Guide till Inera IdP Information angående anslutning av Nationella e-tjänster Nationella e-tjänster har fortsatt möjlighet att ansluta till gamla Säkerhetstjänsters Autentiseringstjänst. Detta för att ge användarorganisationer som sitter på sjunet möjlighet att hinna anpassa sina DNS-inställningar för att säkra åtkomst mot nya IdP. Revisionshistorik Version Datum Författare Kommentar 0.1 13 Jun 2018 Daniel Petersson Upprättad 1.0 14 Jan 2019 Grim Skarsgård Fastställd 1. Sammanfattning 1.1. Förutsättningar för användning Inera IdP 1.1.1. SAML 1.1.2. OIDC 1.1.3. Sjunet 2. Dokumentation 3. Adresser och portar 3.1. Inera IdP 4. Tillitsnivå (LoA) 4.1. SITHS 4.2. EFOS (Endast testmiljöer) 5. Säkerhet 5.1. TLS-protokoll 5.2. Chiper suites 6. Systemkrav 6.1. IdP 6.2. Net id 6.2.1. Klient
1. 1. Sammanfattning Inera IdP syftar till att erbjuda vårdgivare och dess vårdsystem en säker autentisering av aktörer/vårdpersonal. Inera IdP tillhandahåller s.k. single sign on (SSO) inom webbapplikationer enligt väl definierade standarder, så som SAML Web SSO Profile samt OpenID Connect. Utöver detta rättar sig tjänsten efter den profil som begränsar, samt identifierar tekniker som måste realiseras, för att med säkerhet tillgodose funktionalitet i en federering (för SAML) mellan flertalet autentiseringstjänster (IdP'r). Tjänsten tillhandahåller också funktion för logga ut aktören och avsluta dess session hos IdP'n och fortsatt SSO. Vid en lyckad autentisering utfärdas ett s.k. SAML-intyg, alternativt Id-token för OIDC, som beskriver aktören, samt dess egenskaper, som är tänkta att användas av ett ABAC (Attribute Based Access Control) behörighetssystem, dvs behörighet på egenskapsnivå. Aktörer som skall autentiseras bör vara upplagda i HSA katalogen. Beroende på vilka attribut som efterfrågas för en aktör kan eventuella val behöva göras i inloggningsflödet. Exempel på detta är medarbetaruppdrag. Tjänsten är tillgänglig på både Sjunet och Internet med samma hostname. Detta hostname resolvar olika IP-adresser beroende på vilket nät/dns som används.
1.1. 1.1. Förutsättningar för användning Inera IdP 1.1.1. 1.1.1. SAML Ansluten e-tjänst registreras manuellt i Inera IdP genom förmedling av metadata. Genom metadata kan man ex. specificera vilka attribut man önskar få från IdP:n och utbyta vilka nycklar som ska användas, adresser vid utloggning, o.s.v. Se SAML-Profilen och Attributstyrning SAML för detaljer kring hur Inera IdP implementerar SAML-protokollet. För åtkomst till IdP:s SAML-metadata, se Guide till Inera IdP#Adresser och portar längre ned. 1.1.2. 1.1.2. OIDC Registrering av OIDC-klienter i Inera IdP sköts manuellt. Se OIDC-Profil och Attributstyrning OIDC för detaljer kring hur Inera IdP implementerar OIDCprotokollet. För åtkomst till IdP:s OIDC-metadata, se Guide till Inera IdP#Adresser och portar längre ned. 1.1.3. 1.1.3. Sjunet Inera IdP är tillgänglig från både internet och Sjunet med samma instans och domän (se Guide till Inera IdP#Adresser och portar). De IPadresser som används av tjänsten finns i en range som länge funnits endast på Sjunet så i många fall kan brandväggar (443) behöva öppnas mot nedan angivna adresser för de klienter på nätverk som ska nå etjänsten. Det beror på hur organisationerna med klienterna routar 82.136.182.0/24 nätet. Organisationer med enbart internet: inga förväntade problem enbart sjunetanslutning: bör inte få routingproblem (se nedan) behöver troligen öppna brandväggar både internet- och sjunetanslutning: behöver troligen öppna brandväggar Organisationer med både internet- och sjunetanslutning behöver för en fullständig anslutning över Sjunet - för både DNS-uppslag och IDP-trafik - ett extra steg. För klienter som har DNSuppslag för både sjunet och internetdomäner adderas en s.k. Conditional Forward i den DNS lösning som används (som troligen redan har en sådan för sjunet.org). Utan detta finns risk att trafik mot IdPn går över internet när anslutningen är tänkt att vara över Sjunet, och detta kan t ex uppmärksammas först när internetanslutningen får problem. Förslagsvis valideras vägvalen som går från klient mot respektive miljö med tracert och/eller nslookup. Vid validering kan en rensning av eventuell DNS cache behövas ( ipconfig /flushdns på Windows). Exempel (OBS: per miljö, här endast en av testmiljöerna): Windows DNS tjänst Linux(bind)-dns zone " ineratest.org" { }; type forward; forward only; forwarders { }; 81.89.151.10; 81.89.151.38; Se gärna även mer detaljerad information om Sjunets DNS inställningar: https://www.inera.se/kundservice/dokument-och-lankar/tjanster /kommunikationstjanst-sjunet/sjunet-dokument-webbsida/dns-installningar/ Inkommande IP Dev och Test: 82.136.182.1 PROD och QA: 82.136.182.2 Utgående IP 81.89.151.200
2. 2. Dokumentation Utöver denna guide finns följande dokumentation framtagen för tjänsten.
3. 3. Adresser och portar
3.1. 3.1. Inera IdP Dessa adresser används för anslutning till Inera IdP. Detta innefattar både funktion för SAML och OIDC. Alla ingående adresser för de olika standarderna återfinns på de adresser som anges nedan. Dessa adresser är samma för både Internet och Sjunet. MIljö Domän IdP Metadata OIDC.well-known Produktion idp.inera.se https://idp.inera.se/saml https://idp.inera.se/oidc/.well-known/openid-configuration QA idp.ineraqa.org https://idp.ineraqa.org/saml https://idp.ineraqa.org/oidc/.well-known/openid-configuration Test idp.ineratest.org https://idp.ineratest.org/saml https://idp.ineratest.org/oidc/.well-known/openid-configuration Dev idp.ineradev.org https://idp.ineradev.org/saml https://idp.ineradev.org/oidc/.well-known/openid-configuration
4. 4. Tillitsnivå (LoA)
4.1. 4.1. SITHS Inera IdP avgör LoA (Level of Assurance, Tillitsnivå) på användarens SITHS-kort baserat på kortnummerserie (värdet på attributet 1.2.752.34.2.1 i certifikatet på kortet). Detta kan sammanfattas i följande tabell: Certifikatstyp LoA Kortnummerserie, 1.2.752.34.2.1 Kommentar SIS-kort, SITHS 3 9752 XXXX 357 Företagskort med eget utfärdarnummer 3 9752 XXXX 857 SITHS Reservkort 3 9752 XXXX 957 Planeras att ställas om till LoA 2 under 2020. SITHS VGR utfärdade kort 3 9752 XXXX 854 I Inera IdP finns systemkonfiguration som styr denna mappning. Denna är en del av systemet och kan ändras via systemkonfiguration (ej via applikationens webbgränssnitt).
4.2. 4.2. EFOS (Endast testmiljöer) Tillitsnivån på användarens EFOS-certifikat utvärderas genom att utläsa värdet på attributet Certifikatsprinciper som finns på certet. Värde på Certifikatsprinciper LoA Utfärdare 1.2.752.146.260. 2.Z 2 Swedish Public Sector Person 2 CA v1 1.2.752.146.270. 3.Z 3 Swedish Public Sector Person 3 CA v1 1.2.752.146.280. 4.Z 4 Swedish Public Sector Person 4 CA v1 1.2.752.146.210. 2.Z 2 Swedish Public Sector HSA Person 2 CA v1 1.2.752.146.220. 3.Z 3 Swedish Public Sector HSA Person 3 CA v1 1.2.752.146.220. 4.Z 4 Swedish Public Sector HSA Person 4 CA v1
5. 5. Säkerhet
5.1. 5.1. TLS-protokoll Lista över TLS protokollets versioner som används i IdP. Versionsnamn TLSv1.2
5.2. 5.2. Chiper suites Lista över cipher suites som används i IdP: Chiper suite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
6. 6. Systemkrav = Säkerställt = Kan fungera = Stöds ej
6.1. 6.1. IdP Operativsystem IE11 Chrome Edge Firefox Windows 7 + 8 Windows 10 Tabell över olika webbläsares kompatibilitet med IdP hösten 2018
6.2. 6.2. Net id 6.2.1. 6.2.1. Klient Operativsystem Webbläsare Net id Enterprise 6.5.0.17 Windows 7+8 Chrome IE 11 6.6.0.30 6.7.1.33 Windows 10 Utan följande patchar: KB4480976 KB4480967 KB4487017 KB4486996 KB4487029 KB4487021 Windows 10 Med någon av följande patchar: KB4480976 KB4480967 KB4487017 KB4486996 KB4507419 KB4507169 Utan följande patchar: KB4487029 KB4487021 Windows 10 Med någon av följande patchar: KB4487029 KB4487021 Chrome IE 11 Edge Chrome IE 11 Edge Chrome IE 11 Edge 6.5.0.17 6.6.0.30 6.7.1.33 6.5.0.17 (fungerar endast med paketering 1901) 6.6.0.30 (fungerar endast med paketering 1901) 6.7.1.33 (fungerar endast med paketering 1901) 6.5.0.17 6.6.0.30 6.7.1.33 6.8.0.22 6.5.0.17 6.6.0.30 6.7.1.33 6.8.0.22 6.5.0.17 (fungerar endast med paketering 1901) 6.6.0.30 (fungerar endast med paketering 1901) 6.7.1.33 (fungerar endast med paketering 1901) 6.8.0.22 6.5.0.17 6.6.0.30 6.7.1.33 6.5.0.17 6.6.0.30 6.7.1.33 6.5.0.17 6.6.0.30 (fungerar endast med paketering 1901) 6.7.1.33 (fungerar endast med paketering 1901) SecMakers Windows 10 sida: https://service.secmaker.com/w10.aspx
Från SecMakers hemsida 2019-03-11: