhörande OCSP/CRL och en autentiseringsmetod (med signeringsstöd)

Matris för Net id Access

Nu tror ni att jag bara skojar Eller att jag vill visa på ett endast akademiskt intressant plattformsoberoende Icke så. Jag är gravallvarlig. Ni har redan idag leverantörer av medicinteknisk utrustning som kontaktat mig för att diskutera lösningar för stark autentisering i sammanhang där man svårligen kan peta in en kortläsare eller ens en liten nyckelfil med tillhörande PKIklient. Och detta för att landsting krävt stark autentisering!

Hur kan vi förbereda oss redan nu?

Hur kan vi förbereda oss redan nu? 1) Skapa en enkel och konkret strategi för autentisering 2) Säkerställ att nya applikationslösningar stödjer referensarkitekturen, dvs ställ krav vid upphandling. 3) Ta reda på hur det ser ut i den existerande applikationsfloran avseende SAML, OAuth2, OpenID osv. 4) Säkerställ att ni har förmågan att i egen hall eller som tjänst kunna lägga till, ta bort och förändra autentiseringsmetoder 5) Börja jobba!

Funderingar om Efos i allmänhet, priser etc. => Efos (FK / Inera) Funderingar om detaljer i produkterna som FK / Inera rimligen inte kan svara på => jonas.oholm@secmaker.com

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss