Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Relevanta dokument
Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Systemkrav. Åtkomst till Pascal

Rekommendationer teknisk lösning_samsa_ ver

Portförändringar. Säkerhetstjänster 2.1 och framåt

Systemkrav och rekommendationer. Åtkomst till Pascal

Checklista för tekniskt ansvarig

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Manual - Inloggning. Svevac

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Bilaga 2 utdrag urinförandehandbok

till Säkerhetstjänster x

Konfigurationer Videooch distansmöte Bilaga till Tekniska anvisningar

Checklista. För åtkomst till Svevac

Sjunet robust DNS. Teknisk Beskrivning

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Instruktion för integration mot CAS

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

Checklista. Anslutning till NPÖ som konsument

RIV Tekniska Anvisningar Kryptografi. Version ARK_

Systemkrav och tekniska förutsättningar

NPÖ 1(12) 1 Systemkrav. Vanliga felmeddelanden i NPÖ Datum

Sammanfattning och specifikationer för POT

Felmeddelande - inloggning till Pascal

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Kontaktchip - annat innehåll och nya kortprofiler för integration

Anslutningsvägledning. Nationell patientöversikt 2.0

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Manual - Inloggning. Svevac

Pascal tillämpningsanvisning Anrop av Pascal via uthopp från annan applikation

Användarguide för anslutning till MCSS

Manual - Inloggning. Svevac

Tekniska anvisningar Mötestjänsten Video- och distansmöte

Systemadministration. Webcert Fråga/Svar

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

BILAGA 1 Definitioner

Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

ehälsomyndighetens nya säkerhetskrav

Konfigurering av inloggning via Active Directory

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

BILAGA 1 Definitioner Version: 2.02

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Användarmanual Administratör

Apotekens Service. federationsmodell

PhenixID & Inera referensarkitektur. Product Manager

BILAGA 1 Definitioner Version: 2.01

Biometria Violweb. Installation kundportalaccess - för IT-administratörer. Mars 2019

Teknisk Anslutningsguide Efos Server

Termer och begrepp. Identifieringstjänst SITHS

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

BILAGA 1 Definitioner

Felsökningsunderlag. för Nationell patientöversikt, NPÖ. Dokumentationsversion 3.0 Datum

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

Användarmanual Administratör

Användarmanual Administratör

BILAGA 2 Tekniska krav Version 0.81

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Underlag till möte om Sambis testbädd och pilotverksamhet

Tekniskt ramverk för Svensk e- legitimation

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Kravunderlag inom området Identitet och Åtkomst

Bilaga 1.2 Kortspecifikationer. 459 SIS-kort BILAGA 1.2 KORTSPECIFIKATIONER

Compose Connect. Hosted Exchange

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Innehåll. Dokumentet gäller från och med version

Manual inloggning Svevac

Regionförbundet i Kalmar Län. Barnhälsodatapiloten - Slutrapport Bilaga

Anvisning. Publiceringsverktyg för manuell inläsning av certifikatsinformation till HSA

SAMBI SAML Profil. Samverkan för Behörighet och Identitet inom hälsa, vård och omsorg

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server

Checklista. Konsumentinförande via Agent, Nationell Patientöversikt (NPÖ)

Termer och begrepp. Identifieringstjänst SITHS

E-legitimationsdagen

SITHS Thomas Näsberg Inera

Biometria Violweb. Kom-igång-guide. Mars Sammanfattning Den här anvisningen är till för dig som ska börja använda dig av Biometrias tjänster.

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

Konfigurering av Intertex SurfinBird IX78 tillsammans med IP-växlar och Telia SIP-anslutning

Extern åtkomst till Sociala system

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

SITHS på egna och andra organisationers kort. Hur SITHS kort-information uppdateras i HSA

Transkript:

Guide till Inera IdP Information angående anslutning av Nationella e-tjänster Nationella e-tjänster har fortsatt möjlighet att ansluta till gamla Säkerhetstjänsters Autentiseringstjänst. Detta för att ge användarorganisationer som sitter på sjunet möjlighet att hinna anpassa sina DNS-inställningar för att säkra åtkomst mot nya IdP. Revisionshistorik Version Datum Författare Kommentar 0.1 13 Jun 2018 Daniel Petersson Upprättad 1.0 14 Jan 2019 Grim Skarsgård Fastställd 1. Sammanfattning 1.1. Förutsättningar för användning Inera IdP 1.1.1. SAML 1.1.2. OIDC 1.1.3. Sjunet 2. Dokumentation 3. Adresser och portar 3.1. Inera IdP 4. Tillitsnivå (LoA) 4.1. SITHS 4.2. EFOS (Endast testmiljöer) 5. Säkerhet 5.1. TLS-protokoll 5.2. Chiper suites 6. Systemkrav 6.1. IdP 6.2. Net id 6.2.1. Klient

1. 1. Sammanfattning Inera IdP syftar till att erbjuda vårdgivare och dess vårdsystem en säker autentisering av aktörer/vårdpersonal. Inera IdP tillhandahåller s.k. single sign on (SSO) inom webbapplikationer enligt väl definierade standarder, så som SAML Web SSO Profile samt OpenID Connect. Utöver detta rättar sig tjänsten efter den profil som begränsar, samt identifierar tekniker som måste realiseras, för att med säkerhet tillgodose funktionalitet i en federering (för SAML) mellan flertalet autentiseringstjänster (IdP'r). Tjänsten tillhandahåller också funktion för logga ut aktören och avsluta dess session hos IdP'n och fortsatt SSO. Vid en lyckad autentisering utfärdas ett s.k. SAML-intyg, alternativt Id-token för OIDC, som beskriver aktören, samt dess egenskaper, som är tänkta att användas av ett ABAC (Attribute Based Access Control) behörighetssystem, dvs behörighet på egenskapsnivå. Aktörer som skall autentiseras bör vara upplagda i HSA katalogen. Beroende på vilka attribut som efterfrågas för en aktör kan eventuella val behöva göras i inloggningsflödet. Exempel på detta är medarbetaruppdrag. Tjänsten är tillgänglig på både Sjunet och Internet med samma hostname. Detta hostname resolvar olika IP-adresser beroende på vilket nät/dns som används.

1.1. 1.1. Förutsättningar för användning Inera IdP 1.1.1. 1.1.1. SAML Ansluten e-tjänst registreras manuellt i Inera IdP genom förmedling av metadata. Genom metadata kan man ex. specificera vilka attribut man önskar få från IdP:n och utbyta vilka nycklar som ska användas, adresser vid utloggning, o.s.v. Se SAML-Profilen och Attributstyrning SAML för detaljer kring hur Inera IdP implementerar SAML-protokollet. För åtkomst till IdP:s SAML-metadata, se Guide till Inera IdP#Adresser och portar längre ned. 1.1.2. 1.1.2. OIDC Registrering av OIDC-klienter i Inera IdP sköts manuellt. Se OIDC-Profil och Attributstyrning OIDC för detaljer kring hur Inera IdP implementerar OIDCprotokollet. För åtkomst till IdP:s OIDC-metadata, se Guide till Inera IdP#Adresser och portar längre ned. 1.1.3. 1.1.3. Sjunet Inera IdP är tillgänglig från både internet och Sjunet med samma instans och domän (se Guide till Inera IdP#Adresser och portar). De IPadresser som används av tjänsten finns i en range som länge funnits endast på Sjunet så i många fall kan brandväggar (443) behöva öppnas mot nedan angivna adresser för de klienter på nätverk som ska nå etjänsten. Det beror på hur organisationerna med klienterna routar 82.136.182.0/24 nätet. Organisationer med enbart internet: inga förväntade problem enbart sjunetanslutning: bör inte få routingproblem (se nedan) behöver troligen öppna brandväggar både internet- och sjunetanslutning: behöver troligen öppna brandväggar Organisationer med både internet- och sjunetanslutning behöver för en fullständig anslutning över Sjunet - för både DNS-uppslag och IDP-trafik - ett extra steg. För klienter som har DNSuppslag för både sjunet och internetdomäner adderas en s.k. Conditional Forward i den DNS lösning som används (som troligen redan har en sådan för sjunet.org). Utan detta finns risk att trafik mot IdPn går över internet när anslutningen är tänkt att vara över Sjunet, och detta kan t ex uppmärksammas först när internetanslutningen får problem. Förslagsvis valideras vägvalen som går från klient mot respektive miljö med tracert och/eller nslookup. Vid validering kan en rensning av eventuell DNS cache behövas ( ipconfig /flushdns på Windows). Exempel (OBS: per miljö, här endast en av testmiljöerna): Windows DNS tjänst Linux(bind)-dns zone " ineratest.org" { }; type forward; forward only; forwarders { }; 81.89.151.10; 81.89.151.38; Se gärna även mer detaljerad information om Sjunets DNS inställningar: https://www.inera.se/kundservice/dokument-och-lankar/tjanster /kommunikationstjanst-sjunet/sjunet-dokument-webbsida/dns-installningar/ Inkommande IP Dev och Test: 82.136.182.1 PROD och QA: 82.136.182.2 Utgående IP 81.89.151.200

2. 2. Dokumentation Utöver denna guide finns följande dokumentation framtagen för tjänsten.

3. 3. Adresser och portar

3.1. 3.1. Inera IdP Dessa adresser används för anslutning till Inera IdP. Detta innefattar både funktion för SAML och OIDC. Alla ingående adresser för de olika standarderna återfinns på de adresser som anges nedan. Dessa adresser är samma för både Internet och Sjunet. MIljö Domän IdP Metadata OIDC.well-known Produktion idp.inera.se https://idp.inera.se/saml https://idp.inera.se/oidc/.well-known/openid-configuration QA idp.ineraqa.org https://idp.ineraqa.org/saml https://idp.ineraqa.org/oidc/.well-known/openid-configuration Test idp.ineratest.org https://idp.ineratest.org/saml https://idp.ineratest.org/oidc/.well-known/openid-configuration Dev idp.ineradev.org https://idp.ineradev.org/saml https://idp.ineradev.org/oidc/.well-known/openid-configuration

4. 4. Tillitsnivå (LoA)

4.1. 4.1. SITHS Inera IdP avgör LoA (Level of Assurance, Tillitsnivå) på användarens SITHS-kort baserat på kortnummerserie (värdet på attributet 1.2.752.34.2.1 i certifikatet på kortet). Detta kan sammanfattas i följande tabell: Certifikatstyp LoA Kortnummerserie, 1.2.752.34.2.1 Kommentar SIS-kort, SITHS 3 9752 XXXX 357 Företagskort med eget utfärdarnummer 3 9752 XXXX 857 SITHS Reservkort 3 9752 XXXX 957 Planeras att ställas om till LoA 2 under 2020. SITHS VGR utfärdade kort 3 9752 XXXX 854 I Inera IdP finns systemkonfiguration som styr denna mappning. Denna är en del av systemet och kan ändras via systemkonfiguration (ej via applikationens webbgränssnitt).

4.2. 4.2. EFOS (Endast testmiljöer) Tillitsnivån på användarens EFOS-certifikat utvärderas genom att utläsa värdet på attributet Certifikatsprinciper som finns på certet. Värde på Certifikatsprinciper LoA Utfärdare 1.2.752.146.260. 2.Z 2 Swedish Public Sector Person 2 CA v1 1.2.752.146.270. 3.Z 3 Swedish Public Sector Person 3 CA v1 1.2.752.146.280. 4.Z 4 Swedish Public Sector Person 4 CA v1 1.2.752.146.210. 2.Z 2 Swedish Public Sector HSA Person 2 CA v1 1.2.752.146.220. 3.Z 3 Swedish Public Sector HSA Person 3 CA v1 1.2.752.146.220. 4.Z 4 Swedish Public Sector HSA Person 4 CA v1

5. 5. Säkerhet

5.1. 5.1. TLS-protokoll Lista över TLS protokollets versioner som används i IdP. Versionsnamn TLSv1.2

5.2. 5.2. Chiper suites Lista över cipher suites som används i IdP: Chiper suite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

6. 6. Systemkrav = Säkerställt = Kan fungera = Stöds ej

6.1. 6.1. IdP Operativsystem IE11 Chrome Edge Firefox Windows 7 + 8 Windows 10 Tabell över olika webbläsares kompatibilitet med IdP hösten 2018

6.2. 6.2. Net id 6.2.1. 6.2.1. Klient Operativsystem Webbläsare Net id Enterprise 6.5.0.17 Windows 7+8 Chrome IE 11 6.6.0.30 6.7.1.33 Windows 10 Utan följande patchar: KB4480976 KB4480967 KB4487017 KB4486996 KB4487029 KB4487021 Windows 10 Med någon av följande patchar: KB4480976 KB4480967 KB4487017 KB4486996 KB4507419 KB4507169 Utan följande patchar: KB4487029 KB4487021 Windows 10 Med någon av följande patchar: KB4487029 KB4487021 Chrome IE 11 Edge Chrome IE 11 Edge Chrome IE 11 Edge 6.5.0.17 6.6.0.30 6.7.1.33 6.5.0.17 (fungerar endast med paketering 1901) 6.6.0.30 (fungerar endast med paketering 1901) 6.7.1.33 (fungerar endast med paketering 1901) 6.5.0.17 6.6.0.30 6.7.1.33 6.8.0.22 6.5.0.17 6.6.0.30 6.7.1.33 6.8.0.22 6.5.0.17 (fungerar endast med paketering 1901) 6.6.0.30 (fungerar endast med paketering 1901) 6.7.1.33 (fungerar endast med paketering 1901) 6.8.0.22 6.5.0.17 6.6.0.30 6.7.1.33 6.5.0.17 6.6.0.30 6.7.1.33 6.5.0.17 6.6.0.30 (fungerar endast med paketering 1901) 6.7.1.33 (fungerar endast med paketering 1901) SecMakers Windows 10 sida: https://service.secmaker.com/w10.aspx

Från SecMakers hemsida 2019-03-11:

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss