Finansiell ID-Teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 1(29) Datum:2013-06-03 Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 2013-06-03 Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 2(29) Datum:2013-06-03 Innehållsförteckning 1 Dokumenthistorik ............................................................................................................... 4 2 Inledning ............................................................................................................................. 5 2.1 Plattformsstöd .................................................................................................................. 5 3 Referenser ........................................................................................................................... 5 4 Översikt Mobilt BankID ..................................................................................................... 6 4.1 5 Exempelanvändning........................................................................................................ 7 Webbtjänst ........................................................................................................................... 8 5.1 Flöde ................................................................................................................................ 8 5.2 Alternativflöden ............................................................................................................... 8 6 Mobil webbtjänst ................................................................................................................. 9 6.1 Flöde .............................................................................................................................. 10 6.2 Alternativflöden ............................................................................................................. 10 7 App..................................................................................................................................... 12 7.1 Flöde .............................................................................................................................. 12 7.2 Alternativflöden ............................................................................................................. 12 7.3 Programmatisk start av BankID säkerhetsapp ............................................................ 13 7.4 Återstart av FP-app i iOS .............................................................................................. 13 7.1 Återstart av FP-app i Android....................................................................................... 14 7.2 Återstart av FP-app i Windows Phone 8 ...................................................................... 14 8 RP Interface ...................................................................................................................... 15 8.1 Flöde och riktlinjer........................................................................................................ 16 8.2 Krav på teknisk lösning ................................................................................................. 18 8.3 Riktlinjer för meddelanden ........................................................................................... 19 8.1 Speciella noteringar om Webbservicen ........................................................................ 20 9 Anslutningsinformation ................................................................................................... 21 10 Testmiljö......................................................................................................................... 22 11 Support ........................................................................................................................... 24 12 BankID säkerhetsapp RP Interface Description .......................................................... 25 12.1 Introduction ................................................................................................................ 25 12.2 Version ........................................................................................................................ 25 12.3 URL............................................................................................................................. 25 12.4 References .................................................................................................................. 25 12.5 Authenticate ............................................................................................................... 25 12.6 Sign ............................................................................................................................. 26 Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 3(29) Datum:2013-06-03 12.7 Collect ......................................................................................................................... 