Riktlinjer för Mobilt BankID till förlitande part

Finansiell ID-Teknik BID AB Sida 1(29) Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 2013-06-03

Finansiell ID teknik BID AB Sida 2(29) Innehållsförteckning 1 Dokumenthistorik... 4 2 Inledning... 5 2.1 Plattformsstöd... 5 3 Referenser... 5 4 Översikt Mobilt BankID... 6 4.1 Exempelanvändning... 7 5 Webbtjänst... 8 5.1 Flöde... 8 5.2 Alternativflöden... 8 6 Mobil webbtjänst... 9 6.1 Flöde... 10 6.2 Alternativflöden... 10 7 App... 12 7.1 Flöde... 12 7.2 Alternativflöden... 12 7.3 Programmatisk start av BankID säkerhetsapp... 13 7.4 Återstart av FP-app i ios... 13 7.1 Återstart av FP-app i Android... 14 7.2 Återstart av FP-app i Windows Phone 8... 14 8 RP Interface... 15 8.1 Flöde och riktlinjer... 16 8.2 Krav på teknisk lösning... 18 8.3 Riktlinjer för meddelanden... 19 8.1 Speciella noteringar om Webbservicen... 20 9 Anslutningsinformation... 21 10 Testmiljö... 22 11 Support... 24 12 BankID säkerhetsapp RP Interface Description... 25 12.1 Introduction... 25 12.2 Version... 25 12.3 URL... 25 12.4 References... 25 12.5 Authenticate... 25 12.6 Sign... 26

Finansiell ID teknik BID AB Sida 3(29) 12.7 Collect... 27 12.8 EndUserInfo Type... 28 12.9 Fault... 28 13 Rekommenderade termer... 29

Finansiell ID teknik BID AB Sida 4(29) 1 Dokumenthistorik Version Datum Beskrivning 1.0 2011-05-17 Första versionen av riktlinjer för Mobilt BankID. 1.0.1 2011-06-13 Kompletterat avsnittet Felkoder med meddelande för SIGN_VALIDATION_FAILED. Kompletterat avsnittet Krav på teknisk lösning med nytt börkrav RFT10. Uppdaterat avsnittet Riktlinjer för meddelanden med nytt meddelande RFA3. Uppdaterat avsnittet Testmiljö. 1.0.2 2011-10-26 Uppdaterat avsnittet Mobil webbtjänst med avseende på begränsningar i JavaME-stödet samt ett designförtydligande. Ändrat BankID-URL:en för ios i avsnittet Programmatisk start av BankID säkerhetsapp 1.0.3 2012-01-24 Uppdaterat RFA3 och RFA4 Uppdaterat instruktionerna i avsnittet Mobil webbtjänst. 1.0.4 2012-04-24 Ny version av det tekniska gränssnittet RP Interface, se avsnitt RP Interface och BankID säkerhetsapp RP Interface Description. Uppdaterat avsnittet Underskrift med avseende på formateringsmöjligheter. Tagit bort instruktionerna till FP om att på Android registrera ett eget Intent-filter, då detta inte behövs längre. Inkluderat brandväggsinformation i avsnitten Anslutningsinformation och Testmiljö. 1.0.5 2013-04-03 Uppdaterade testinstruktioner för ios i avsnittet Testmiljö. Uppdaterade brandväggsinstruktioner i avsnitten Anslutningsinformation och Testmiljö. Uppdaterat RFT6 och RFT7. Maxgränsen för uservisibledata-parametern sänkt från 100k till 40k. Java ME avvecklat 1.0.6 2013-03-05 Noteringar om webbservicen (versioner, testmiljön och soapaction). 1.0.7 2013-06-03 Stöd för Windows Phone 8.

Finansiell ID teknik BID AB Sida 5(29) 2 Inledning Det här dokumentet beskriver hur en förlitande part (FP) kan använda Mobilt BankID för inloggning (legitimering) och underskrift (signering) i egna tjänster och integrera mot Mobilt BankID. Mobilt BankID har tre huvudanvändningsfall. 1) Webbtjänst - Legitimering/underskrift med förlitande parts tjänst på annan enhet, t.ex. webbläsare i en PC. 2) Mobil webbtjänst - Legitimering/ underskrift med förlitande parts tjänst i mobil webbläsare. 3) App - Legitimering/underskrift med förlitande parts mobilapp. Det här dokumentet beskriver hur FP integrerar mot Mobilt BankID i de olika fallen och på de olika mobilplattformarna. 2.1 Plattformsstöd Mobilt BankID finns idag för mobiltelefoner och surfplattor baserade på Android och ios samt mobiltelefoner baserade på Windows Phone 8. Aktuell information om vilken hårdvara som stöds finns på http://support.bankid.com/mobil. 3 Referenser [1] BankID-app RP Interface Description, kapitel 12 [2] Rekommenderade termer, kapitel 13 Aktuell version av detta dokument finns tillgängligt via http://www.bankid.com/rp/info.

Finansiell ID teknik BID AB Sida 6(29) 4 Översikt Mobilt BankID För att inloggning eller underskrift med Mobilt BankID ska vara möjlig måste användaren först ha installerat BankID säkerhetsapp i sin telefon och hämtat ett BankID. Detta gör användaren med hjälp av funktioner i sin bank. En FP som vill låta sina användare logga in eller skriva under information med Mobilt BankID gör webbserviceanrop till en tjänst som BankID tillhandahåller. Det finns speciella funktioner för att begära legitimering och underskrift samt för att kontrollera resultatet. Kommunikationen är asynkron i betydelsen att FP först begär att funktionen ska utföras och därefter regelbundet kontrollerar om det finns något resultat. Det tekniska gränssnittet beskrivs i [1]. BankIDs webbservice kan endast nås av FP som har ett giltigt SSL klientcertifikat (ett FP-certifikat ). FP-certifikat erhålls från den bank som FP har tecknat avtal om BankID med. Om BankID säkerhetsapp är installerad på samma mobiltelefon som den användaren använder för att nå tjänsten (till exempel genom att surfa med webbläsare i telefonen eller en app i telefonen), så kan BankID säkerhetsapp i de flesta fall startas automatiskt. Om användaren når tjänsten på annat sätt (till exempel genom att surfa till den med en webbläsare i en dator) så måste användaren själv starta BankID säkerhetsapp.

Finansiell ID teknik BID AB Sida 7(29) Notera att användande av Mobilt BankID inte ger något skydd av data och information som presenteras i tjänsten. Det är helt och hållet förlitande parts ansvar att skydda denna, exempelvis genom användande av SSL och stabil sessionshantering 4.1 Exempelanvändning Legitimering Underskrift Legitimeringen visas med FP:s namn ( BankID Demo ). Användaren kan välja att avbryta eller att skriva in sin säkerhetskod och slutföra legitimeringen. Underskriften visas med FP:s namn ( BankID Demo ) och texten som ska undertecknas. Användaren kan välja att avbryta eller att skriva in sin säkerhetskod och slutföra underskriften. Tangentbordet visas när användaren trycker på inmatningsfältet för Säkerhetskod. FP:s namn visas så som det är angett i FP-certifikatet. Innan ett BankID kan användas måste användaren hämta ett BankID från sin internetbank. Via en meny i BankID säkerhetsapp når man funktioner för att: 1. Hämta ett BankID från användarens internetbank 2. Byta säkerhetskod 3. Byta språk 4. Få information om namn och giltighetstid m.m.

Finansiell ID teknik BID AB Sida 8(29) 5 Webbtjänst FP har en tjänst som vill använda BankID säkerhetsapp legitimering/underskrift. FPtjänsten används inte på samma enhet som BankID säkerhetsapp. Ett typiskt exempel är en tjänst i webbläsare i en dator men det kan också vara en app eller webbläsare i en annan mobil enhet, t.ex. läsplatta. I det här fallet måste FP-tjänsten be användaren att själv starta BankID säkerhetsapp när FP-tjänsten vill legitimera/skriva under. FPtjänsten behöver inte återstartas eftersom den hela tiden är igång på en annan enhet. 5.1 Flöde 1. Användaren fyller i sitt personnummer i FP-tjänsten (om det inte är sparat sedan tidigare) och vid underskrift även de uppgifter som ska användas för signaturen. 2. FP-tjänsten visar rörlig väntesymbol. 3. FP skickar legitimerings-/underskriftsbegäran till BankID med hjälp av [1]. 4. FP-tjänsten ber användaren att starta BankID säkerhetsapp med meddelandet MEDDELANDE_STARTA_BANKID_APP. 5. FP frågar BankID med hjälp av [1] efter svar (görs periodiskt till slutligt svar erhålls). 6. FP erhåller tillfälligt svar och uppdaterar kontinuerligt informationen till användaren enligt Gemensam fortsättning för legitimering/underskrift. 7. BankID skickar legitimerings-/underskriftsbegäran till BankID säkerhetsapp. 8. BankID säkerhetsapp visar namnet på FP (så som det är angett i FPcertifikatet) och information om att legitimering/underskrift efterfrågas, användaren matar in säkerhetskod eller väljer att avbryta. 9. FP erhåller slutligt svar. 10. FP-tjänsten slutar visa rörlig väntesymbol. I detta användningsfall finns inget automatiskt sätt att kontrollera om BankID säkerhetsapp är installerad eller inte. Andra tekniska fel som kan uppstå beskrivs i avsnittet RP Interface. 5.2 Alternativflöden 1. Legitimerings/underskriftsbegäran i 3 misslyckas. Flödet avbryts och FP ska inte be användaren starta BankID säkerhetsapp.

Finansiell ID teknik BID AB Sida 9(29) 6 Mobil webbtjänst FP har en webbapplikation (FP-mobilwebb) som kan användas i webbläsaren på en enhet med Android, ios, eller Windows Phone 8 och vill använda BankID säkerhetsapp legitimering/underskrift i samma enhet som webbläsaren. Med hjälp av mobilplattformen/operativsystemet kan FP-mobilwebb starta BankID säkerhetsapp på enheten och via sin serverkomponent starta legitimering/underskrift med hjälp av [1] (detaljerad beskrivning i avsnittet RP Interface). BankID säkerhetsapp startas genom att i webbapplikation öppna följande länk: bankid://redirect=[returnurl] Länken fungerar i ios,android och Windows Phone 8 när den inbygga webbläsaren används. BankID säkerhetsapp använder URL-parametern redirect för att starta FP-mobilwebb efter utförd legitimering/underskrift. Redirect måste vara URL UTF-8-kodad och RETURNURL bör innehålla den URL som användaren befinner sig på i FP mobilwebb. Användandet av exakt samma URL ökar sannolikheten att sidan öppnas i samma webbläsarflik som användes innan BankID säkerhetsapp startades. Om användaren har flera webbläsare installerade i sin Android-telefon måste användaren ibland välja vilken webbläsare som skall användas då tillbakaväxling sker från BankID säkerhetsapp till FP mobilwebb. På Android-enheter kan den speciella URL:en bankid://redirect=null användas för undvika detta val. Om redirect=null används kommer BankID säkerhetsapp istället avsluta sig själv och FP mobilwebb kommer att visas utan att frågor ställs. Observera att beteendet är unikt för Android, redirect=null resulterar på ios i att ingen tillbakaväxling till FP mobilwebb sker. FP mobilwebb bör konstrueras så att flödet automatiskt återupptas efter tillbakaväxlingen från BankID säkerhetsapp till FP mobilwebb. T.ex. genom att automatiskt ladda om sidan. Exempel på redirect före URL UTF8-kodning: https://www.bank_x.com/path?p1=v1&p2=v2 Samma redirect URL UTF-8-kodad: https%3a%2f%2fwww.bank_x.com%2fpath%3fp1%3dv1%26p2%3dv2 Exempel på fullständig länk:

Finansiell ID teknik BID AB Sida 10(29) bankid://redirect= https%3a%2f%2fwww.bank_x.com%2fpath%3fp1%3dv1%26p2%3dv2 OBS: URL:en får inte innehålla ett värdnamn (host), endast schemat (bankid) och parametern (redirect). 6.1 Flöde 1. Användaren fyller i sitt personnummer i FP-mobilwebb (om det inte är sparat sedan tidigare) och vid underskrift även de uppgifter som ska användas för signaturen. 2. FP förvissar sig om att användaren använder en mobil webbläsare. Om inte fortsätter flödet i Webbtjänst punkt 2. 3. FP ber användaren bekräfta 1 om BankID säkerhetsapp finns installerad i samma enhet som webbläsaren. Om inte fortsätter flödet i Webbtjänst punkt 2. Följande formuleringar bör användas a. Jag vill logga in med BankID säkerhetsapp i den här mobiltelefonen b. Jag vill logga in med BankID säkerhetsapp i en annan mobiltelefon. 4. FP skickar legitimerings-/underskriftsbegäran till BankID med hjälp av [1] när användaren väljer legitimering eller underskrift. 5. Om en felkod returneras avbryts flödet här och FP ska då inte starta BankID säkerhetsapp. 6. FP-mobilwebb startar BankID säkerhetsapp. 7. BankID skickar legitimerings-/underskriftsbegäran till BankID säkerhetsapp. 8. BankID säkerhetsapp visar namnet på FP (så som det är angett i FPcertifikatet) och information om att legitimering/underskrift efterfrågas, användaren fyller i sin säkerhetskod eller väljer att avbryta. 9. BankID säkerhetsapp använder URL-parametern redirect och startar webbläsaren (observera specialfallet redirect=null ovan). 10. FP frågar BankID med hjälp av [1] efter svar. 6.2 Alternativflöden 1. FP upptäcker i 2 att användaren inte använder en mobil webbläsare. Flödet fortsätter i Webbtjänst punkt 2. 2. Användaren svarar i 3 att han eller hon vill använda BankID säkehetsapp i en annan mobiltelefon eller surfplatta. Flödet fortsätter i Webbtjänst punkt 2. 3. Legitimerings/underskriftsbegäran i 4 misslyckas. Flödet avbryts och FP ska inte starta BankID säkerhetsapp. 4. BankID säkerhetsapp är inte installerad i enheten. Webbläsaren i Android och ios informerar i 5 användaren om att den inte kan öppna länken (se exempel nedan). 1 Bekräftelse från användaren krävs därför att det är möjligt att användaren vill använda Mobilt BankID i en annan mobiltelefon eller surfplatta. Det är inte heller tekniskt möjligt att från FPmobilwebb känna av om BankID säkerhetsapp är installerad.

Finansiell ID teknik BID AB Sida 11(29) 5. FP-mobilwebb kan i 5 inte starta BankID säkerhetsapp. Flödet fortsätter i Webbtjänst punkt 2. Andra tekniska fel som kan uppstå beskrivs i avsnittet RP Interface. Exempel på felmeddelande i mobil webbläsare när BankID säkerhetsapp inte kan startas eller inte är installerad: ios Android En pop-up öppnas och användaren är kvar i FP-mobilwebb efter OK En ny sida öppnas och användaren måste välja tillbaka för att komma tillbaka till FP-mobilwebb I Windows Phone får användaren en fråga om att öppna Windows Phone Store om BankID säkerhetsapp inte är installerad. Ett sätt att bättre hantera telefoner som inte genererar någon användbar felinformation är att göra anropet till BankID appen i en egen iframe i webbsidan. iframen kan döljas helt. Efter att webservices anropet har gått bra och anropet att starta appen gjorts startas också en funktion som visar texten Om inte din BankID säkerhetsapp startas automatiskt så behöver du själv starta den i din mobil/surfplatta efter 5 sekunder och döljs igen efter 30 sekunder. Om appen inte startas så kommer användaren att få se texten med information om att starta appen och om den startas så kommer användaren att inte att se den då BankID säkerhetsapp har fokus.

Finansiell ID teknik BID AB Sida 12(29) 7 App FP har en mobilapp (FP-app) för Android, ios eller Windows Phone 8 och vill använda BankID säkerhetsapp för legitimering/underskrift i samma enhet som FPapp är installerad i. FP-appen kan starta BankID säkerhetsapp på enheten och via sin serverkomponent starta legitimering/underskrift med hjälp av [1] (detaljerad beskrivning i avsnittet RP Interface). 7.1 Flöde 1. Användaren fyller i sitt personnummer i FP-appen (om det inte är sparat sedan tidigare) och vid underskrift de uppgifter som ska användas för signaturen. 2. FP skickar legitimerings-/underskriftsbegäran till BankID med hjälp av [1]. 3. Om en felkod returneras avbryts flödet här och FP ska då inte starta BankID säkerhetsapp. 4. FP-appen startar BankID säkerhetsapp programmatiskt (beskrivs i avsnittet Programmatisk start av BankID säkerhetsapp). 5. BankID skickar legitimerings/underskrifts-begäran till BankID säkerhetsapp. 6. BankID säkerhetsapp visar namnet på FP (så som det är angett i FPcertifikatet) och information om att legitimering/underskrift efterfrågas, användaren skriver sin säkerhetskod eller väljer att avbryta. 7. BankID säkerhetsapp startar FP-appen. I ios används URL-parametern redirect som skickades av FP-appen och BankID säkerhetsapp startar FPapp på samma sätt som FP-app tidigare startade BankID säkerhetsapp. I Android 8. anropas onactivityresult() i FP-appen när BankID säkerhetsapp är klar med aktiviteten som FP-appen startade. Om FP-appen ej har stöd för bakgrundskörning måste FP implementera funktionalitet för att spara sitt tillstånd då BankID säkerhetsapp startas och sedan kunna återskapa sessionen eftersom FP-appen kan komma att avslutas då BankID säkerhetsapp startas. Det exakta beteendet beror på plattform och implementation av FP-app. 9. FP frågar BankID med hjälp av [1] efter svar. 7.2 Alternativflöden 1. BankID säkerhetsapp är inte installerad i enheten. Anropet i 3 returnerar i så fall en felkod (NO i ios och android.content.activitynotfoundexception i Android) och flödet avbryts av FP-appen. Följande meddelande ska då visas för användaren MEDDELANDE_DEVICESW_SAKNAS. 2. Användaren avslutar sin BankID säkerhetsapp innan BankID säkerhetsapp har återstartat FP-app. Användaren måste då själv återstarta FP-app. 3. Legitimerings/underskriftsbegäran i 2 misslyckas. Flödet avbryts och FP ska inte starta BankID säkerhetsapp. Andra tekniska fel som kan uppstår beskrivs i avsnittet RP Interface.

Finansiell ID teknik BID AB Sida 13(29) 7.3 Programmatisk start av BankID säkerhetsapp 7.3.1 ios openurl:[nsurl URLWithString: @ bankid:// redirect=fp_app_x://bank_x ] 7.3.2 Android Intent intent = new Intent(); intent.setpackage("com.bankid.bus"); intent.setaction(intent.action_view); intent.addcategory(intent.category_browsable); //optional intent.addcategory(intent.category_default); //optional intent.settype("bankid"); intent.setdata(uri.parse("bankid://www.bankid.com?redirect=null")) ; startactivityforresult(intent, 0); 7.3.1 Windows Phone 8 Om inte Mobilt BankID finns installerat när URL anropas kommer användaren att få en fråga att ansluta till Windows Store för att hämta ner den. // Create the URI string var uritolaunch = @"bankid://www.bankid.com/redirect=" + Uri.EscapeDataString("fp-app-x://bank_x"); // Create the URI to launch from a string. var uri = new Uri(uriToLaunch); // Launch the URI. bool success = await Windows.System.Launcher.LaunchUriAsync(uri); 7.4 Återstart av FP-app i ios För att BankID säkerhetsapp i ios ska kunna återstarta FP-app efter legitimering/underskrift måste FP: 1. registrera ett unikt URL-schema i FP-app, samt 2. hantera fallet då FP-app startas med URL-schema-förfarandet. I exemplen används URL-schemat fp_app_x. FP ska ändra fp_app_x till det URLschema FP vill använda. 7.4.1 Registrera schema I Xcode: 1. Öpnna Info.plist. 2. Högerklicka, välj Add Row och URL Types. 3. Öppna Item 0 och ange URL Identifier, praxis är omvänt domännamn t.ex. se.företag.appnamn. 4. Högerklicka på Item 0, välj Add Row och URL Schemes.

Finansiell ID teknik BID AB Sida 14(29) 5. Ge nyckeln URL Schemes / Item 1 värdet fp_app_x. Exempel: 7.4.2 Hantera anrop I UIApplicationDelegate: implementera funktionen BOOL(application):(UIApplication *)application handleopenurl:(nsurl *)url. 7.1 Återstart av FP-app i Android I Android krävs ingen hantering motsvarande registrering av URL-schema i ios. Efter utförd eller avbruten legitimering/underskrift avslutas BankID säkerhetsapp och FP App kommer åter att hamna i förgrunden och onresume() anropas i FP App. 7.2 Återstart av FP-app i Windows Phone 8 För att BankID säkerhetsapp i ios ska kunna återstarta FP-app efter legitimering/underskrift måste FP: 3. registrera ett unikt URL-schema i FP-app, samt 4. hantera fallet då FP-app startas med URL-schema-förfarandet. I exemplen används URL-schemat fp_app_x. FP ska ändra fp_app_x till det URLschema FP vill använda. 7.2.1 Registrera schema Öppna App anifest.xml med en text-editor Lägg till ett "Tokens lägger du till följande: Hantera anrop / återstart I VisualStudio: Lägg till klassen AssociationUri apper enligt följande: <Extensions> <Protocol Name="fp-app-x" NavUriFragment="encodedLaunchUri=%s" TaskID="_default" /> </Extensions> 7.2.2 Hantera anrop I VisualStudio: Lägg till klassen AssociationUri apper enligt följande: <Extensions>

Finansiell ID teknik BID AB Sida 15(29) <Protocol Name="fp-app-x" NavUriFragment="encodedLaunchUri=%s" TaskID="_default" /> </Extensions> /// <summary> /// The association uri mapper. /// </summary> internal class AssociationUriMapper : UriMapperBase { /// <summary> /// When overridden in a derived class, converts a requested uniform resource identifier (URI) to a new URI. /// </summary> /// <returns> /// A URI to use for the request instead of the value in the <paramref name="uri"/> parameter. /// </returns> /// <param name="uri">the original URI value to be mapped to a new URI.</param> public override Uri MapUri(Uri uri) { var tempuri = System.Net.HttpUtility.UrlDecode(uri.ToString()); // URI association launch. don't if (tempuri.startswith("/protocol")) { // Here we can redirect to the correct page, but for now we return new Uri("/MainPage.xaml", UriKind.Relative); } } // Otherwise perform normal launch. return uri; } 1. I App.xaml.cs, lägg till AssociationUri apper som Uri apper genom att i metoden Initiali e honeapplication lägga till följande rad: // Assign the URI-mapper class to the application frame. RootFrame.UriMapper = new AssociationUriMapper(); 8 RP Interface

Finansiell ID teknik BID AB Sida 16(29) 8.1 Flöde och riktlinjer Här beskrivs rekommenderad användning för de olika användningsfallen. Fullständig beskrivning av RP Interface finns i avsnittet BankID säkerhetsapp RP Interface Description. 8.1.1 Legitimering 1. Anropa BankID med funktionen Authenticate. 2. SOAP-ramverket indikerar om anropet gick bra, legitimeringen behandlas nu av BankID-systemet. 8.1.2 Underskrift 1. Anropa BankID med funktionen Sign. Texten i parametern uservisibledata kommer att visas för användaren vid underskriftstillfället. För att formatera texten kan CR, LF och CRLF användas och alla resulterar i en (1) radbrytning. Inga andra formateringsmöjligheter finns. 2. SOAP-ramverket indikerar om anropet gick bra, underskriften behandlas nu av BankID-systemet. 8.1.3 Gemensam fortsättning för legitimering/underskrift 3. Anropa BankID med funktionen Collect för att få slutlig status på legitimering/underskrift. Anropet görs upprepade gånger tills statuskoden COMPLETE returneras, i avsnittet 4. Statuskoder beskrivs samtliga statuskoder i detalj. Om Collect returnerar en felkod avbryts legitimeringen/underskriften och FP ska inte fortsätta att anropa Collect, i avsnittet Felkoder beskrivs samtliga felkoder i detalj. 5. Collect returnerar med statusvärdet COMPLETE och legitimeringen/underskriften är klar. Personuppgifter returneras i parametern userinfo och kan användas för vidare bearbetning av FP. I ett typiskt flöde returneras först OUTSTANDING_TRANSACTION (användaren har inte startat BankID säkerhetsapp), sedan USER_SIGN (legitimeringen eller underskriften visas i telefonen) och till sist COMPLETE om användaren skrev in säkerhetskoden eller felkoden USER_CANCEL om användaren valde att avbryta. 8.1.4 Statuskoder I tabellen nedan beskrivs samtliga statuskoder i detalj. Statuskod Var har hänt? Meddelande som FP bör använda OUTSTANDIN G_TRANSACT ION USER_SIGN BankID säkerhetsapp är inte startad. BankID säkerhetsapp har tagit emot ordern. RFA1 RFA9 Visas i BankID säkerhetsapp Legitimeringen eller underskriften.

Finansiell ID teknik BID AB Sida 17(29) COMPLETE Användaren har skrivit in sin säkerhetskod och slutfört legitimeringen eller underskriften. Om BankID säkerhetsapp startades av FP avslutas nu BankID säkerhetsapp och FP återstartas. 8.1.5 Felkoder I tabellen nedan beskrivs samtliga felkoder i detalj. FP ska inte fortsätta att anropa Collect efter att ha mottagit en felkod. Felkod Var har hänt? Meddelande som FP bör använda INVALID_PAR AMETERS ACCESS_DENI ED_RP SIGN_VALIDA TION_FAILED Felaktigt anrop. FP ska inte försöka igen med samma anrop. Det här är ett internt fel hos FP och ska inte kommuniceras till användaren som ett BankID-fel. FP är inte behörig. FP ska inte försöka igen. Det här är ett internt tekniskt fel hos FP och ska inte kommuniceras till användaren som ett BankID-fel. Internt tekniskt fel. FP bör inte försöka automatiskt igen. Ska inte kommuniceras till användaren som ett BankID-fel. RFA5 Visas i BankID säkerhetsapp Inget Inget Inget RETRY Tillfälligt tekniskt fel i systemet. RFA5 Inget INTERNAL_ER Internt tekniskt fel i systemet. FP RFA5 Inget ROR bör inte försöka automatiskt igen. UNKNOWN_U SER 1) Användaren finns inte i systemet eller användaren har inget giltigt BankID. FP ska inte försöka igen utan att först ha försäkrat sig om att användaren har hämtat ett BankID. 2) Användaren har skrivit in fel säkerhetskod upprepade gånger och har fått sin säkerhetskod permanent låst. När det inträffar kan användaren inte använda sitt BankID. 3) Användarens BankID är spärrat. 4) Användarens BankID är ogiltigt. RFA4 1) Inget 2) Din säkerhetskod är låst, du måste hämta ett nytt BankID hos din internetbank 3) Ditt BankID är spärrat, du måste hämta ett nytt hos din internetbank 4) Giltighetstiden på ditt BankID har gått ut, du måste hämta ett nytt hos din internetbank

Finansiell ID teknik BID AB Sida 18(29) Felkod Var har hänt? Meddelande som FP bör använda ALREADY_CO LLECTED EXPIRED_TRA NSACTION INVALID_DEV ICESW ALREADY_IN _PROGRESS USER_CANCE L TIME_BLOCK ED FP har fortsatt att anropa Collect efter att COMPLETE har returnerats. Internt tekniskt fel hos FP som inte ska försöka igen. Ska inte kommuniceras till användaren som ett BankID-fel. Legitimeringen har passerat bästföre-datum. Det kan bero på att användaren inte startade BankID säkerhetsapp eller att användaren besvarade legitimeringen/underskriften men FP väntade för länge mellan Collect-anropen. Fel på BankID säkerhetsapp, äkthetsverifieringen misslyckades. Användaren har redan en pågående legitimering eller underskrift. FP ska inte automatiskt försöka igen. Användaren har valt att avbryta legitimeringen eller underskriften i BankID säkerhetsapp. Användarens säkerhetskod är tillfälligt låst p.g.a. användaren har skrivit in fel säkerhetskod upprepade gånger. RFA8 RFA12 RFA3 RFA6 RFA11 Visas i BankID säkerhetsapp Inget Legitimeringen avbruten p.g.a. inaktivitet Icke-godkänd användare Inget Om BankID säkerhetsapp startades av FP avslutas nu BankID säkerhetsapp och FP återstartas. Din säkerhetskod är tillfälligt låst OBS: I produktion är systemet konfigurerat så att TIME_BLOCKED inte kan inträffa, istället kommer säkerhetskoden bli permanent låst efter 5 på varandra felaktig försök. Vid permanent låst säkerhetskod kommer felkoden UNKNOWN_USER att returneras. CANCELLED En ny begäran om legitimering eller underskrift har inkommit för samma användare. RFA6 Åtgärden avbruten 8.2 Krav på teknisk lösning Riktlinjer

Finansiell ID teknik BID AB Sida 19(29) RFT1 RFT2 RFT3 RFT4 RFT5 RFT6 RFT7 RFT8 RFT9 När BankID säkerhetsapp anropas med hjälp av en URL skall query-delen av URL:en vara kodad med URL UTF-8-formatet. BankID säkerhetsapp anropas med hjälp av en URL skall request-parametern redirect inte vara längre än 2048 tecken. När BankID säkerhetsapp anropas med hjälp av en URL bör redirect innehålla schemat https (dvs använda SSL). Personnummer i RP-interface ska anges med 12 siffror (ååååmmddxxxx) Text-to-be-signed i RP-interface kan formateras genom att inkludera tecknet \n som kommer att visas som radbrytning När Collect returnerar COMPLETE ska parametrarna signature, userinfo och ocspresonse läsas ut och arkiveras av FP. FP behöver inte verifiera signaturen då detta görs av BankID. FP kontaktar BankID RP Interface på följande adress: https://appapi.bankid.com/rpserviceejb/rpservice/v2/rpservice FP ska autentisera sig med klient-ssl mot BankID och skall för detta använda sitt FP-certifikat. Collect bör anropas en gång varannan sekund och ska inte anropas oftare än en gång per sekund. RFT10 FP bör i sin webbtjänst visa en rörlig väntesymbol i väntan på slutligt svar från Collect. 8.3 Riktlinjer för meddelanden RFA1 MEDDELANDE_STARTA_BANKID_APP: Starta din BankID säkerhetsapp. RFA2 MEDDELANDE_DEVICESW_SAKNAS: Du har inte BankID säkerhetsapp installerad. Kontakta din bank för att installera BankID säkerhetsapp och för att hämta BankID. RFA3 MEDDELANDE_PÅGÅENDE_OPERATION: En inloggning eller underskrift för det här personnumret är redan påbörjad, tryck avbryt i BankID säkerhetsapp och försök igen. RFA4 MEDDELANDE_USER_DENIED: Det angivna personnumret saknar ett fungerande Mobilt BankID. Ange ett annat personnummer eller kontakta din bank för att beställa ett Mobilt BankID. RFA5 MEDDELANDE_PERMANENT_FEL: Det har inträffat ett internt tekniskt fel i systemet. Försök igen. RFA6 MEDDELANDE_USER_CANCEL: Åtgärden avbruten. RFA7 Avsiktligt tom, används ej längre. RFA8 MEDDELANDE_USER_TIMEOUT: Inget svar från mobiltelefonen eller surfplattan. Kontrollera att du har startat din BankID säkerhetsapp och att du har täckning. Följ instruktionerna i mobiltelefonen och försök igen. RFA9 MEDDELANDE_GODKÄNN_ELLER_AVBRYT: Skriv in säkerhetskoden till ditt BankID i din mobiltelefon eller surfplatta och välj Legitimera / Skriv under eller välj att avbryta. RFA10 Avsiktligt tom, används ej längre.

Finansiell ID teknik BID AB Sida 20(29) RFA11 MEDDELANDE_TIME_BLOCKED: Du har skrivit in fel säkerhetskod upprepade gånger och din säkerhetskod är tillfälligt låst. Försök igen senare. RFA12 MEDDELANDE_INVALID_DEVICE_SW: Det har inträffat ett internt tekniskt fel. Uppdatera din BankID säkerhetsapp och försök igen. 8.1 Speciella noteringar om Webbservicen 8.1.1 Versioner Om webbservicen ändras på så sätt att nya parametrar kan användas eller returneras, att befintliga parametrar försvinner, att nya svarskoder returneras, nya metoder tillkommer eller befintliga försvinner kommer detta att betraktas som en ny version som publiceras på en ny url, till exempel publiceras version 2 av tjänsten på https://appapi.bankid.com/rpserviceejb/rpservice/v2/rpservice. Förlitande part skall alltid använda den senaste versionen av webbservicen. Vi förbehåller oss rätten att stänga av äldre versioner av tjänsten när vi vill men kommer först att, i den mån det är möjligt och korrekta kontaktuppgifter finns tillgängliga, informera förlitande parter i god tid innan så att de hinner ändra i sina tjänster. 8.1.2 Testmiljön Nya versioner och releaser körs i testmiljön innan de produktionssätts. Därför kan innehåll och funktionalitet i testmiljön tillfälligt skilja sig från innehållet i produktionsmiljön. 8.1.3 Ingen soapaction Tjänsten använder url för att specificera vilken action som ska tas. soapaction i headern skall vara eller utelämnas helt.

Finansiell ID teknik BID AB Sida 21(29) 9 Anslutningsinformation Beskrivning SSL-certifikat (FPcertifikat) URL till webbservices Specifikation av webbservice Servercert Brandväggsinformation Plats/Information/Värde Erhålls från den bank som ni tecknat avtal om BankID med. https://appapi.bankid.com/rpserviceejb/rpservice/v2/rpservi ce https://appapi.bankid.com/rpserviceejb/rpservice/v2/rpservi ce?wsdl Servercertifikatet är utgivet av följande CA: CN = BankID SSL Root Certification Authority OU = Infrastructure CA O = Finansiell ID-Teknik BID AB Cert: -----BEGIN CERTIFICATE----- MIID6jCCAtKgAwIBAgIQSvZNAy61UF6qO2zWqvN/3zANBgkqhkiG9w0BAQUFADB0 MSQwIgYDVQQKDBtGaW5hbnNpZWxsIElELVRla25payBCSUQgQUIxGjAYBgNVBAsM EUluZnJhc3RydWN0dXJlIENBMTAwLgYDVQQDDCdCYW5rSUQgU1NMIFJvb3QgQ2Vy dglmawnhdglvbibbdxrob3jpdhkwhhcnmdgxmje5mdg1otaxwhcnmtkwnjaxmje0 NTAwWjB0MSQwIgYDVQQKDBtGaW5hbnNpZWxsIElELVRla25payBCSUQgQUIxGjAY BgNVBAsMEUluZnJhc3RydWN0dXJlIENBMTAwLgYDVQQDDCdCYW5rSUQgU1NMIFJv b3qgq2vydglmawnhdglvbibbdxrob3jpdhkwggeima0gcsqgsib3dqebaquaa4ib DwAwggEKAoIBAQCzqv7Rn43VFyTGicb+qjSGNeJga6GWQkMEXn9NvqCfknpaz4kf RbNHoQvtmw7CsiL83hMNU5y0EI6wC45Whn8ZXJ5/eqj1zBSu7QqKctEbMjWf6sf2 VUyE7lns6FxRFAgbhM2RS5LnWCfRsSgjKLXbJk7S2O/qVWdlxU1fAYfjbja1xhQm jartvcyv9d2f8mbgh9sosabvdlektixj9npbixii+c9dupzvy1qny02dssudvwm3 IwJlEljLfjcBQDtJlm/7TbKsnqvW8s+NT6JBputUZT8Mqsv63meEbhxcq6vNcNKZ SgeHZDmr9lY2hmmVK9TcgfWHHkymUAWTGRQzAgMBAAGjeDB2MA8GA1UdEwEB/wQF MAMBAf8wEwYDVR0gBAwwCjAIBgYqhXBOAQQwDgYDVR0PAQH/BAQDAgEGMB0GA1Ud DgQWBBS2GCMB5GeakO2/WOqKJJXGAop6tTAfBgNVHSMEGDAWgBS2GCMB5GeakO2/ WOqKJJXGAop6tTANBgkqhkiG9w0BAQUFAAOCAQEAe4vukBbEjzsYC8Mv1xLcUQVD gytgnqvp8lr8yabfnfhh+iiofk7qvvd3z+bibngegutb5k78utadkinittska4t4 3Uy/p/blqew8Sqhv0I5MVlW71++HiPth4xwHAoxfe4oyTQaJRgls1CCsCBnuT9IF 6nGUNziC46RqIlhiY7zDzROtBWjqJzq+QvO07s73m+GPk8kZVwQrtyFT2IuYMH23 od/sre2w5gclo2d62sbrzywyjzaabny9yl6wemdqwrqjz0myzhrvlcq1xrq4nvpl bmdfs1wd3vctsxlbffbu9qw+cytbn4uj7bhqw1r2kgeajm5grkl7z7lqztwsqw== -----END CERTIFICATE----- BankID säkerhetsapp för produktion kontaktar BankID-servern på adressen 194.242.109.204 och portarna TCP / 4711, 4710, 443, 80.