Gå till innehåll

E-identitet för offentlig sektor - Efos

Inera och Försäkringskassan har sedan februari 2016 drivit ett samverkansprojekt kring tjänsten E-identitet för offentlig sektor, Efos, som ska ersätta både SITHS och Försäkringskassans MCA. Efos kommer att lanseras den 30 oktober 2018.

Observera att informationen på denna sida riktar sig till organisationer som är anslutna till SITHS. När det gäller organisationer som är anslutna till Försäkringskassans MCA och deras övergång till Efos, så kommer den informationen att finnas på Försäkringskassans webbplats.

Visa/Dölj mer information

Aktuellt i projektet

  • Aktuellt i projektet

    Projektet arbetar för närvarande med att kvalitetssäkra den nya Efos-lösningen samt förbereda lansering. En viktig del i arbetet är också att säkerställa att alla användare av SITHS förbereder sig för Efos. 

Det finns flera anledningar till att vi startat detta projekt. Först och främst går avtalet med nuvarande leverantör av identifieringstjänst ut, och vi har därför behövt upphandla en ny leverantör. Inom ramen för upphandlingsarbetet undersökte vi möjligheterna att bredda vårt samarbete med andra organisationer inom den offentliga sektorn vilket resulterat i ett samarbete om gemensam lösning för autentisering och korthantering med Försäkringskassan.

På denna sida har vi samlat information om övergången till Efos och hur det påverkar anslutna organisationer. Vi har också tagit fram ett planeringsunderlag som vi hoppas ska underlätta för din organisation att planera och genomföra förberedande åtgärder i god tid innan Efos lanseras den 30 Oktober 2018.

Viktigt att göra alla förberedelser i tid

Det är mycket viktigt att alla organisationer som idag är anslutna till SITHS tar del av denna information, samt planerar och genomför övergången till Efos. Konsekvensen blir annars att det inte går att logga in i tjänster som använder SITHS och Efos.

Visa/Dölj mer information

Beskrivning av projektet

  • Övergripande information

    Ett samarbete med Försäkringskassan visade sig då ha flera fördelar. Med ett gemensamt verktyg och arbetssätt för att utfärda e-legitimationer, konstaterade vi att vi på ett smartare sätt kunde utnyttja redan gjorda investeringar. Med ett gemensamt regelverk och en gemensam teknisk lösning (PKI) för identifiering, kan vi också på ett bättre sätt svara upp på samhällets föränderliga krav. Och kanske viktigast av allt – vi får förutsättningar att skapa en gemensam identifiering för hela den offentliga sektorn.

    Driften för identifieringstjänsten kommer, med anledning av samarbetet, att flyttas från befintlig leverantör till Försäkringskassan. Detta innebär inte bara att driften blir mer kostnadseffektiv, det innebär också att Inera får en bättre insyn och större inflytande över hur driften hanteras än idag. Vi kommer också att göra vårt yttersta för att befintliga investeringar i form av kort, historik och integrationer tas om hand så att inget går förlorat vid överflytten.

    Fram till att vi lanserar Efos kommer befintliga SITHS-kort och certifikat att fortsätta att fungera som vanligt. Inga redan utgivna SITHS-kort behöver bytas ut, utan de kommer att fortsätta fungera för inloggning under kortets och certifikatets hela giltighetstid (dock längst till och med 2022-05-08). Arbetet för SITHS-anslutna organisationer och RA, kommer att fortsätta som vanligt tills vi lanserar tjänsten, dock med vissa undantag. Till exempel kommer vi inte att erbjuda KRA-utbildning, utan det får varje RA-organisation hantera lokalt hos sig, med flera mindre förändringar.

    Fokus på arbetet framöver, parallellt med ordinarie verksamhet, kommer att vara att förstärka och utveckla samarbetet med Försäkringskassan. Det behövs för att snabbare nå vårt slutliga mål med ett gemensamt regelverk, gemensam teknisk lösning (PKI), och en gemensam drift.

    Ineras referensarkitektur ligger som grund

    E-identitet för offentlig sektor bygger på Ineras referensarkitektur för identitet och åtkomst. Det innebär att identifieringslösningen kan användas tillsammans med annan infrastruktur och lokala Identity providers (IdP:er), så länge den lokala lösningen följer referensarkitekturen. Läs mer om referensarkitekturen.

    Läs mer om Referensarkitekturen för identitet och åtkomst

Visa/Dölj mer information

Nyheter och skillnader mellan Efos och SITHS

  • Nyheter och skillnader

    Här kan du ta del av de viktigaste förändringarna mellan Efos och SITHS.

