BAM_LRA v3.8.0_8101

 

 

Release version:              Buypass Access Manager - BAM_LRA .net 3.8.0_8101

Release date:                   01.06.2020

Document classification:  Open 

Copyright:                         Buypass AS

Releasenote for Buypass Access Manager - BAM_LRA v3.8.0

 Description in Norwegian here on this page - if English needed please contact kundeservice@buypass.no



NORSK - NORWEGIAN

I det følgende er det gitt en oppsummering av nye funksjoner og oppdateringer i BAM- og Configuration Application Tool – klienten – versjon 3.8.0_8101

 Powerpoint-presentasjon: 2020-03-03_BAS_BAM_IDW Presentasjon.pptx


Må gjøres/sjekkes ved installasjon av ny versjon

  1. MerchantID må endres fra 4 til 2 siffer i Configuration Application Tool

  2. WIN7 ikke lenger under support av Microsoft - What does it mean if Windows isn't supported? - Microsoft Support . BAM 3.8 går på Win7, men vi vil på det sterkeste anbefale utskifting.  Vi ønsker selv å ikke lenger supportere BAM på Win7, men vi vil før dato settes foreta en kartlegging og en spørreundersøkelse om Win7-bruk ute hos våre BAS-brukersteder. 

  3. Krav om .NET versjon 4.7.2 - de av dere som har Win10-maskiner skal få automatiske oppdateringer av .NET - må sjekkes spesielt på Win7-maskiner

  4. Buypass har foreløbig et generelt minimumskrav om TLS 1.1, men følger Microsofts anbefaling om TLS 1.2 om kort tid - Disabling TLS 1.0 and 1.1 in Microsoft 365 GCC High and DoD.

    1. BAM 3.7.6 har hardkodet bruk av TLS1.2 uansett om den kjører på WIN7 eller Win10. TLS-protokollstøtte er aktivert i koden, så selv om det ikke er aktivert i Windows 7 så vil det være tilgjengelig for BAM.

    2. BAM 3.8.0 har automatisk deteksjon av TLS-protokoller som alltid søker etter og bruker høyest mulig versjon, men trenger TLS1.2 som minimum versjon. Windows har en modul som er ansvarlig for TLS-protokollstøtte. Når nye TLS-protokollversjoner slippes, vil de bli installert i Windows 10 med vanlige oppdateringer og BAM v3.8.0 vil kunne bruke den nyeste versjonen som er installert. Hvis en TLS-versjon er merket som ikke klarert (not trusted) vil Windows ikke tillate at applikasjoner benytter denne versjonen før den klareres. Oppdatering av TLS-versjoner skjer altså under Win10, men må håndteres manuelt på Win7-maskiner.

  5. Det kan spesielt på Win7-maskiner oppleves problemer med at tilgang til privat nøkkel for Buypass merchant sertifikatet via AD-grupper ikke fungerer. Det å gi direkte tilgang pr Operatør vil fungere. 

  6. Det er åpnet for bruk av LDAPS i tillegg til LDAP. BAM 3.8 velger selv den sikreste versjonen som kan brukes, så om LDAPS er aktivert vil BAM benytte denne. Her har noen opplevd at Operatør må taste PIN 2 ganger ifbm oppstart av BAM. Det skal ikke være nødvendig, og vi jobber med å finne ut hvorfor dette skjer hos noen.

Buypass ID@Work  

  1. Mobil-ID med kvalifiserte sertifikater på eIDAS nivå Høyt - Level of Assurance (LoA) High

    1. Sentrallagret PKI - Server Sentrisk ID (SSID)

    2. Sertifikater og de private nøklene oppbevares hos Buypass på en slik måte at det bare er nøkkelens rettmessige eier som har tilgang til nøklene (HSM)

    3. Nøkkelens rettmessige eier må autorisere tilgang til sin private nøkkel ved å autentisere seg med en autentiserings-mekanisme fra Buypass som gir en sterk autentisering, dvs. to-faktor autorisering

    4. Supplement til smartkort med kvalifiserte sertifikater

    5. ID@Work er en mobilID for organisasjoner og dens brukere, dvs. ansatte og andre tilknyttede personer

    6. Buypass har levert Buypass ID i mobil for privatmarketet i flere år. Nå leveres egen mobil ID for bedriftskunder. De 2 ID'ene vil nås gjennom den felles Buypass ID APPen som du laster ned fra Apple Store eller Google Play.

      Detaljer om ID@Work finnes i vedlagt BAS_BAM_IDW Presentasjon - og egen side under Brukerguide og retningslinjer - se ID@Work - ID i mobil.

BAM med nye og endrede funksjoner

 

Krav om konfigurering og mer informasjon når ID@Work tas i bruk

  • Fortsatt må en bruker som skal få utstedt kvalifisert sertifikater være knyttet til AD-gruppen “Buypass kvalifiserte sertifikater”.

  • Nå må vi i tillegg ha informasjon om hvilke sertifikattyper organisasjonen støtter

    • Smartkort, mobile enheter eller begge deler - standard er smartkort = TRUE og ID@Work = FALSE

    • Buypass registrerer dette sentralt

  • Så kreves det informasjon om hvilke sertifikattyper den enkelte bruker skal ha

    • Smartkort, mobile enheter eller begge deler – standard er at bruker følger organisasjonens standard

    • Organisasjonen registrerer dette i funksjonen “Registrer brukerinformasjon hos Buypass” eller “Oppdatert Bruker informasjon hos Buypass” i Administrasjonsmenyen i BAM

    • Dersom en allerede eksiterende BAS-organisasjon ønsker at ALLE sine brukere skal ta i bruk ID@Work i tillegg til Smartkort kan Buypass endre standarden for organisasjon og brukere sentralt (egen BAS-jobb)

  • BAM-klienten utsteder de sertifikatene en sluttbruker er satt opp med – dette ligger innebygget i funksjonen “ID kort” - se neste avsnitt

ID-kort 

Kort og sertifikater utstedes via ID-kort-funksjonen som tidligere. Nå kan sentrallagrede sertifikater for mobilID'en ID@Work utstedes i samme funksjon om Brukeren er satt opp for dette - se også funksjonene Registrer- og Oppdater brukerinformasjon hos Buypass. 

På grunn av utvidelsen med ID@Work er overskriften (headeren) i funksjonen endret. I dagens versjon er det overskriften som sier noe om hvilke sertifikattyper som skal utstedes, mens vi i ny versjon har endret overskriften til å bli mer generell - sier nå "Utstede sertifikater for smartkort" eller "Utstede sertifikater for både smartkort og ID@Work". Når Bruker er søkt frem vil det bli gitt eksplisitt melding om hvilke typer sertifikater som utstedes og om det er ny, erstatning eller fornyelse (det er jo avhengig av hva som er utstedt tidsligere og hva som ligger i Bruker-kortet).

NB! I Eksempelet er BAM satt i BuypassMODE, så her sier den ikke noe om lokale sertifikater – om dette hadde vært MixedMode ville det blitt en egen linje med «Lokale smartkort:»

  • Om bruker ikke er registrert med noen sertifikattyper vil det gis feilmelding

  • Om bruker har gyldig sertifikat på smartkortet kan dette benyttes i ID kontrollen for utstedelse av ID@Work

  • Om BAM kun er satt opp for utstedelse av ID@Work vil det ikke kreves brukerkortleser

  • PDF'ene er endret tilsvarende med at header forteller hvilke sertifikattyper som involveres i utstedelsen, mens det gis mer presis beskjed om hvilke sertifikater for hvilke enheter og om utstedelsen gjelder nye, erstatning eller fornyelse

Godkjente legitimasjonsdokumenter

På grunn av endringer i nasjonale reguleringer innenfor elektronisk identifikasjon (eID) så er kravene til Buypass som tilbyder av eID-ordninger endret.  De tidligere nasjonale sikkerhetsnivåene som nivå 4 / PersonHøyt er erstattet med eIDAS nivåene Høy, Betydelig og Lav slik disse er definert i Selvdeklarasjonsforskriften, FOR-2019-11-21-1578.

Det betyr at fra 21.05.2020 vil ikke førekort, bankkort eller andre identitetsbevis være gyldig som identitetsbevis for førstegangsutstedelse av eID på høyeste sikkerhetsnivå - eID nivå høyt.

Detaljert beskrivelse er gitt på siden Operatørassistert identitetskontroll og godkjente identitetsdokumenter og Mapping identitetsdokumenter mot valg i BAM-klienten.

Sperre sertifikater 

Llokale og kvalifiserte sertifikater på smartkort sperres via Sperre-funksjonen som tidligere, men i tillegg kan nå sertifikater tilknyttet ID@Work sperres. Enten alle aktive sertifikater for en Bruker, eller kun det Operatøren velger.

Brukerinformasjon

Dette er en ny funksjon som gir oversikt over aktive ID’er for en Bruker. Her får Operatøren informasjon om alle aktive utstedte ID’er og tilknyttede mobile enheter. Sammenlignbar med Smartkort diagnose, men den gir kun informasjon om ID’er og ikke kortinformasjon

Aktiveringskode for ID@Work 

Denne funksjonen dukker kun opp i hovedmenyen dersom ID@Work er tilgjengelig for Brukerstedet. Her kan man få en aktiveringskode som Bruker må benytte når ID@Work skal aktiveres og klargjøres på en mobil enhet for brukeren.

NB! Ved førstegangsaktivering vil aktiveringskode ikke kunne sendes på SMS/EPOST pga sikkerhet ved at mobilID PIN faktisk settes av rettmessig bruker i mobilen

Registrer brukerinformasjon hos Buypass (preregistrering)

Alle brukere som skal ha kvalifiserte sertifikater må registreres hos Buypass. Buypass sjekker om personen er innrullert i Folkeregistert (FREG) og om navneopplysningene oppgitt er korrekte og matcher

  1. HITTIL: FNR/DNR, fornavn, etternavn (obligatorisk), Brukernavn/IssuersKey (obligatorisk) epost (valgfritt)

  2. NYTT: Sertifikattype (obligatorisk), UPN (valgfritt)
    NB! Dersom epost oppgis blir det lagt inn i Subject Alternative (SAN) - feltet i sertifikatet (default) 
    NB! Dersom upn oppgis må Virksomheten selv be om at Buypass setter opp sertifikatprofilen slik at dette legges inn i Subject Alternative (SAN) - feltet i sertifikatet 


     

    Gjør oppmerksom på at eksempelet til høyre som viser SAN-feltet til et sertifikat kun viser hvordan dette vil se ut når både epost og UPN legges i sertifikatet - innholdet er fra et testmiljø og som dere ser er ikke feltene samstemt. 

Oppdater brukerinformasjon hos Buypass 

Dette er en ny funksjon. All organisasjonsspesifikk informasjon kan endres - unntatt brukernavn (IssuerKey) som ikke kan endres uten varsling til Buypass.
Det finnes en egen rutine for dette - se Bytte av IssuersKey / Brukernavn eller bytte FNR / DNR.

Operatøren får opp forslag til utfylling av alle felt basert på oppslag mot AD i MixedMode. I BuypassMode må feltene fylles ut manuelt. Om organisasjonen ikke støtter ID@Work vil feltet være utilgjengelig.

Øvrige forbedringer og endringer

Rapporter  

Alle sertifikattyper utstedt via BAM blir vist i rapportene; lokale på smartkort, kvalifiserte på smartkort og/eller ID@Work. I tillegg er dato-format endret slik at det er enklere å sortere også når rapportene eksporteres til Excel.

eIDAS

På grunn av endringer i nasjonale reguleringer innenfor elektronisk identifikasjon (eID) så er kravene til Buypass som tilbyder av eID-ordninger endret. Dette innebærer større fleksibilitet på valg av teknologi. Det stilles ikke lenger krav om PKI på høyeste sikkerhetsnivå i Norge, samtidig er kravene samkjørt med resten av Europa. De tidligere nasjonale sikkerhetsnivåene som nivå 4 / PersonHøyt er erstattet med eIDAS nivåene Høy, Betydelig og Lav slik disse er definert i Selvdeklarasjonsforskriften, FOR-2019-11-21-1578.

Se detaljer i Operatørassistert identitetskontroll og godkjente identitetsdokumenter.

Ny aksept av Kundeavtalen

Buypass har alltid bedt om aksept av kundeavtale ved førstegangsregistrering for utstedelse av Buypass kvalifiserte sertifikater. Vi har nå innført funksjonalitet i BAM og Selvbetjening (aktiveringskode for ID@Work) for at bruker blir spurt om ny aksept av avtalen dersom det er nødvendig. Buypass sjekker ved utstedelse (ny, erstatning, fornyelse) om bruker har aksept vilkårene før eller etter siste publisering – om dato for siste aksept er tidligere en dato for siste versjon av vilkårene vil bruker bli bedt om å akseptere på nytt. Ikke alle endringer av Buypass Kundeavtale er vesentlig og derfor trenger ny aksept. 

Melding om utløp på smartkort

Du vil nå få melding om utløp såfremt kortet inneholder kvalifiserte sertifikater.  

  1. Buypass kvalifiserte sertifikater i smartkort har normalt 3 års levetid fra utstedelsesdato 

  2. Organisasjonens lokale sertifikat har så lang levetid som det konfigureres i templatene for sertifikatene i lokal CA

    MEN ………….  

  3. Utløpsdato vil alltid settes i forhold til gjenværende levetid på CA-sertifikatet som er basis for utstedelsen 

  4. Er CA-sertifikatets levetid kortere enn levetiden satt i template for sertifikatet som skal utstedes, vil levetiden på sertifikatet ikke bli mer enn gjenværende levetid på CA-sertifikatet

    ELLER ……….

  5. Utløpsdato vil alltid settes i forhold til gjenværende levetid på selve smartkortet

  6. Når QC utstedes på et smartkort første gang settes kortets utløpsdato til 6 år. Det betyr at med normalt 3 års levetid på QC vil bruker kunne fornye QC en gang på kortet FØR også kortet må byttes ut

  7. BAM sjekker nå kortets utløpsdato og vil varsle Operatøren dersom det er mindre enn 12 uker til utløpsdato på kortet. Operatøren kan velge å utstede uansett, men da vil QC få samme utløpsdato som kortet

  8. Operatøren kan velge å bytte kort der og da (erstatningskofrtt) og QC vil få normal levetid

     

    BAM Configuration Application Tool settes opp med antall uker til utløp av smartkortets levetid melding skal gis i ID-kort funksjonen ved fornyelse av sertifikater. Standard er 12 uker.

      

     

     

LDAP/LDAPS

Microsoft har meldt at de ønsker å slutte å supportere LDAP, men gå over til LDAPS. BAM er klargjort for å autodektere hva som benyttes i infrastrukturen som er satt opp i organisasjonen og benytte riktig protokoll.