Mobilt Efos och ny metod för stark autentisering

Relevanta dokument
Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Checklista för tekniskt ansvarig

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Manual - Inloggning. Svevac

PhenixID & Inera referensarkitektur. Product Manager

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Kontaktchip - annat innehåll och nya kortprofiler för integration

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Användarguide för anslutning till MCSS

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Teknisk Anslutningsguide Efos Server

EFOS-dagen, Lanseringsplan. 26 September 2018

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Termer och begrepp. Identifieringstjänst SITHS

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Termer och begrepp. Identifieringstjänst SITHS

Testa ditt SITHS-kort

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Användarhandbok för Windows v6

Extern åtkomst till Sociala system

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

Innehåll Net ID installation... 2 Instruktion för nedladdning av HCC... 7 Låsa upp kort med hjälp av PUK-koden Byt säkerhetskod...

Användarguide för anslutning till Treserva och TES Användarguide för anslutning till Treserva och TES

Manual - Inloggning. Svevac

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Manual - Inloggning. Svevac

Manual inloggning Svevac

Köra programportalen med Windows 8

Portförändringar. Säkerhetstjänster 2.1 och framåt

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Infrastruktur med möjligheter

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

Introduktion till SAML federation

SeniorNet Huddinge Öppet Hus

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Komma igång med Qlikview

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3

Referensarkitekturen för Identitet och Åtkomst och hur det fungerar i praktiken. Per Mützell, Inera Tomas Fransson, Inera

Net id OEM Användarhandbok för Windows

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

Avtal om Kundens användning av E-identitet för offentlig sektor

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Elevlegitimation ett konkret initiativ.

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Release notes. Webcert 6.1

Vägledning för implementering av AD-inloggning med SITHS-kort

Bilagan innehåller beskrivning av de åtaganden rörande IT som gäller för

Instruktion för åtkomst till Nyps via LstNet

ehälsomyndighetens nya säkerhetskrav

ANVÄNDARMANUAL ANSLUTA TILL REGION HALLAND VIA CITRIX

Hur du genomför ett videomöte

Identitet, kontroll & spårbarhet

3 Hur förbereder jag mig inför krav på kortinlogg?

Handbok för användare. HCC Administration

eid Support Version

Guide för kunder med Nordea e-legitimation

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Konfigurering av inloggning via Active Directory

Oanade möjligheter. Oanade möjligheter är ett initiativ skapat av Sparbankernas Riksförbund och Svenska Bankföreningen

Administrativ manual RiksSvikt 3.7.0

Avtal om Kundens användning av Identifieringstjänst SITHS

Systemkrav. Åtkomst till Pascal

Användarhandbok för Linux

Anvä ndärmänuäl PortWise fo r leveränto ren

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Svensk e-legitimation

Installationsguide fo r CRM-certifikat

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

Lathund för BankID säkerhetsprogram

SITHS i ett mobilt arbetssätt Region Östergötland. Region Östergötland 1

Instruktion för Handelsbankens kortläsare

SDC Web-Access. Installationsanvisning v 2.0.2

Bilaga Funktionshyra Vårdval Gynekologi sida 1 (5) FUNKTIONSHYRA. Vårdval Gynekologi

Krav på säker autentisering över öppna nät

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Juniper Unified Network Service för tjänsten SDC Web-Access. Installationsanvisning v 2.0.2

Installationsanvisningar. till IST Analys

Användarmanual Administratör

Portalinloggning SITHS HCC och Lösenordsbyte manual

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3

Bilaga 2 utdrag urinförandehandbok

Introduktion. September 2018

E-legitimationsnämndens legitimeringstjänster för test

Användarmanual Administratör

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1

Manual för nedladdning av certifikat till reservkort

Kravunderlag inom området Identitet och Åtkomst

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Statistiska centralbyrån

Transkript:

Mobilt Efos och ny metod för stark autentisering I och med lanseringen av E-identitet för offentlig sektor, Efos, kommer Inera att leverera komponenter som möjliggör att en användare ska kunna logga in på tjänster i mobiltelefoner och surfplattor. Dessa plattformar har som regel inte samma förutsättningar att hantera smarta kort och hanterar kryptografi på ett mycket mer varierande sätt än ex. Windows och Mac. Därav görs logiken för autentisering och underskrift om i grunden för att minska beroendet till vilket operativsystem och webbläsare som användaren har. Komponenterna som levereras En självservice med en utfärdandeprocess - Gör det möjligt för användaren att ladda ner en kvalitetssäkrad e-legitimation i form av certifikat till mobiltelefoner och surfplattor En webbservice (Net id Access Server) Förmedlar anrop till den bärare där användaren har sin e-legitimation. En användarapplikation (Net id Access Client) Installeras på hos användaren. När användaren öppnar applikationen meddelas Net id Access Server om att begäran kan skickas dit för att be användaren logga in. Net id Access Client kan installeras på surfplattor och mobiltelefoner och medger då att certifikat utfärdas och lagras i andra bärare än smarta kort. Det är just denna hantering som kallas Mobilt Efos. Net id Access Client ska också installeras på Windows och Mac, se mer under rubriken Ny metod för stark autentisering Ny metod för stark autentisering Mobilt Efos möjliggör, liksom smarta kort (SITHS-kort), stark autentisering. Dess komponenter kan också återanvändas som en ny metod för stark autentisering med smarta kort. Net id Access Client ska därför också installeras på datorer och på surfplattor/mobiltelefoner med skal som kan läsa smarta kort. Fördelarna är denna nya metod leder till ett minskat beroende till vilket operativsystem och vilken webbläsare som användaren nyttjar. Ineras långsiktiga plan är att så många som möjligt av dagens integrationer för autentisering och underskrift ska byggas om för att alltid använda denna nya metod. Säkerhetstjänster håller på att ta fram en plan för när den gamla metoden inte längre kommer stödjas. Sid 1/7

Förutsättningar För att en tjänst ska kunna erbjuda sina användare inloggning med Mobilt Efos och möjligheten att logga in med smarta kort med den nya tekniken krävs följande: Tjänsten måste anpassas till att följa referensarkitekturen för identitet och åtkomsthantering. Referensarkitekturen kräver att organisationen implementerar en Identifieringstjänst. Den Identifieringstjänst som tjänsten använder måste också vara anpassad till att kunna kommunicera med komponenten Net id Access Server. Användarna som ska kunna logga in med Mobilt Efos måste få denna typ av e- legitimation utfärdad Användarna måste installera applikationen Net id Access Client, versioner och instruktioner kommer att presenteras på sidorna under projektets webbplats Anslutning Ineras tjänster Ett arbete har redan påbörjats för att anpassa Ineras Identifieringstjänst (Säkerhetstjänsters autentiseringstjänst) till Net id Access Server för att tillämpa den nya metoden för stark autentisering. Därigenom är planen att alla tjänster kommer att kunna hantera inloggning både med Mobilt Efos och Efos e-legitimation på smarta kort enligt den nya metoden. Den gamla metoden med import av certifikat och Mutual TLS kommer att stödjas ytterligare en tid. Kunder och leverantörer Utredning pågår för att fastställa hur andra aktörers integration mot funktionaliteten hos Net id Access Server ska göras. Framförallt om integrationen ska göras direkt mot API:t för Net id Access Server eller om en mellanliggande komponent kommer användas. Mer information kommer Begränsningar Inloggning i Citrix, AD och vissa andra lösningar kommer att kräva den gamla metoden för autentisering ännu en tid. Därför bör alla användare också ha en installation av applikationen Net id Enterprise. Utfärdande av Mobilt Efos Mobilt Efos är benämningen på förmågan att lagra e-legitimationen i en app på en mobiltelefon eller surfplatta snarare än ett smart kort. Sid 2/7

Vid lanseringen av Efos kommer detta ske genom att: 1. Organisationen väljer att aktivera möjligheten för sina användare att hämta Mobilt Efos. Detta görs i Efosportalen med hjälp av Efos förvaltning. 2. Organisationen informerar och uppmanar användarna att hämta Mobilt Efos 3. Användaren i sin tur loggar in med sitt SITHS- eller Efos-kort i verktyget för hämtning av Mobilt Efos. Mer information kommer Observera, Inledningsvis kommer endast kort som har e-legitimationer som bedöms vara utfärdade i enlighet med tillitsnivå 3 tillåtas för hämtning av Mobilt Efos. Sammanfattningsvis kommer alltså inte SITHS-certifikat på reservkort, samordningskort, Skatteverkets id-kort eller Telias kort att tillåtas. Sid 3/7

Beskrivning av logiken vid autentisering Bild Jämförelse gamla och nya autentiseringsmetoden Gamla autentiserings- och underskriftsmetoden Traditionell inloggning med smarta kort har gjorts genom att webbaserade tjänster själva eller med hjälp av en IdP kommunicerar direkt via webbläsaren, till operativsystemet som tar hjälp av Net id för att integrera med det smarta kortet (SITHS-kortet). Sid 4/7

Detta har fungerat olika bra beroende på vilken webbläsare och operativsystem användaren nyttjat och har i princip inte fungerat på några mobiltelefoner och surfplattor med undantag för vissa surfplattor som kört Windows. För underskrifter har beroendet varit ännu större och sedan 2016 har det i princip bara fungerat att skapa underskrifter på Windows 7 eller senare och Internet Explorer 11 eller tidigare. Detta beroende på att webbläsarutvecklarna tagit bort stöd för de API:er (ActiveX och NPAPI) som Net id varit beroende av i sin plugin. Det förekommer också olika direktintegrationer mot de smarta korten och andra användningsfall där Net id plugin använts. Även dessa har sina utmaningar när det kommer till att förvalta integrationerna. Sid 5/7

Beskrivning av nya autentiserings- och underskriftsmetoden Logiken för den nya autentiserings- och underskriftsmetoden är mycket lik den som används inom Mobilt BankID och fungerar så att: 1. Användaren går till tjänsten där hen vill logga in. 2. Varje tjänst inom en organisation tar hjälp av en Identifieringstjänst (ex. en IdP som Säkerhetstjänster) för integrationen mot olika autentiseringsmetoder, i enlighet med referensarkitekturen för identitet och åtkomsthantering. 3. Vid Identifieringstjänsten får användaren välja hur hen vill logga in 4. Använda en Efos e-legitimation som finns på: 4.1. Samma bärare som hen vill nyttja Tjänsten via. 4.2. Detta val startar automatiskt applikationen Net id Access Client på samma bärare och användaren uppmanas att ange sin pin-kod för sin e-legitimation 5. På en annan bärare än den där användaren vill nyttja tjänstenanvändaren får då börja med att ange sitt person-id. Detta behövs för att Net id Access ska kunna leta efter den bärare användaren vill använda för att autentiseringen med sin Efos e-legitimation 5.2. När användaren har gjort sitt val tar Identifieringstjänsten kontakt med Net id Access Server 5.3. Net id Access server ligger sedan och väntar på att användaren ska starta Net id Access Client på någon bärare 6. När appen startar kontrolleras om en inloggningsbegäran för användaren finns i Net id Access Server 7. Om det finns en pågående begäran uppmanas användaren att ange sin pin-kod på den bärare där appen startas. 7.1. Om en användare har flera bärare med en egen e-legitimation kan bara den där appen först öppnas användas 8. Om rätt pin-kod anges utförs en kryptografisk beräkning som påvisar användarens identitet för Net id Access Server. 9. Net id Access Server återkopplar utfallet av autentiseringen eller underskriften och annan metadata till Identifieringstjänsten alt. Underskriftstjänsten 10. För autentisering utfärdar Identifieringstjänsten ett identitetsintyg som också kan förses med behörighetsstyrande information. 11. Identitetsintyget skickas tillbaka till tjänsten där användaren ville logga in. Tjänsten kan då ta ett beslut om huruvida användaren ska beviljas åtkomst eller inte. Sid 1/7

Flöde för nya autentiserings- och underskriftsmetoden Sid 1/7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss