FAQ
Vad krävs för att komma igång?
- För användartjänsten räcker det med att det går att logga in till tjänsten om IdPn uppfyller kraven som tjänsterna ställer.
- För infrastrukturstjänsten - dvs om man vill köra en egen instans av edusign - behöver en hel del tekniska förberedelser göras. Se dokumentationen nedan.
Hur fungerar detta?
- Tjänsten består av två delar:
- dels en e-tjänst (edusign.sunet.se) där användaren kan logga in, ladda upp ett dokument, få det signerat och ladda ner det signerade dokumentet.
- dels en infrastrukturtjänst (signservice.edusign.sunet.se) som hanterar själva signeringen.
- edusign.sunet.se "kan" PDF och XML och i framtiden evt andra dokumentformat
- signservice.edusign.sunet.se "kan" bara signera digitala objekt och har ingen information om det som signeras
- Signerade dokument innehåller både en digital signatur och en sista sida där informationen om den som signerat dokumentet visas upp. I den digitala signaturen finns all information om den som genomförde signaturen.
Kan signaturer förfalskas?
- Varje signatur sker med en nyckel som skapas just för tillfället.
- Efter signaturen kastas nyckeln bort och kan alltså inte användas för andra signaturer.
Hur ser flödet i tjänsten ut?
- Logga in på edusign.sunet.se
- Ladda upp ett dokument för signering
- Klicka på signera-knappen
- Du blir skickad till samma IdP som du loggade in på och får logga in en gång till för att genomföra signaturen på signservice.edusign.sunet.se
- Du blir skickad tillbaka till edusign.sunet.se där det signerade dokumentet visas upp och kan laddas ner.
Används molnet/Var körs tjänsten?
- Inga molntjänster används för eduid
- Alla delar av tjänsten körs av Sunet på Sunets egna servrar som är placerade i Sunet datacenter.
Lagras data i tjänsten?
- Nej!
- Uppladdade dokument finns endast i minnet medans signaturen genomförs. Om användaren inte laddar ner dokumentet försvinner det helt.
- Information om inloggade användare finns också bara i minnet medans signaturen genomförs - det skapas mao inga permanenta identiteter i tjänsten
Är signerade dokument juridiskt bindande?
Vilka avtal krävs, och vad kostar tjänsten?
- Ni tecknar avtal med Sunet om användandet av tjänsten. Kontakta fresia@sunet.se om ni är intresserade.
Räknas dokument som skickas till tjänsten som inkomna handlingar?
- Vi utgår ifrån att svaret är nej eftersom tjänsten inte sparar dokument som skickas.
- Se även frågan om avtal ovan samt svaret om huruvida data lagras i tjännsten.
Vilka personuppgifter behandlas i tjänsten?
- Se frågan om attributkrav samt frågan om avtal ovan!
Hur håller jag min egen instans i synk med Sunets version?
- Så länge denna tjänst finns i Sunet tjänsteportfölj så kommer Sunet erbjuda alla tillgång till samma programvara som vi själva kör - sedan är det upp till var och en att hålla sin version uppdaterad.
Det står att signaturen är ogiltig i Acrobat! Vad betyder det?
- Signerade dokument måste valideras genom en sk valideringstjänst. En sådan är på väg att etableras inom ramen för edusign-tjänsten men det finns även en utredning kring frågan att etablera gemensamma valideringstjänster i statens regi.
Vilka attributkrav gäller för tjänsten?
- Signaturtjänsten består av två SPs (entityIDs):
- Följande attribut används av tjänsterna - samma attribut måste släppas till båda tjänsterna:
- givenName
- sn
- mail
- eppn
- eduPersonAssurance (valfritt)
- Se även frågan om säkerhetskrav nedan
Vilka säkerhetskrav gäller för inloggning till tjänsten?
- SPn begär inloggning med AuthenticationContextClassRef "urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport"
- I framtiden kan tjänsten komma att höja säkerhetskraven.
- Se även frågan om styrkan i signaturen nedan
Hur säker är signaturen?
- Svaret på den frågan är komplext - tekniskt är signaturen väldigt säker: vi använder nycklar med hög säkerhet och återanvänder aldrig en nyckel för mer än en signatur tex.
- Säkerheten i signaturen beror också på hur mycket man litar på säkerheten i inloggningen.
- För närvarande finns inga hårda krav på högre förtroendenivå i tjänsten men information om vilken förtroendenivå som används (se tex SWAMID Assurance Profiles) kommer lagras i signaturen.
Kan jag köra en egen instans av edusign.sunet.se?
- Ja det är möjligt men det krävs en del förberedelser. Läs Teknisk Dokumentation för att få en uppfattning om insatsen.
Kan användare logga in med BankID?
- Det går inte för närvarande och vi har heller inga konkreta planer på just BankID. Orsaken är att vi ser uppenbara risker med att bryta mot BankIDs licensvilkor som förbjuder sk identitetslänkning. Se vidare frågan om Svensk e-leg och eIDAS nedan.
Kan användare logga in med Svensk e-legitimation och/eller eIDAS
- Det går inte för närvarande men vi har planer på att ansluta tjänsten till Sweden Connect vilket ger tillgång till eIDAS och alla e-legitimationer som finns i Valfrihetssystem 2017 (där dock BankID ej ingår).
Finns det något sätt att hantera användare utanför högskolesektorn?
- Det enklaste är att be användaren skaffa och logga in med eduid.se som är fritt för alla och kan erbjuda upp till LoA2-nivå på inloggningen.
Finns det ett API till tjänsten?
- Det finns ett internt lågnivå-API till signeringstjänsten baserat på OASIS DSS - detaljerna finns beskrivet i tekniskt ramverk för Svensk e-legitimation. Vi rekommenderar inte detta API för annat än mycket avancerade användare. Kontakta oss för detaljer.
- Det finns ett Java-baserat högnivå-API (kallas även integrations-API): API:et finns på: https://github.com/idsec-solutions/signservice-integration-api och Java-impl finns på https://github.com/idsec-solutions/signservice-integration. Detta API kan användas av Java-baserade applikationer men vi rekommenderar att de flesta applikationer väntar in det kommande REST-gränssnittet till detta API
- Vi planerar för ett REST-gränssnitt till ovanstående Java-API. Dokumentation och länkar kommer!
Jag har en ide om en ny feature!
{"serverDuration": 237, "requestCorrelationId": "718a391bbd0d676d"}