    Nytt administrationsverktyg

    Verktyget kommer att kunna användas för att utfärda certifikat inom alla organisationer inom den svenska offentliga sektorn och som har avtal med Inera och/eller Försäkringskassan om att använda tjänsten.

    I tabellen nedan kan du se likheter och skillnader verktyget kommer att ha jämfört med idag.

    Ny funktionalitet

    E-identitet för offentlig sektor
    - funktionalitet
    Identifieringstjänst SITHS
    - funktionalitet
    E-legitimationer/certifikat på smarta kort, mobila bärare, nya och kommande bärare E-legitimationer/certifikat på smarta kort
    Modernt användargränssnitt Gammalt användargränssnitt
    Möjlighet till mobil användning, autentisering och signering - utöver motsvarande funktionalitet med smarta kort. Endast autentisering och signering med smarta kort.
    Citrixstöd Ej Citrixstöd, utan extra supportavtal
    Supportavtal Supportavtal ingår ej, kostar extra

    Nya produkter

    E-identitet för offentlig sektor
    - produkter
    Identifieringstjänst SITHS
    - produkter
    Net iD Enterprise
    - Win/Linux/OSX
    Net iD Enterprise
    - Win/Linux
    Nytt administrationsverktyg Telias SITHS admin, Självadministration och Statistik & Loggar
    Net iD Access inklusive klient.
    - Win/iOS/Android/Linux/OSX
    Ingen Net iD Access
    Net iD Connect för Citrix Ingen Net iD Connect för Citrix, utan extra supportavtal
    Anpassningar och konsultstöd kan köpas till från SecMaker som en del av avtalet Anpassningar och konsultstöd har köpts till från olika aktörer oberoende av avtalet

     

    Ny PKI-struktur

    I samband med att vi lanserar E-identitet för offentlig sektor, kommer vi att få en ny PKI-struktur. Den är baserad på certifikatens olika syften och användningsområden, samt anpassad efter nya regelverk och krav.

    Den nya PKI-strukturen innebär också att vi får nya rotcertifikat och utfärdarcertifikat som samtliga RA-organisationer måste installera tillit till. Mer om detta kan du läsa nedan.

    Kundpåverkan i och med PKI-strukturen för E-identitet för offentlig sektor

    I detta dokument kan du läsa om den nya PKI-strukturen för E-identitet för offentlig sektor (Efos), samt vilka förändringar denna innebär. Du hittar också information om vad SITHS-anslutna organisationer måste göra inför bytet till ny PKI-struktur, samt vilken påverkan detta har på e-tjänster som använder sig av SITHS-certifikat idag och som vill använda Efos-certifikat för samma användningsområden. Rent generellt gäller dock att endast personer och funktioner/servrar som får sina e-legitimationer/certifikat efter det att Efos har gått i produktion kommer påverkas av om tjänster inte vidtagit åtgärder för att ta höjd för den nya PKI-strukturen.

    Sökvägar och Brandväggsöppningar

    Här kan du se vilka brandväggsöppningar som behövs för olika användningsområden inom E-identitet för offentlig sektor. Läs mer på denna sida under rubriken "Införandeguide för tekniskt ansvariga"

    Certifikat som man behöver installera tillit till

    Beroende på vilka användningsområden SITHS-certifikaten använts för idag, behöver olika kompletterande tillit installeras till rotcertifikat och utfärdare som används av Efos nya PKI-struktur. I detta dokument kan du läsa mer om detta, samt hitta länkar till dessa certifikat.

    Förändringar i certifikatsinnehåll och egenskaper

    Certifikaten som ges ut inom Efos kommer både att ha ett något annat innehåll och även lite andra kryptografiska egenskaper. Vår bedömning är att detta inte ska påverka några tjänster, men vi rekommenderar ändå alla att göra sin egen kontroll. I dokumentet via länken nedan finns en summering av de största förändringarna och även vidare länkar till de fullständiga specifikationerna.

    Bild över den nya PKI-strukturen och jämförelse med SITHS

    Här kan se en bild över hur PKI-strukturen för E-identitet för offentlig sektor är uppbyggd.

     

    Nyheter med korten

    I samband med att vi lanserar E-identitet för offentlig sektor kommer de nya smarta korten att förändras på tre övergripande plan, jämfört med de kort som finns inom SITHS idag.

    Ändringarna utförs för att få stöd för ny elektronisk teknik för kryptografi och inpassering. Vi får dessutom stöd för nyare och bättre visuella säkerhetsdetaljer. Det finns också ett beroende till att de elektroniska specifikationerna på SITHS-korten både är utdaterade och ägs av Telia. De varken kan eller borde flyttas med när avtalet med Telia för tjänsten SITHS avslutas.

    Förändringarna omfattar i huvudsak

    • Korten får nya kontaktchip – som omfattar annat innehåll och nya kortprofiler för integration
    • Korten baseras på kontaktlös teknik – som omfattar bakåtkompatibilitet och ny teknik
    • Korten får nya korttyper – med ny visuell design och säkerhetsdetaljer

    Mer information

     

  • Mobil E-identitet för offentlig sektor

    I och med lanseringen av E-identitet för offentlig sektor (Efos), kommer Inera att leverera komponenter som gör det möjligt för en användare att logga in i e-tjänster med mobiltelefoner och surfplattor.

    Dessa plattformar har som regel inte samma förutsättningar att hantera smarta kort och hanterar kryptografi på ett mycket mer varierande sätt än till exempel Windows och Mac. Därför görs logiken för autentisering och underskrift om i grunden, för att minska beroendet till vilket operativsystem och webbläsare som användaren har.

    Komponenter som ingår

    • En självservice med en utfärdandeprocess - Gör det möjligt för användaren att ladda ner en kvalitetssäkrad e-legitimation i form av certifikat till mobiltelefoner och surfplattor.

    • En webbservice (Net iD Access Server) – Förmedlar anrop till den bärare där användaren har sin e-legitimation.

    • En användarapplikation (Net iD Access Client) – Installeras på hos användaren. När användaren öppnar applikationen meddelas Net iD Access Server om att begäran kan skickas dit för att be användaren logga in.

    Mer information

    Mer information om den mobila lösningen kan du läsa i dokumentet via länken nedan.


    Begrepp

    När vi har lanserat E-identitet för offentlig sektor kommer vissa begrepp att ändras, jämfört med vad de kallades inom SITHS. Detta för att vi vill gör det tydligare vad begreppen betyder. I dokumentet nedan ser du alla begrepp, samt förklaringar på dessa.

     

    Regelverk

    Arbetet med att anpassa SITHS regelverk till E-identitet för offentlig sektor, Efos, pågår för fullt. Så snart de nya regelverken är uppdaterade kommer de att publiceras på denna sida.

    Uppbyggnaden av regelverken för Efos kommer i huvudsak att vara de samma som för SITHS, men med vissa mindre justeringar. Vi har bland annat bytt namn på några dokument för att göra syftet med dokumenten tydligare. Vissa delar i dokumenten är också förändrade på grund av andra förutsättningar för tjänsten.

    Översikt regelverk

    I tabellen nedan kan du se regelverken för E-identitet för offentlig sektor. Regelverken för Efos kommer att gälla från och med att tjänsten lanseras.

    RegelverkBeskrivningErsätter
    Efos Certificate Policy Certifikatpolicy som innehåller grundläggande regler för Efos. SITHS certificate Policy (CP)
    Efos rutiner Bilaga till Efos tillitsramverk som beskriver hur de elektroniska identiteterna skapas och administreras. SITHS rutiner för RA-personer, SITHS-kort och SITHS Funktionscertifikat
    Efos tillitsramverk Praktiskt orienterad beskrivning av regler som följer av Efos certifikatspolicy SITHS Registration Authority Policy (RAP)
    Efos tillitsdeklaration En beskrivning av att och hur utgivningsområdet uppfyller Efos tillitsramverk och rutiner för Efos. SITHS Registration Authority Practice Statement (RAPS)

Lanseringsplan Efos och avveckling SITHS

Övergången från SITHS till Efos kommer att ske den 30 oktober 2018. Vi har sedan projektstarten i februari 2016 arbetat med att etablera en ny lösning och förvaltningsorganisation tillsammans med Försäkringskassan. I arbetet har det ingått att kravställa och utveckla en gemensam infrastruktur och portal för att möta både Ineras och Försäkringskassans behov, och som fullt ut kan ersätta SITHS och MCA. Övergången från Försäkringskassans MCA till Efos kommer att ske något senare än övergången från SITHS till Efos, tidplan för detta är inte bestämt ännu.

Det är viktigt att övergången från SITHS till Efos går både snabbt och sker på ett säkert sätt. Under en period kommer SITHS och Efos vara i parallell drift för att underlätta övergången. Vid årsskiftet 2018/2019 kommer SITHS Admin att stängas ned, vilket innebär att det då inte längre kommer att vara möjligt att utfärda nya SITHS-kort.

I projektet ingår även lansering av Mobil E-identitet för offentlig sektor, Mobilt Efos,  som planeras att lanseras den 27 november 2018.

