Mobilt Efos och ny metod för stark autentisering

Relevanta dokument
Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Checklista för tekniskt ansvarig

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

EFOS-dagen, Lanseringsplan. 26 September 2018

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Kontaktchip - annat innehåll och nya kortprofiler för integration

Manual - Inloggning. Svevac

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

PhenixID & Inera referensarkitektur. Product Manager

Användarguide för anslutning till MCSS

Teknisk Anslutningsguide Efos Server

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Termer och begrepp. Identifieringstjänst SITHS

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Termer och begrepp. Identifieringstjänst SITHS

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Extern åtkomst till Sociala system

Användarhandbok för Windows v6

Testa ditt SITHS-kort

Innehåll Net ID installation... 2 Instruktion för nedladdning av HCC... 7 Låsa upp kort med hjälp av PUK-koden Byt säkerhetskod...

Användarguide för anslutning till Treserva och TES Användarguide för anslutning till Treserva och TES

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Manual inloggning Svevac

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Manual - Inloggning. Svevac

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Manual - Inloggning. Svevac

Vägledning för implementering av AD-inloggning med SITHS-kort

Köra programportalen med Windows 8

Portförändringar. Säkerhetstjänster 2.1 och framåt

Net id OEM Användarhandbok för Windows

SeniorNet Huddinge Öppet Hus

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Elevlegitimation ett konkret initiativ.

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Infrastruktur med möjligheter

Komma igång med Qlikview

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Systemkrav. Åtkomst till Pascal

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Krav på säker autentisering över öppna nät

Användarhandbok för Linux

Anvä ndärmänuäl PortWise fo r leveränto ren

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

Bilaga 2 utdrag urinförandehandbok

Introduktion till SAML federation

Portalinloggning SITHS HCC och Lösenordsbyte manual

Instruktion för åtkomst till Nyps via LstNet

Identitet, kontroll & spårbarhet

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3

Installationsanvisningar. till IST Analys

Guide för kunder med Nordea e-legitimation

ehälsomyndighetens nya säkerhetskrav

eid Support Version

ANVÄNDARMANUAL ANSLUTA TILL REGION HALLAND VIA CITRIX

Referensarkitekturen för Identitet och Åtkomst och hur det fungerar i praktiken. Per Mützell, Inera Tomas Fransson, Inera

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

Handbok för användare. HCC Administration

Avtal om Kundens användning av E-identitet för offentlig sektor

Oanade möjligheter. Oanade möjligheter är ett initiativ skapat av Sparbankernas Riksförbund och Svenska Bankföreningen

Svensk e-legitimation

Release notes. Webcert 6.1

Administrativ manual RiksSvikt 3.7.0

Bilagan innehåller beskrivning av de åtaganden rörande IT som gäller för

Hur du genomför ett videomöte

3 Hur förbereder jag mig inför krav på kortinlogg?

Instruktion för Handelsbankens kortläsare

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Juniper Unified Network Service för tjänsten SDC Web-Access. Installationsanvisning v 2.0.2

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

Användarmanual Administratör

Konfigurering av inloggning via Active Directory

Användarmanual Portwise

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Avtal om Kundens användning av Identifieringstjänst SITHS

Introduktion. September 2018

Manual för nedladdning av certifikat till reservkort

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3

SITHS i ett mobilt arbetssätt Region Östergötland. Region Östergötland 1

Installationsguide fo r CRM-certifikat

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Lathund för BankID säkerhetsprogram

Innehåll. Dokumentet gäller från och med version

Bilaga Funktionshyra Vårdval Gynekologi sida 1 (5) FUNKTIONSHYRA. Vårdval Gynekologi

SDC Web-Access. Installationsanvisning v 2.0.2

Kom igång med Windows Phone

Biometria Violweb. Installation kundportalaccess - för IT-administratörer. Mars 2019

Statistiska centralbyrån

Systemkrav och rekommendationer. Åtkomst till Pascal

Transkript:

Mobilt Efos och ny metod för stark autentisering I och med lanseringen av E-identitet för offentlig sektor, Efos, kommer Inera att leverera komponenter som möjliggör att en användare ska kunna logga in på tjänster i mobiltelefoner och surfplattor. Dessa plattformar har som regel inte samma förutsättningar att hantera smarta kort och hanterar kryptografi på ett mycket mer varierande sätt än ex. Windows och Mac. Därav görs logiken för autentisering och underskrift om i grunden för att minska beroendet till vilket operativsystem och webbläsare som användaren har. Komponenterna som levereras En självservice med en utfärdandeprocess - Gör det möjligt för användaren att ladda ner en kvalitetssäkrad e-legitimation i form av certifikat till mobiltelefoner och surfplattor En webbservice (Net id Access Server) Förmedlar anrop till den bärare där användaren har sin e-legitimation. En användarapplikation (Net id Access Client) Installeras på hos användaren. När användaren öppnar applikationen meddelas Net id Access Server om att begäran kan skickas dit för att be användaren logga in. Net id Access Client kan installeras på surfplattor och mobiltelefoner och medger då att certifikat utfärdas och lagras i andra bärare än smarta kort. Det är just denna hantering som kallas Mobilt Efos. Net id Access Client ska också installeras på Windows och Mac, se mer under rubriken Ny metod för stark autentisering Ny metod för stark autentisering Mobilt Efos möjliggör, liksom smarta kort (SITHS-kort), stark autentisering. Dess komponenter kan också återanvändas som en ny metod för stark autentisering med smarta kort. Net id Access Client ska därför också installeras på datorer och på surfplattor/mobiltelefoner med skal som kan läsa smarta kort. Fördelarna är denna nya metod leder till ett minskat beroende till vilket operativsystem och vilken webbläsare som användaren nyttjar. Ineras långsiktiga plan är att så många som möjligt av dagens integrationer för autentisering och underskrift ska byggas om för att alltid använda denna nya metod. Säkerhetstjänster håller på att ta fram en plan för när den gamla metoden inte längre kommer stödjas. Sid 1/7

Förutsättningar För att en tjänst ska kunna erbjuda sina användare inloggning med Mobilt Efos och möjligheten att logga in med smarta kort med den nya tekniken krävs följande: Tjänsten måste anpassas till att följa referensarkitekturen för identitet och åtkomsthantering. Referensarkitekturen kräver att organisationen implementerar en Identifieringstjänst. Den Identifieringstjänst som tjänsten använder måste också vara anpassad till att kunna kommunicera med komponenten Net id Access Server. Användarna som ska kunna logga in med Mobilt Efos måste få denna typ av e- legitimation utfärdad Användarna måste installera applikationen Net id Access Client, versioner och instruktioner kommer att presenteras på sidorna under projektets webbplats Anslutning Ineras tjänster Ett arbete har redan påbörjats för att anpassa Ineras Identifieringstjänst (Säkerhetstjänsters autentiseringstjänst) till Net id Access Server för att tillämpa den nya metoden för stark autentisering. Några nationella tjänster kommer gå igång i pilot i produktion under början av 2018. Planen är att alla tjänster successivt kommer att kunna hantera inloggning både med Mobilt Efos och Efos e-legitimation på smarta kort enligt den nya metoden. Den gamla metoden med import av certifikat och Mutual TLS kommer dock att stödjas ytterligare en tid. Kunder och leverantörer Andra aktörer (landsting/kommuner/myndigheter/leverantörer) kommer erbjudas möjlighet att integrera mot funktionaliteten hos Net id Access Server. OBS! Anslutning av andra aktörer kommer inte att påbörjas förrän efter sommaren 2018 då alla måste fokusera på att lyckas med övergången från SITHS till Efos först. Vissa landsting/kommuner/leverantörer håller på att testa integrationer redan nu i begränsad form med hjälp av SecMaker. När anslutningar kommer påbörjas kommer det finnas krav på att: Aktören följer referensarkitekturen för identitet och åtkomst Går igenom en anslutningsprocess för att få identifieringstjänsten godkänd och uppkopplad mot Net id Access. Mer information kommer Sid 2/7

