Teknisk anslutning eID Vägledning
Ändringshistorik
| Datum | Version | Kommentar |
|---|---|---|
| 2018-11-19 | 4.0 | Omgjord för webb |
| 2019-06-24 | 4.1 | Pekat om en länk |
| 2019-11-06 | 4.2 | Uppdatering |
1 Inledning
I detta dokument beskrivs uppgifter för teknik och kommunikationssätt som behövs för anslutningsarbetet till eID-tjänsten. Uppgifter Kunden behöver från CGI återfinns i detta dokument. Senaste versionen av detta dokument finns alltid på https://doc.funktionstjanster.se/. Använd alltid senaste versionen för rätt uppgifter.
2 Anslutning mot eID-tjänsten
2.1 API
2.1.1 ServiceID
För att ansluta till tjänsten via API:et GRP eller API:et OSIF måste Kunden ha ett så kallat ServiceID(policy), vilket fås av CGI. ServiceID:et kan ses som ett lösenord till tjänsten och det är unikt för varje kund.
Kundens ServiceID till produktion bör hållas konfidentiellt och hemligt. Kunden kan efter överenskommelse erhålla olika ServiceID om man från olika system vill använda sig av olika säkerhetsregler eller regler kring vilka certifikat som skall godkännas.
2.1.2 Kommunikationssätt
Kommunikation mellan Kunden och eID-tjänsten (produktion) sker med server side SSL.
Kundens system initierar alltid kommunikationen, så öppning i er brandvägg sker för utgående trafik mot CGI:s IP-adresser.
Sen december 2021 så använder vi vanliga SSL-certifikat utfärdade av globalt betrodda utfördare så ingen installation av root-certifikat.
2.1.3 GRP och OSIF
2.1.3.1 Testmiljö
Mot testmiljön fungerar enbart valfritt ServiceID (i serie logtest001 – logtest020) och test e-legitimationer/test BankID.
Om behov av eget ServiceID finns för testmiljö kan det erhållas genom att maila funktionstjanster@cgi.com.
eID-tjänstens testmiljö är öppen för alla IP-adresser. Vi behöver således inga uppgifter från era testsystem.
Uppgifter om eID-tjänstens testmiljö återfinns i nedanstående tabell.
| DNS: | eidt.funktionstjanster.se grpt.funktionstjanster.se |
|---|---|
| IP-adress: | 159.72.136.9 |
| Port (SSL): | 443 (eller 18898) |
Testmiljö för GRP2.1
https://eidt.funktionstjanster.se/grp/v2.1
https://grpt.funktionstjanster.se/grp/v2.1
Testmiljö för OSIF
https://eidt.funktionstjanster.se/osif https://grpt.funktionstjanster.se/osif
2.1.3.2 Produktionsmiljö
Mot produktionsmiljön fungerar enbart det ServiceID som Kunden fått av CGI för produktion. Det finns en primär och en sekundär miljö placerad i olika delar av landet. Om Kunden har möjlighet att konfigurera båda är det tillåtet; både som ”round robin” eller aktiv/standby.
Uppgifter om eID-tjänstens primära och sekundära produktionsmiljö visas i tabellen nedan.
| Datornamn, identitet: | eID produktion – primär |
|---|---|
| DNS: | grp.funktionstjanster.se |
| IP-adress (SSL): | 159.72.136.10 |
| Port (SSL): | 443 (eller 8890) |
| Datornamn, identitet: | eID produktion - sekundär |
|---|---|
| DNS: | eid.funktionstjanster.se |
| IP-adress (SSL): | 217.150.168.177 |
| Port (SSL): | 443 (eller 8890) |
Vid eventuellt långvarigt stopp kan CGI styra om DNS mellan primär/sekundär.
Testa kommunikationen genom att öppna https://eid.funktionstjanster.se/grp/v2.1 och https://grp.funktionstjanster.se/grp/v2.1 från en webbläsare på servern. Ni skall få upp en Web Services-sida.
GRP (BankID, Freja eID+)
https://grp.funktionstjanster.se/grp/v2.1
och/eller
https://eid.funktionstjanster.se/grp/v2.1
OSIF (Telia, SITHS, Övriga)
och/eller
https://eid.funktionstjanster.se/osif/
2.1.3.3 Kundmiljö
Här beskrivs uppgifter som behövs från Kundens miljö om det är så att anrop skall ske till eID-tjänsten via OSIF API eller GRP API. Kundens test- och produktionsmaskiner måste kunna kommunicera med eID-tjänstens maskiner. Detta kan påverka Kundens test- och utvecklingsmiljö som idag kanske inte kan kommunicera ut externt. Ofta behöver brandväggar öppnas hos Kunden. Kunden kontaktar sin kommunikationsresurs (ansvarig för brandvägg) för att eventuellt lösa detta.
Kund som utvecklar egna system ansvarar själv för att ansluta både testsystem och produktionssystem. Kund som använder anslutning via färdiga och certifierade produkter/tjänster (Exempel på produkter är MobilityGuard, PortWise, NordicEdge, IST, med fler) behöver ej ansluta till testmiljö.
Mot testmiljö (OSIF och GRP) görs ingen kontroll på avsändande IP-adress men i produktion måste CGI öppna upp i brandväggen för era avsändande IP-adresser. Glöm ej bort att ange IP-adresser för eventuella reservsystem. Om maskinerna ligger på containrar och/eller i en molnlösning bör man se till att begära öppning för alla IP-adresser som maskinerna kan tilldelas. Detta för att de kan få nya IP-adresser som vi ej har vitlistat.
2.2 SAML 2.0
2.2.1 Test- och utvecklingsmiljö
När SAML2 används går all kommunikation via slutanvändarens webbläsare. Detta innebär att öppnande av brandväggar etc. inte är nödvändigt om man inte hämtar dynamiskt metadata.
Metadata IdP återfinns i ”Beskrivning IdP-anslutning med SAML2”
I IdP test accepteras SAML request från alla adresser. Inloggningssidan i testmiljön är ej kundanpassad utan har ett generellt GUI.
2.2.2 Produktionsmiljö
I IdP produktion måste varje saml:Issuer vara konfigurerad och ”godkänd” av CGI.
Se Bilaga ”Beskrivning IdP-anslutning med SAML2” för specifik dokumentation om IdP-anslutning via SAML2.
Metadata IdP återfinns i ”Beskrivning IdP-anslutning med SAML2”
2.2.3 Kundmiljö
Här beskrivs uppgifter som behövs från Kundens miljö om anrop skall ske till eID-tjänsten via SAML.
Assertion Consumer URL: En URL som matchas mot strängen i Assertion Consumer URL-taggen i SAML-requesten.
saml:Issuer: Avsändarens EntityID, om Kunden vill använda olika ”förlitande parter” från samma Assertion Consumer så kan olika saml:Issuer användas. Behövs även för att uppnå full SLO-funktionalitet.
Login Page URL: En länk till Kundens inloggningssida. Denna används om slutanvändaren gjort ett bokmärke på IdP eller om slutanvändarens session gjort timeout. Då styrs slutanvändaren till adressen för Login Page URL.
Forced Authentication: Med detta aktiverat tas inte hänsyn till om slutanvändaren har någon aktiv session hos eID-tjänsten utan tvingas göra en aktiv inloggning.
SLO-grupper: För varje SP går det att definiera vilka andras SP:s sessioner som ska vara giltiga för inloggning. På detta sätt går det att skapa single-sign-on grupper.
2.2.4 Kundanpassade inloggningssidor
I eID-tjänsten ingår en standardiserad inloggningssida för Kunden. Om Kunden önskar har CGI även GUI konsulter som kan hjälpa till att ta fram anpassade inloggningssidor enligt Kundens grafiska profil och önskemål. Kontakta funktionstjanster@cgi.com om ni önskar detta. En logo som kund bifogar i png format kan visas överst utan anpassat GUI.
2.3 BankID
Varje kund behöver ett eget displayName för BankID. Ett displayName är den text som visas upp i BankID Säkerhetsprogram:
Jag legitimerar mig mot ”displayName”.
Texten för Kundens displayName bör vara under 40 tecken. Kunden kan beställa flera olika displayName.
Ett displayName måste beställas för att kunna använda BankID eller Mobilt BankID.
Ett displayName är normalt firmanamnet och skall spegla den part slutanvändaren loggar in mot eller signerar mot. Beställning av displayName görs via CGI och tar normalt ca 1-2 veckor. Varje displayName måste godkännas av BankID.
2.4 Telia
Ingen övrig information behövs.
2.5 SITHS
Ingen övrig information behövs.
2.6 Freja eID+
För en anslutning till Freja eID+ krävs ett tilläggsavtal mellan kunden och CGI samt ett Förlitande parts-avtal mellan kunden och Verisec Freja eID AB (CGI har fullmakt att ingå detta avtal).
Denna tekniska bilaga behöver kompletteras med information från kunden som behövs för att registeras som förlitande part hos Freja eID+.
CGI tillhandahåller två varianter av anslutning mot Freja eID+ vilka beskrivs nedan. Dessa kan med fördel kombineras för att ge en komplett lösning.
2.6.1 Freja eID+ via GRP2
Freja eID+ via GRP2 är för de kunder som idag använder GRP för att nå e-legitimationer från BankID. För att kunna nyttja Freja eID+ krävs att protokollet uppdateras till version 2 eller senare.
2.6.2 Freja eID+ via SAML2.0
Freja eID+ via SAML2.0 är för de som använder SAML2.0-protokollet idag och vill lägga till alternativet Freja eID+ som ett valbart alternativ i listan på e-legitimationer. Används vårt standard GUI så kommer alternativet automatiskt att läggas till. För de som har en egen grafisk profil eller anropar metoderna direkt kan ytterligare åtgärder krävas.
2.7 Sweden Connect (eIDAS)
För en anslutning till Sweden Connect krävs att ett avtal tecknas mellan kunden och den svenska myndighet som ansvarar för Sweden Connect. Vid avtalets skrivande är detta e-Legitimationsnämnden eller Myndigheten för digital förvaltning (DIGG). I det avtalet anger kunden att CGI kommer att vara underleverantör för att hantera anslutningen.
I avtalet med den myndighet som ansvarar för Sweden Connect finns det är en del uppgifter som ska fyllas i av kunden och som behöver tillhandahållas av CGI. Information om vilka uppgifter det berör finns i den tekniska bilagan som följer med avtalet med CGI.
CGI tillhandahåller två varianter av anslutning mot Sweden Connect vilka beskrivs nedan. Dessa kan med fördel kombineras för att ge en komplett lösning.
2.7.1 Sweden Connect – Proxy
I proxyanslutningen mot Sweden Connect används CGI:s tjänst som en proxy. Vi hanterar omstyrning av trafiken till Sweden Connect och tillhandahåller metadata för kundens registrering i Aktörsregistret. Efter autentisering får kunden en SAML-biljett för den aktuella EU-identiteten.
2.7.2 Sweden Connect – Väntrum
Väntrumsanslutningen fungerar nästan lika som proxyanslutningen. Skillnaden är att användaren hamnar i ett väntrum istället för att skickas vidare till kunden. Väntrummet kan anpassas enl. kundens önskemål.
Vi kan även kombinera väntrummet med proxyanslutningen så att användare som saknar ex. person-/samordningsnummer hamnar i väntrummet medan övriga användare hanteras på samma sätt som i proxyanslutningen.
2.8 Egen CA – NetID Access
Kunder som har NetID Access för eget utfärdande av tjänstelegitimationer kan nyttja vår IDP för att verifiera dessa.
2.9 Egen CA – Egen IdP
Vi har även möjlighet att hjälpa kunder med egen CA eller en CA utöver de som finns med ovan. Vi kan också agera proxy-IdP mot andra IdP:er.
3 Systemets öppethållande
3.1 Test- och utvecklingssystem
eID-tjänstens testsystem är normalt tillgängligt dygnet runt.
Volym- eller prestandatester mot testsystemet får ej utföras utan att först kontakta CGI på funktionstjanster@cgi.com för att komma överrens om lämplig tidpunkt.
Förändringar och stopp i testmiljöer aviseras enbart som Nyhet i eID-portalen.
3.2 Produktionssystem
I produktion är eID-tjänsten tillgänglig dygnet runt. Eventuella servicefönster meddelas i förväg.
3.3 Servicefönster
Under varje år kommer ett visst antal servicehelger att genomföras vilket kan påverka driften av eID-tjänsten. För aktuella datum och tider, säkerställ att ni anmält mailutskick vid publicering av Nyheter. Anmälning för mailutskick sker via funktionstjanster@cgi.com.
4 Beställning
För beställning kontakta eservices@cgi.com