Förutsättningar för användning och införande

E-identitet för offentlig sektor, Efos ska ersätta Identifieringstjänst SITHS och Försäkringskassans MCA när tjänsten lanseras. Efos har samma beroende till andra tjänster inom nationell e-hälsa som SITHS har. Efos har beroenden till Katalogtjänst HSA och Sjunet.

Projektets påverkan

Alla organisationer som använder SITHS behöver säkerställa att även Efos kommer att fungera mot anslutna system och tjänster. Detta innebär både att planera för övergången till Efos, samt att verifiera att befintliga lösningar som idag använder SITHS även fungerar med Efos.

Vad behöver kunden göra?

Omfattningen av åtgärder som krävs för att Efos ska fungera varierar beroende på hur stor en organisation är samt hur SITHS används idag. Information om vilka förberedelser som ska göras finns sammanställt i guider nedan.

Visa/Dölj mer information

Införandeguide för ansvariga utgivare

  • Införandeguide för ansvarig utgivare

    Alla organisationer som använder SITHS behöver planera och genomföra den lokala övergången till Efos på ett kontrollerat sätt. Detta innebär att allt ska vara vara klart till lanseringen den 30 oktober 2018, då ska ni också ha verifierat att alla befintliga lösningar som idag använder SITHS även fungerar med Efos.

    För att ni ska kunna utföra detta arbete har Inera tagit fram en planeringsguide för ansvariga utgivare som ger stöd att planera den lokala övergången till Efos.
    Omfattningen på genomförande av de åtgärder som krävs för att Efos ska fungera full ut varierar beroende på organisationens storlek och hur SITHS används idag.

    Det är mycket viktigt att i god tid gå igenom detta material samt planera de åtgärder som ska genomföras i samband med övergången. All information om dessa åtgärder finns sammanställt nedan.

    Mer information

    Visa/Dölj mer information

    Instruktion - Hantering av felaktigt formaterade UPN

    • Viktigt att ändra felaktigt utformade domäninloggningsnamn i HSA snarast möjligt

      Vi har upptäckt att många organisationer inte har använt standardiserat format för domäninloggningsnamn (UPN, userPrincipalNamn) i personposterna i HSA. Det är viktigt att ni kontrollerar och korrigerar eventuella felaktigheter snarast möjligt, så att inte nya SITHS- eller Efos-certifikat får certifikat utfärdade med ett felaktigt utformat UPN. Efos- och SITHS- certifikat med felaktigt utformat UPN kommer inte kunna användas i flera tjänster, bland annat i den kommande Efos-portalen som lanseras den 30 oktober 2018.

      De domäninloggningsnamn som ska finnas i certifikatet på Efos- eller SITHS-kort måste följa den standard (syntax) som gäller för epost-adresser, ref RFC822 (se t.ex https://msdn.microsoft.com/en-us/library/ms677605(v=vs.85).aspx).

      Domäninloggningsnamn hämtas till Efos- eller SITHS-certifikatet från HSA. Det är alltså HSA-ansvariga och HSA-administratörer som kan se till att korrigera UPN när det behövs.

      Detta händer om ni har fel utformat domäninloggningsnamn

      Ett Efos-certifikat som utfärdas från en personpost i HSA med felaktigt utformat UPN kommer exempelvis inte att kunna användas:

      • för inloggning i Efos-portalen (berör all RA-personal)
      • för inloggning i Efos Självservice (berör alla som behöver få ett förnyat certifikat, beställa ett mjukt certifikat, eller när ett tillfälligt certifikat ska laddas på ett tillfälligt kort).
      • när Efos-kort ska användas för inloggning till Windows eller för uppkoppling till en Windowsdesktop, t.ex. i Citrix-lösningar eller VMWare. (för att ett felaktigt UPN ska kunna användas måste särskild mappning konfigureras i AD och klienternas register ändras)
      • för andra tjänster där mappning sker baserat på UPN mellan klient och bakomliggande AD.

      Observera att kravet på ett korrekt angivet UPN också gäller de som har SITHS-kort som är giltiga efter lanseringen av Efos (krav till exempel vid inloggning i Efos Självservice).

      Så här söker du efter felaktiga UPN

      För att få fram vilka domäninloggningsnamn (UPN) som är felaktigt angivna kan HSA-ansvarig eller annan huvudadministratör i organisationen göra en syntaxkontroll i HSA-portalens kontrollkörningar. Du går in under fliken ”Värdemängder/syntaxkontroll” och kryssar i rutan för syntaxkontroll. För de organisationer som har förenklad anslutning, det vill säga administrerar via det nationella gränssnittet HSA Admin, ändrar du domäninloggningsnamn (UPN) på fliken Person när du valt att ändra uppgifter om en person i HSA Admin.

Visa/Dölj mer information

Införandeguide för tekniskt ansvariga

Frågor och svar

Här kommer vi successivt att fylla på med vanliga frågor och svar vi får om övergången till Efos.

Visa/Dölj mer information

Vad händer med de gamla SITHS-korten?

  • Svar:

    Alla utgivna SITHS-kort kommer att fungera för inloggning och signering under sin giltighetstid. Observera att det kan stå ett annat giltighetsdatum på själva platskortet, än vad som gäller för SITHS-certifikatet. 

    Man kommer att kunna avregistrera ett SITHS-certifikat och SITHS-kort i det nya administrationsverktyget, Efos-portalen. Om något blir fel på SITHS-kortet, eller om SITHS-certifikat behöver bytas ut eller läggas till, måste man utfärda ett nytt kort via E-identitet för offentlig sektor. Det kommer alltså inte gå att utfärda certifikat till befintliga gamla SITHS-kort i det nya administrationsverktyget, bara att avregistrera. Det kommer heller inte att gå att reklamera gamla SITHS-kort.

    Data kring utfärdade SITHS-kort och certifikat kommer att migreras över till det nya administrationsverktyget. Det innebär, att händelser för SITHS-kort och certifikat kommer att kunna visas i det nya verktyget.


    Så kommer SITHS-korten att fungera:

    • Redan utgivna SITHS-certifikat kommer fortsätta att fungera för legitimering och underskrift under sin giltighetstid.
    • SITHS-kort som är aktiverade fortsätter att fungera, men det går inte att ändra något med korten.
    • SITHS-kort går att avregistrera i det nya administrationsverktyget.


    Observera! För att SITHS-kort ska fungera hela sin giltighetstid måste tjänster som använder SITHS-kort för att identifiera användare, justera sina brandväggsöppningar.

Visa/Dölj mer information

Vad händer med SITHS Funktionscertifikat?

  • Svar:

    Alla utgivna SITHS Funktionscertifikat kommer att fungera för kryptering och överföring av information vid system-till-system kommunikation under hela sin giltighetstid. Det går också att spärra SITHS Funktionscertifikat i det nya administrationsverktyget.

    SITHS Funktionscertifikat används bland annat för kommunikation med Nationella tjänsteplattformen (ex. för Nationell patientöversikt , NPÖ, och Tillgänglig patient, TGP, Säkerhetstjänster och HSA Webservice

    Det kommer inte gå att utfärda några nya SITHS Funktionscertifikat utan då måste Efos Funktionscertifikat utfärdas istället. Se därför till att:

    • Planera utbytet i god tid. Detta för att ha tid att säkerställa att de tjänster ni kommunicerar med har installerat kompletterande stöd för Efos Funktionscertifikat.
    • Byta till nya Efos Funktionscertifikat i god tid innan giltighetstiden för SITHS-certifikatet går ut. Detta för att ha möjlighet att gå tillbaka till att använda SITHS-certifikat om det visar sig att Efos-certifikatet inte fungerar av någon anledning.
    • Domänvalideringen måste förnyas i samband med att nytt funktionscertifikat utfärdas i Efos. Mer information kommer om detta,

    Historisk information kring utfärdade SITHS Funktionscertifikat kommer att migreras över till det nya administrationsverktyget. Det innebär, att händelser för SITHS Funktionscertifikat kommer att kunna visas i det nya verktyget.

    Observera! För att SITHS Funktionscertifikat ska fungera hela sin giltighetstid måste tjänster som använder SITHS Funktionscertifikat för att identifiera och kryptera information för överföring vid system-till-system kommunikation, justera sina brandväggsöppningar.

Efosanpassade Inera-tjänster

Via länken nedan kan du se en förteckning över Ineras tjänster som behöver anpassas till Efos, samt tidplaner för detta arbete.

Information och tidplaner för e-tjänster som ska anpassas till Efos

Efos-dag den 26 september

Den 26 september 2018 planerar vi att ha en Efos-dag. Planera göra in detta datum redan nu. Mer information kommer att publiceras här senare.

Kontaktinformation

Kontakta Kundservice om du har frågor eller behöver hjälp med övergången till Efos. Se kontaktuppgifter här

Klicka för att öppna fönster för kundservice Kontakta oss

Kontakta oss

Här hittar du kontaktuppgifter till Kundservice där du kan felanmäla en tjänst, få användarstöd eller beställa en tjänst.

Telefon

Kundservice, felanmälan och support