Begränsningar Inloggning i Citrix, AD och vissa andra lösningar kommer att kräva den gamla metoden för autentisering ännu en tid. Därför bör alla användare också ha en installation av applikationen Net id Enterprise. Utfärdande av Mobilt Efos Mobilt Efos är benämningen på förmågan att lagra e-legitimationen i en app på en mobiltelefon eller surfplatta snarare än ett smart kort. Vid lanseringen av Efos kommer utfärdande i grova drag fungera enligt: 1. Organisationen väljer att aktivera möjligheten för sina användare att hämta Mobilt Efos. Detta görs i Efosportalen med hjälp av Efos förvaltning. 2. Organisationen informerar och uppmanar användarna att hämta Mobilt Efos enligt instruktion. Mer information kommer 3. Användaren i sin tur loggar in med sitt SITHS- eller Efos-kort och hämtar själv ner sitt Mobilt Efos. Observera, Inledningsvis kommer endast kort som har e-legitimationer som bedöms vara utfärdade i enlighet med tillitsnivå 3 tillåtas för hämtning av Mobilt Efos. Sammanfattningsvis kommer alltså inte SITHS-certifikat på reservkort, samordningskort, Skatteverkets id-kort eller Telias kort att tillåtas. Sid 3/7

Beskrivning av logiken vid autentisering Bild Jämförelse gamla och nya autentiseringsmetoden Gamla autentiserings- och underskriftsmetoden Traditionell inloggning med smarta kort har gjorts genom att webbaserade tjänster själva eller med hjälp av en IdP kommunicerar direkt via webbläsaren, till operativsystemet som tar hjälp av Net id för att integrera med det smarta kortet (SITHS-kortet). Sid 4/7

Detta har fungerat olika bra beroende på vilken webbläsare och operativsystem användaren nyttjat och har i princip inte fungerat på några mobiltelefoner och surfplattor med undantag för vissa surfplattor som kört Windows. För underskrifter har beroendet varit ännu större och sedan 2016 har det i princip bara fungerat att skapa underskrifter på Windows 7 eller senare och Internet Explorer 11 eller tidigare. Detta beroende på att webbläsarutvecklarna tagit bort stöd för de API:er (ActiveX och NPAPI) som Net id varit beroende av i sin plugin. Det förekommer också olika direktintegrationer mot de smarta korten och andra användningsfall där Net id plugin använts. Även dessa har sina utmaningar när det kommer till att förvalta integrationerna. Sid 5/7

Beskrivning av nya autentiserings- och underskriftsmetoden Logiken för den nya autentiserings- och underskriftsmetoden är mycket lik den som används inom Mobilt BankID och fungerar så att: 1. Användaren går till tjänsten där hen vill logga in. 2. Varje tjänst inom en organisation tar hjälp av en Identifieringstjänst (ex. en IdP som Säkerhetstjänster) för integrationen mot olika autentiseringsmetoder, i enlighet med referensarkitekturen för identitet och åtkomsthantering. 3. Vid Identifieringstjänsten får användaren välja hur hen vill logga in 4. Använda en Efos e-legitimation som finns på: 4.1. Samma bärare som hen vill nyttja Tjänsten via. 4.2. Detta val startar automatiskt applikationen Net id Access Client på samma bärare och användaren uppmanas att ange sin pin-kod för sin e-legitimation 5. På en annan bärare än den där användaren vill nyttja tjänstenanvändaren får då börja med att ange sitt person-id. Detta behövs för att Net id Access ska kunna leta efter den bärare användaren vill använda för att autentiseringen med sin Efos e-legitimation 5.2. När användaren har gjort sitt val tar Identifieringstjänsten kontakt med Net id Access Server 5.3. Net id Access server ligger sedan och väntar på att användaren ska starta Net id Access Client på någon bärare 6. När appen startar kontrolleras om en inloggningsbegäran för användaren finns i Net id Access Server 7. Om det finns en pågående begäran uppmanas användaren att ange sin pin-kod på den bärare där appen startas. 7.1. Om en användare har flera bärare med en egen e-legitimation kan bara den där appen först öppnas användas 8. Om rätt pin-kod anges utförs en kryptografisk beräkning som påvisar användarens identitet för Net id Access Server. 9. Net id Access Server återkopplar utfallet av autentiseringen eller underskriften och annan metadata till Identifieringstjänsten alt. Underskriftstjänsten 10. För autentisering utfärdar Identifieringstjänsten ett identitetsintyg som också kan förses med behörighetsstyrande information. 11. Identitetsintyget skickas tillbaka till tjänsten där användaren ville logga in. Tjänsten kan då ta ett beslut om huruvida användaren ska beviljas åtkomst eller inte. Sid 1/7

Flöde för nya autentiserings- och underskriftsmetoden Sid 1/7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss