ID@Work er et nytt ID-produkt som inngår i Buypass BAS-løsning. Dette er en samleside for all informasjon om ID@Work og features knyttet til Buypass' ny mobilID for bedriftsmarkedet. 

Informasjonen vil i tillegg bli lagt ut på de øvrige sidene i Brukerguiden hvor ID@Work inngår som del av funksjonen og hvor disse omhandles spesielt. Dette vil skje fortløpene utover våren 2020.

ID@Work

Hva er ID@Work?

ID@Work er produktnavnet på Buypass' mobilID for bedrifter og dens ansatte og tilknyttede personer. ID@Work er et supplement til smartkort med kvalifiserte sertifikater.

• Mobil-ID med kvalifiserte sertifikater på nivå 4 / eIDAS PERSON HØY
• Sentrallagret PKI - Server Sentrisk ID (SSID)
• Sertifikater og tilhørende private nøkler (autentiserings- og signeringssertifikat i par) oppbevares hos Buypass på en slik måte at det bare er nøkkelens rettmessige eier som har tilgang til nøklene (HSM)
• Nøkkelens rettmessige eier må autorisere tilgang til sin private nøkkel ved å autentisere seg med en autentiserings-mekanisme fra Buypass som gir en sterk autentisering, dvs to-faktor autorisering
  
  

Les mer om den tekniske løsningen på Buypass sine nettsider - Buypass ID i mobil - eID på høyeste sikkerhetsnivå

Server Signature ID - konsept

Buypass ID mobilAPP

Buypass ID mobilAPP er en container-app som kan inneholde flere mobile ID'er, både din private og en eller flere bedriftsID'er. IDene er alle på høyeste sikkerhetsnivå - nivå4 / Person HØY. 

IDene aktiveres hver for seg ved å følge anvisninger gitt i mobilAPPen.

Detaljert beskrivelse er gitt i kapittel Aktivere ID@Work - selvbetjening.

Hvor og hvordan kan en ansatt få ID@Work?

• Utstedes og administreres via BAM-klienten
• Aktiveres på en eller flere mobile devicer – mobiltelefoner og nettbrett gjennom selvbetjening

Detaljert beskrivelse er gitt i kapittlene ID@Work og BAM-klienten og Aktivere ID@Work - selvbetjening.

Hvor og hvordan kan en ansatt bruke ID@Work?

ID@Work er et tillegg eller et alternativ til smartkort.

• Pålogging eksterne tjenester - identifisering/signering på offentlige tjenester
• ID-Porten
• Maestro – offentlige anbud
• Andre Buypass Nett Brukersteder
• Pålogging interne tjenester – Citrix_Netscaler med mulighet for federering eller direkte pålogging interne applikasjoner som krever høyeste sikkerhetsnivå
• OIDC-integrasjon mot Buypass Nett

Detaljert beskrivelse er gitt i kapittel Bruk av ID@Work - identifisering.

ID@Work og BAM-klienten

ID@Work utstedes og administreres i BAM-klienten sammen med og på samme måte som lokale og kvalifiserte sertifikater i smartkort.

Fortsatt utsteder BAM-klienten de sertifikatene en sluttbruker er satt opp med - alt ligger innebygget i ID kort funksjonene. Bedriften spesifisere hvilke type sertifikater en ansatt skal ha - lokale- og/eller kvalifiserte sertifikater, men må nå i tillegg spesifisere hvilken bærer de kvalifiserte sertifikatene skal utstedes på - smartkort og/eller sentrallagret for bruk mot mobil/nettbrett.

Konfigurasjon som beskriver bærere for kvalifiserte sertifikater på bedriftsnivå

Når ID@Work tas i bruk hos et BAS brukersted eller brukerstedet ønsker å ta i bruk annen funksjonalitet som er implementert i BAM v3.8 eller senere må konfigureringen av brukerstedet endres både ute på den lokale BAM-stasjonen og hos Buypass.

1. I LraConfig.Master.xml skal verdien i feltet Merchant under Buypass-tab'en endres til å være MerchantID eller IssuerID - eks. Buypass endret fra 3202 til 32.
   
   
2. Hos Buypass blir alle aktive BAS brukersteder nå satt opp med en sentral IssuerProfile konfig som forteller om Brukerstedet kan utstede kvalifiserte sertifikater på smartkort og for ID@Work. Når BAM startes lokalt i MixedMode eller BuypassMode så vil sentral konfigurasjon hentes. 
   
   
   Default vil sentral konfigurasjon bli satt til Smartcard = TRUE og ID@Work = FALSE slik at brukerstedet vil fortsette å utstede kvalifserte sertifikater kun på smartkort som hittil for de brukerne som er knyttet til AD-gruppen "kvalifiserte sertifikater". 
   
   Når et brukersted ønsker å ta i bruk ID@Work endrer Buypass konfigurasjonen slik at sentrallagrede kvalifiserte sertifikater for ID@Work genereres samtidig som kvalifserte sertifikater på smartkort for de brukerne som er knyttet til AD-gruppen "kvalifiserte sertifikater". Uten ytterligere konfigurering og begrensninger vil det altså bli utstedt kvalifiserte sertifikater for både smartkort og ID@Work i parallell i BAM klienten når en bruker er tilknyttet AD-gruppen "kvalifiserte sertifikater". Se pkt for konfigurering pr bruker nedenfor.
   
   

Konfigurasjon som beskriver design av bedriftens ID i Buypass ID app

1. Når et brukersted tar i bruk ID@Work kan brukerstedet påvirke utseende med logo, tekst og farger på "sin" mobilID i Buypass ID appen. Buypass konfigurerer dette sentralt slik at appen får den layout som brukerstedet bestemmer.
   
   
   
   Resulatet i Buypass ID appen på mobilen vil da kunne se slik ut:
   

Konfigurasjon som beskriver bærere for kvalifiserte sertifikater på ansattnivå

Bedriften spesifiserer først hvilke type sertifikater en ansatt skal ha - lokale- og/eller kvalifiserte sertifikater, men må nå i tillegg spesifisere hvilken bærer de kvalifiserte sertifikatene skal utstedes på - smartkort og/eller sentrallagret for bruk mot mobil/nettbrett.

1. Fortsatt avhengig av at personer som skal ha kvalifiserte sertifikater er tilknyttet gruppe for “kvalifiserte sertifikater” i AD (MixedMode)
   
   
2. Fortsatt avhengig av at personer som skal ha kvalifiserte sertifikater blir registrert hos Buypass via funksjonen Registrer brukerinformasjon (preregistrer bruker) i Administrasjonsmenyen (Mixed- og BuypassMode)
   
   
3. Når et BAS Brukersted ønsker å ta i bruk ID@Work settes default IssuerProfile hos Buypass til Smartcard = TRUE og ID@Work = TRUE - beskrevet i kapittelet om konfigurering av type kvalifiserte sertifikater. Det må i denne omkonfigureringen bestemmes om alle ansatte, eller aktive brukere tilknyttet bedriften skal følge default konfigurering eller ikke. Buypass vil kjøre jobber som klargjør bedriften for den konfigurasjonen som flest brukere som skal ha kvalifiserte sertifikater skal følge.
   
   
4. Deretter kan bedriften dersom man ønsker å differensiere på utstedelse av type bærer - smartkort og/eller ID@Work konfigureres eller registrere dette pr bruker i Oppdater brukerinformasjon (ny funksjon) i Administrasjonsmenyen (Mixed- og BuypassMode)
   

Registrering av sluttbruker-informasjon

• Alle sluttbrukere som skal ha kvalifiserte sertifikater må preregistreres – Buypass sjekker om person er innrullert i Folkeregisteret (FREG) og om opplysningene er korrekte
• NÅ registreres: FNR/DNR, fornavn, etternavn (obligatorisk), epost (valgfritt)
• NYTT: Sertifikattype (obligatorisk), UPN (valgfritt)
  
  

Endre sluttbruker-informasjon

All bedriftsspesifikk informasjon om en ansatt / bedriftstilknyttet person kan endres. Dette er en ny funksjon som er underlagt rollen RA-ADMIN og nås fra Administrasjonsmenyen.

• Endringer av FNR/DNR eller bytte fra DNR til FNR, samt endring av navn kommer fra Folkeregisteret (FREG) - dette kan altså ikke endres av Operatør.
• E-post og UPN (User Principle Name) er valgfrie verdier ved registrering og dermed også her ved endring. Når BAM klienten er satt i MixedMode vil verdiene hentes automatisk fra AD dersom det er mappet opp ved konfigurering og kan ikke endres manulet her i skjermbildet. Ved BuypassMode registreres og endres dette manuelt pr bruker.
• Sertifikattype kan endres pr bruker - verdiene kan kan aldri være "mer" enn det som er satt opp default for bedriften, men "mindre" *.

......... her kommer det inn bilder fra BAM-klientens funksjon Oppdater brukerinformasjon

*) Kun relevant for MixedMode og BuypassMode

Bruker informasjon – funksjon som gir oversikt over aktive ID’er for en sluttbruker

Siden en bruker nå kan ha flere aktive ID'er hvor ID@Work kan være tilknyttet flere mobile enheter er det implementert en ny funksjon i BAM som gir Operatøren en oversikt over alle aktive IDer for en bruker med detaljer om tilknyttede enheter.

Dersom en bruker har problemer med en mobil enhet kan Operatøren nå være behjelpelig med en oversikt på samme måte som Smartkort diganose gir infomasjon om en brukers smartkort.

Sperring av ID@Work

ID@Work sperres sammen med sperring av aktive sertifikater for en bruker i BAM i funksjonen Sperre sertifikater. 

Operatøren får etter søk opp alle aktive sertifikater for brukeren - lokale og kvalifiserte uavhengig av bærer. operatøren velger så hvilke sertifikater som skal sperres. Se forøvrig Sperre - revokere sertifikater.

Buypass har i tillegg en sentral sperretjeneste - se Buypass Sperretjeneste.

Aktivere ID@Work

Utstedelse av ID@Work skjer altså i BAM-klienten, men siden ID@Work er en sentralt lagret ID må brukeren aktivere den mobile enheten vedkommende ønsker å bruke for å aksessere IDen. 

Sagt mer fagteknisk: "Nøkkelens rettmessige eier må autorisere tilgang til sin private nøkkel ved å autentisere seg med en autentiserings-mekanisme fra Buypass som gir en sterk autentisering, dvs to-faktor autorisering". Les mer om den tekniske løsningen på Buypass sine nettsider - Buypass ID i mobil - eID på høyeste sikkerhetsnivå.

Aktivering skjer ved å skaffe en aktiveringskode og så bruke denne på den mobile enheten som ønskes brukt for autentisering og signering senere.

 Om brukeren ønsker å ha tilgang ID@Work fra flere enheter må hver enhet aktiveres.

Skaffe aktiveringskode i Selvbetjeningsklient

Aktiveringskode kan skaffes via en selvbetjeningfunksjon som er tilgjengelig fra Buypass på web - Selvbetjening for aktivering av ID@Work. 

 Lenke til som kan gjøres tilgjengelig på bedriftens intranett: https://www.buypass.no/selfservice/?functions=request-ssid-activation

Dette er det den enkelte bruker må gjøre selv: 

1. Du starter selvbetjening for aktivering av ID@Work med lenke som er tilgjengelig på bedriftens intranett eller som du har fått av Operatør.
   
   
2. Tast inn ditt FNR / DNR.
   
   
3. Du må bekrefte din identitet ved å autentisere deg med et Buypass ID-instrument på tilstrekkelig sikkerhetsnivå - smartkort med kvalifiserte sertifikater (ditt ansattkort) eller Buypass ID i mobil (Privat eller ID@Work utstedt fra annen bedrift).
   
   
4. Første gang du aktiverer ID@Work for din bedrift må du sette en PIN-kode som alle de mobile enhetene du senere ønsker å aktivere skal benytte - denne kan enkelt endres senere fra hver enhet.
   
   
   
5. Du får opp et skjermbilde med en aktiveringskode i form av en QR-kode som skal benyttes på den mobile enheten du ønsker å aktivere, dvs. knytte til ID@Work.
   
   
6. Du kan også velge å få aktiveringskoden tilsendt på SMS eller på e-post - velg da lenken Alternativt kan du få tilsendt aktiveringskode som lenke i SMS eller e-post. Du må selv registrere mobilnummer eller e-postadresse.
   
   
   
7. Om du ønsker å aktivere flere enheter samtidig har du anledning til det ved å trykke på knappen Aktivere ID@Work på ny enhet. Du trenger da ikke autentisere deg på nytt, men vil få opp aktiveringskode-skjermbildet direkte med ny QR-kode. Prøver du å bruke samme QR-kode til å aktivere flere enheter vil du få melding om at koden allerede er brukt. Regelen er en aktiveringskode pr mobile enhet.
   
   
8. I skjermbildet for QR-kode får du instruks om å hente frem den mobile enheten du skal aktivere - mobil eller nettbrett. Vi bruker mobiltelefonen som eksempel i fortsettelsen, men det er helt likt på et nettbrett.
   
   
9. Du må laste ned Buypass ID appen fra AppStore (iOS) eller GooglePlay (Android) om du ikke har den allerede. 
   
   
10. Åpne appen og velg Aktiver Buypass ID@Work - følg deretter instrukser gitt i mobilen. Du blir blant annet spurt om navn på enheten som er et navn du selv assosierer med enheten. Når du blir spurt om PIN-kode er det den PIN-koden du satte i selvbetjeningsfunksjonen som gjelder ALLE enheter du skal knyttet til ID@Work for din bedrift.
    
    
    
11. Du er nå ferdig med å aktivere enheten og kan ta den i bruk 
    
    

Skaffe aktiveringskode i BAM klienten

Aktiveringskode kan også skaffes via BAM klienten ved hjelp av Operatøren.

1. Operatøren velger funksjonen "Aktiveringskode for ID@Work" i hovedmenyen
   
   
   
2. Operatøren søker frem riktig bruker og gjennomfører legitimasjonskontroll
   
   
3. Aktiveringskode genereres og en QR-kode vises i skjermen -  koden er gyldig kun i 5 minutter - om ikke brukt innen tiden må ny kode skaffes
   
   
   
   
4. Operatøren må informere bruker om følgende:
   Bruker må installere og åpne Buypass ID-appen på den mobilenheten som ønskes tatt i bruk. Bruker må så velge "Legg til ID@Work" og følge instruksene - blant annet må bruker tillate push-meldinger og åpne for bruk av kamera. I tillegg kan bruker velge om touchID eller faceID skal aktiveres.
   
   
5. Når bruker kommer til punktet om å skanne koden kan Operatør bistå med det ved å filme/peke med mobil på QR-koden 
   
   
6. Bruker blir så bedt om å taste PIN i APP - enten bruke en eksisterende eller sette ny dersom den ikke allerede er satt ifbm aktivering på annen mobilenhet 
   
   
7. Bruker er nå ferdig med å aktivere enheten og kan ta den i bruk 

Aktiveringskode kan sendes som lenke i SMS eller epost, men siden gydligheten på aktiveringskoden kun er 5 minutter anbefaler vi å skanne QR-koden.

Dersom konfigureringen av BAm er satt opp med mapping til epost i AD vil epostadresse hentes fra AF og vises her i GUI. Mapping til felt i AD for mobilnummer er ikke implementert nå i januar 2020, men vil bli det dersom det blir en viss etterspørsel etter det.

Meldinger ifbm aktivering

Feilmelding ifbm autentisering i selvbetjeningsklient

Etter autentisering i selvbetjeningsklienten kan det være at du får følgende meldingen gjengitt nedenfor. Som meldingen sier kan det skyldes flere ting, men mest sannsynlig er det at du ikke har fått utstedt en ID@Work - IDen med de sentrallagrede sertifikatene og nøklene som må være utstedt via BAM klienten. Ta kontakt med Operatøren og forhør deg om han/hun kan sjekke.

Kundeavtale - terms and conditions

Når ID'er utstedes via BAM klienten må du som bruker gjennom en identifserings-prosess - du må kunne bevise hvem du er. Se detaljer beskrevet i Identitetskontroll.

Du viser legitimasjonsdokumenter som skannes, du godkjenner kundeavtale og signerer. Kundeavtalen du godkjenner omfatter både lokale betingelser for lokale sertifikater og Buypass Kundeavtale for kvalifiserte sertifikater - altså kvalifiserte sertifikater både på smartkort / ansattkort og ID@Work.

• Buypass Kundeavtale (NOR)
• Customer Agreement (ENG) 

Mange ansatte i bedrifter med Buypass BAS-løsning har hatt ansattkort/smartkort med kvalifiserte sertifikater i en årrekke. Kundeavtalen som ble godkjent ved førstegangsutstedelse av de kvalifiserte sertifikatene har endret seg og har tatt inn betingelser knyttet til Buypass ID i mobil - både for privatpersoner, men også ID@Work for bedriftstilknyttede personer. Buypass har nå innført en ordning hvor vi alltid vil be be deg akseptere Kundeavtalen på ny dersom ny versjon er publisert etter at du godkjente den forrige gang. Kundeavtalen er tilgjengelig på Buypass nettsider, og Buypass er pliktig å melde om slike endringer før publisering.

Du kan altså bli spurt om å akseptere kundeavtalen på nytt ved utstedelse av nye kort og sertifikater i BAM klienten eller ved aktivering av nye enheter for ID@Work. Her er et eksempel på melding du kan få i selvbetjeningsklienten:

Bruk av ID@Work - identifisering 

Hovedregelen er at ID@Work brukes der smartkort brukes, men fordi de kvalifiserte sertifikatene er lagret og knyttet til ulike enheter er det noen viktige forskjeller.

• Kvalifiserte sertifikater på et smartkort kan benyttes online og offline
  • Online - betyr at IDen blir validert i autentiserings- / signeringstidspunktet
  • Offline - betyr at IDen blir validert i etterkant av selve identifiserings- / signeringstidspunktet, dvs. enten mot en nedlastet CRL eller som for signerte eResepter eller meldinger først ved meldingsmottak 
• Kvalifiserte sertifikater for ID@Work kan kun benyttes online siden sertifikatene og nøklene ligger lagret og beskyttet hos Buypass

Pålogging eksterne tjenester med bruk av ID-Porten

Eksempel på identifisering / innlogging på Helsenorge med ID-Porten - starter på PC

... bruker får push til sin mobil og identifiserer seg ved å taste PIN for sin ID@Work, eller bruker touchID / faceID 

... og vipps bruker er logget inn på Helsenorge på sin PC 

 Bruker kan gjøre samme innlogging på Helsenorge på sin mobil - enten fra mobilbrowser eller fra tjenestestedets egen mobilapp.

Pålogging interne tjenester med bruk av OIDC-integrasjon mot Buypass

Eksempel pålogging Citrix_Netscaler med mulighet for federering til interne applikasjoner som krever høyeste sikkerhetsnivå eller til Office365.

Forutsetter at bruker er registrert med UPN hos Buypass.

..... her kommer bilder som viser OIDC-pålogging og Citrix.....