27 12.8 EndUserInfo Type ...................................................................................................... 28 12.9 Fault ........................................................................................................................... 28 13 Rekommenderade termer .............................................................................................. 29 Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part 1 Version 1.0.7 Sida 4(29) Datum:2013-06-03 Dokumenthistorik Version Datum Beskrivning 1.0 2011-05-17 Första versionen av riktlinjer för Mobilt BankID. 1.0.1 2011-06-13 Kompletterat avsnittet Felkoder med meddelande för SIGN_VALIDATION_FAILED. Kompletterat avsnittet Krav på teknisk lösning med nytt börkrav RFT10. Uppdaterat avsnittet Riktlinjer för meddelanden med nytt meddelande RFA3. Uppdaterat avsnittet Testmiljö. 1.0.2 2011-10-26 Uppdaterat avsnittet Mobil webbtjänst med avseende på begränsningar i JavaME-stödet samt ett designförtydligande. Ändrat BankID-URL:en för iOS i avsnittet Programmatisk start av BankID säkerhetsapp 1.0.3 2012-01-24 Uppdaterat RFA3 och RFA4 Uppdaterat instruktionerna i avsnittet Mobil webbtjänst. 1.0.4 2012-04-24 Ny version av det tekniska gränssnittet RP Interface, se avsnitt RP Interface och BankID säkerhetsapp RP Interface Description. Uppdaterat avsnittet Underskrift med avseende på formateringsmöjligheter. Tagit bort instruktionerna till FP om att på Android registrera ett eget Intent-filter, då detta inte behövs längre. Inkluderat brandväggsinformation i avsnitten Anslutningsinformation och Testmiljö. 1.0.5 2013-04-03 Uppdaterade testinstruktioner för iOS i avsnittet Testmiljö. Uppdaterade brandväggsinstruktioner i avsnitten Anslutningsinformation och Testmiljö. Uppdaterat RFT6 och RFT7. Maxgränsen för userVisibleData-parametern sänkt från 100k till 40k. Java ME avvecklat 1.0.6 2013-03-05 Noteringar om webbservicen (versioner, testmiljön och soapAction). 1.0.7 2013-06-03 Stöd för Windows Phone 8. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part 2 Version 1.0.7 Sida 5(29) Datum:2013-06-03 Inledning Det här dokumentet beskriver hur en förlitande part (FP) kan använda Mobilt BankID för inloggning (legitimering) och underskrift (signering) i egna tjänster och integrera mot Mobilt BankID. Mobilt BankID har tre huvudanvändningsfall. 1) 2) 3) Webbtjänst - Legitimering/underskrift med förlitande parts tjänst på annan enhet, t.ex. webbläsare i en PC. Mobil webbtjänst - Legitimering/ underskrift med förlitande parts tjänst i mobil webbläsare. App - Legitimering/underskrift med förlitande parts mobilapp. Det här dokumentet beskriver hur FP integrerar mot Mobilt BankID i de olika fallen och på de olika mobilplattformarna. 2.1 Plattformsstöd Mobilt BankID finns idag för mobiltelefoner och surfplattor baserade på Android och iOS samt mobiltelefoner baserade på Windows Phone 8. Aktuell information om vilken hårdvara som stöds finns på http://support.bankid.com/mobil. 3 Referenser [1] BankID-app RP Interface Description, kapitel 12 [2] Rekommenderade termer, kapitel 13 Aktuell version av detta dokument finns tillgängligt via http://www.bankid.com/rp/info. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part 4 Version 1.0.7 Sida 6(29) Datum:2013-06-03 Översikt Mobilt BankID För att inloggning eller underskrift med Mobilt BankID ska vara möjlig måste användaren först ha installerat BankID säkerhetsapp i sin telefon och hämtat ett BankID. Detta gör användaren med hjälp av funktioner i sin bank. En FP som vill låta sina användare logga in eller skriva under information med Mobilt BankID gör webbserviceanrop till en tjänst som BankID tillhandahåller. Det finns speciella funktioner för att begära legitimering och underskrift samt för att kontrollera resultatet. Kommunikationen är asynkron i betydelsen att FP först begär att funktionen ska utföras och därefter regelbundet kontrollerar om det finns något resultat. Det tekniska gränssnittet beskrivs i [1]. BankIDs webbservice kan endast nås av FP som har ett giltigt SSL klientcertifikat (ett ”FP-certifikat”). FP-certifikat erhålls från den bank som FP har tecknat avtal om BankID med. Om BankID säkerhetsapp är installerad på samma mobiltelefon som den användaren använder för att nå tjänsten (till exempel genom att surfa med webbläsare i telefonen eller en app i telefonen), så kan BankID säkerhetsapp i de flesta fall startas automatiskt. Om användaren når tjänsten på annat sätt (till exempel genom att surfa till den med en webbläsare i en dator) så måste användaren själv starta BankID säkerhetsapp. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 7(29) Datum:2013-06-03 Notera att användande av Mobilt BankID inte ger något skydd av data och information som presenteras i tjänsten. Det är helt och hållet förlitande parts ansvar att skydda denna, exempelvis genom användande av SSL och stabil sessionshantering 4.1 Exempelanvändning Legitimering Underskrift Legitimeringen visas med FP:s namn (”BankID – Demo”). Användaren kan välja att avbryta eller att skriva in sin säkerhetskod och slutföra legitimeringen. Underskriften visas med FP:s namn (”BankID – Demo”) och texten som ska undertecknas. Användaren kan välja att avbryta eller att skriva in sin säkerhetskod och slutföra underskriften. Tangentbordet visas när användaren trycker på inmatningsfältet för Säkerhetskod. FP:s namn visas så som det är angett i FP-certifikatet. Innan ett BankID kan användas måste användaren hämta ett BankID från sin internetbank. Via en meny i BankID säkerhetsapp når man funktioner för att: 1. Hämta ett BankID från användarens internetbank 2. Byta säkerhetskod 3. Byta språk 4. Få information om namn och giltighetstid m.m. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part 5 Version 1.0.7 Sida 8(29) Datum:2013-06-03 Webbtjänst FP har en tjänst som vill använda BankID säkerhetsapp legitimering/underskrift. FPtjänsten används inte på samma enhet som BankID säkerhetsapp. Ett typiskt exempel är en tjänst i webbläsare i en dator men det kan också vara en app eller webbläsare i en annan mobil enhet, t.ex. läsplatta. I det här fallet måste FP-tjänsten be användaren att själv starta BankID säkerhetsapp när FP-tjänsten vill legitimera/skriva under. FPtjänsten behöver inte återstartas eftersom den hela tiden är igång på en annan enhet. 5.1 Flöde 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Användaren fyller i sitt personnummer i FP-tjänsten (om det inte är sparat sedan tidigare) och vid underskrift även de uppgifter som ska användas för signaturen. FP-tjänsten visar rörlig väntesymbol. FP skickar legitimerings-/underskriftsbegäran till BankID med hjälp av [1]. FP-tjänsten ber användaren att starta BankID säkerhetsapp med meddelandet MEDDELANDE_STARTA_BANKID_APP. FP frågar BankID med hjälp av [1] efter svar (görs periodiskt till slutligt svar erhålls). FP erhåller tillfälligt svar och uppdaterar kontinuerligt informationen till användaren enligt Gemensam fortsättning för legitimering/underskrift. BankID skickar legitimerings-/underskriftsbegäran till BankID säkerhetsapp. BankID säkerhetsapp visar namnet på FP (så som det är angett i FPcertifikatet) och information om att legitimering/underskrift efterfrågas, användaren matar in säkerhetskod eller väljer att avbryta. FP erhåller slutligt svar. FP-tjänsten slutar visa rörlig väntesymbol. I detta användningsfall finns inget automatiskt sätt att kontrollera om BankID säkerhetsapp är installerad eller inte. Andra tekniska fel som kan uppstå beskrivs i avsnittet RP Interface. 5.2 Alternativflöden 1. Legitimerings/underskriftsbegäran i 3 misslyckas. Flödet avbryts och FP ska inte be användaren starta BankID säkerhetsapp. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part 6 Version 1.0.7 Sida 9(29) Datum:2013-06-03 Mobil webbtjänst FP har en webbapplikation (FP-mobilwebb) som kan användas i webbläsaren på en enhet med Android, iOS, eller Windows Phone 8 och vill använda BankID säkerhetsapp legitimering/underskrift i samma enhet som webbläsaren. Med hjälp av mobilplattformen/operativsystemet kan FP-mobilwebb starta BankID säkerhetsapp på enheten och via sin serverkomponent starta legitimering/underskrift med hjälp av [1] (detaljerad beskrivning i avsnittet RP Interface). BankID säkerhetsapp startas genom att i webbapplikation öppna följande länk: bankid://redirect=[RETURNURL] Länken fungerar i iOS,Android och Windows Phone 8 när den inbygga webbläsaren används. BankID säkerhetsapp använder URL-parametern redirect för att starta FP-mobilwebb efter utförd legitimering/underskrift. Redirect måste vara URL UTF-8-kodad och RETURNURL bör innehålla den URL som användaren befinner sig på i FP mobilwebb. Användandet av exakt samma URL ökar sannolikheten att sidan öppnas i samma webbläsarflik som användes innan BankID säkerhetsapp startades. Om användaren har flera webbläsare installerade i sin Android-telefon måste användaren ibland välja vilken webbläsare som skall användas då tillbakaväxling sker från BankID säkerhetsapp till FP mobilwebb. På Android-enheter kan den speciella URL:en bankid://redirect=null användas för undvika detta val. Om redirect=null används kommer BankID säkerhetsapp istället avsluta sig själv och FP mobilwebb kommer att visas utan att frågor ställs. Observera att beteendet är unikt för Android, redirect=null resulterar på iOS i att ingen tillbakaväxling till FP mobilwebb sker. FP mobilwebb bör konstrueras så att flödet automatiskt återupptas efter tillbakaväxlingen från BankID säkerhetsapp till FP mobilwebb. T.ex. genom att automatiskt ladda om sidan. Exempel på redirect före URL UTF8-kodning: https://www.bank_x.com/path?p1=v1&p2=v2 Samma redirect URL UTF-8-kodad: https%3A%2F%2Fwww.bank_x.com%2Fpath%3Fp1%3Dv1%26p2%3Dv2 Exempel på fullständig länk: Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 10(29) Datum:2013-06-03 bankid://redirect= https%3A%2F%2Fwww.bank_x.com%2Fpath%3Fp1%3Dv1%26p2%3Dv2 OBS: URL:en får inte innehålla ett värdnamn (host), endast schemat (bankid) och parametern (redirect). 6.1 Flöde 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Användaren fyller i sitt personnummer i FP-mobilwebb (om det inte är sparat sedan tidigare) och vid underskrift även de uppgifter som ska användas för signaturen. FP förvissar sig om att användaren använder en mobil webbläsare. Om inte fortsätter flödet i Webbtjänst punkt 2. FP ber användaren bekräfta1 om BankID säkerhetsapp finns installerad i samma enhet som webbläsaren. Om inte fortsätter flödet i Webbtjänst punkt 2. Följande formuleringar bör användas a. ” Jag vill logga in med BankID säkerhetsapp i den här mobiltelefonen” b. ” Jag vill logga in med BankID säkerhetsapp i en annan mobiltelefon”. FP skickar legitimerings-/underskriftsbegäran till BankID med hjälp av [1] när användaren väljer legitimering eller underskrift. Om en felkod returneras avbryts flödet här och FP ska då inte starta BankID säkerhetsapp. FP-mobilwebb startar BankID säkerhetsapp. BankID skickar legitimerings-/underskriftsbegäran till BankID säkerhetsapp. BankID säkerhetsapp visar namnet på FP (så som det är angett i FPcertifikatet) och information om att legitimering/underskrift efterfrågas, användaren fyller i sin säkerhetskod eller väljer att avbryta. BankID säkerhetsapp använder URL-parametern redirect och startar webbläsaren (observera specialfallet redirect=null ovan). FP frågar BankID med hjälp av [1] efter svar. 6.2 Alternativflöden 1. 2. 3. 4. 1 FP upptäcker i 2 att användaren inte använder en mobil webbläsare. Flödet fortsätter i Webbtjänst punkt 2. Användaren svarar i 3 att han eller hon vill använda BankID säkehetsapp i en annan mobiltelefon eller surfplatta. Flödet fortsätter i Webbtjänst punkt 2. Legitimerings/underskriftsbegäran i 4 misslyckas. Flödet avbryts och FP ska inte starta BankID säkerhetsapp. BankID säkerhetsapp är inte installerad i enheten. Webbläsaren i Android och iOS informerar i 5 användaren om att den inte kan öppna länken (se exempel nedan). Bekräftelse från användaren krävs därför att det är möjligt att användaren vill använda Mobilt BankID i en annan mobiltelefon eller surfplatta. Det är inte heller tekniskt möjligt att från FPmobilwebb känna av om BankID säkerhetsapp är installerad. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part 5. Version 1.0.7 Sida 11(29) Datum:2013-06-03 FP-mobilwebb kan i 5 inte starta BankID säkerhetsapp. Flödet fortsätter i Webbtjänst punkt 2. Andra tekniska fel som kan uppstå beskrivs i avsnittet RP Interface. Exempel på felmeddelande i mobil webbläsare när BankID säkerhetsapp inte kan startas eller inte är installerad: iOS Android En ”pop-up” öppnas och användaren är kvar i FP-mobilwebb efter OK En ny sida öppnas och användaren måste välja ”tillbaka” för att komma tillbaka till FP-mobilwebb I Windows Phone får användaren en fråga om att öppna Windows Phone Store om BankID säkerhetsapp inte är installerad. Ett sätt att bättre hantera telefoner som inte genererar någon användbar felinformation är att göra anropet till BankID appen i en egen iFrame i webbsidan. iFramen kan döljas helt. Efter att webservices anropet har gått bra och anropet att starta appen gjorts startas också en funktion som visar texten ”Om inte din BankID säkerhetsapp startas automatiskt så behöver du själv starta den i din mobil/surfplatta” efter 5 sekunder och döljs igen efter 30 sekunder. Om appen inte startas så kommer användaren att få se texten med information om att starta appen och om den startas så kommer användaren att inte att se den då BankID säkerhetsapp har fokus. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part 7 Version 1.0.7 Sida 12(29) Datum:2013-06-03 App FP har en mobilapp (FP-app) för Android, iOS eller Windows Phone 8 och vill använda BankID säkerhetsapp för legitimering/underskrift i samma enhet som FPapp är installerad i. FP-appen kan starta BankID säkerhetsapp på enheten och via sin serverkomponent starta legitimering/underskrift med hjälp av [1] (detaljerad beskrivning i avsnittet RP Interface). 7.1 Flöde 1. 2. 3. 4. 5. 6. 7. 8. 9. Användaren fyller i sitt personnummer i FP-appen (om det inte är sparat sedan tidigare) och vid underskrift de uppgifter som ska användas för signaturen. FP skickar legitimerings-/underskriftsbegäran till BankID med hjälp av [1]. Om en felkod returneras avbryts flödet här och FP ska då inte starta BankID säkerhetsapp. FP-appen startar BankID säkerhetsapp programmatiskt (beskrivs i avsnittet Programmatisk start av BankID säkerhetsapp). BankID skickar legitimerings/underskrifts-begäran till BankID säkerhetsapp. BankID säkerhetsapp visar namnet på FP (så som det är angett i FPcertifikatet) och information om att legitimering/underskrift efterfrågas, användaren skriver sin säkerhetskod eller väljer att avbryta. BankID säkerhetsapp startar FP-appen. I iOS används URL-parametern redirect som skickades av FP-appen och BankID säkerhetsapp startar FPapp på samma sätt som FP-app tidigare startade BankID säkerhetsapp. I Android anropas onActivityResult() i FP-appen när BankID säkerhetsapp är klar med aktiviteten som FP-appen startade. Om FP-appen ej har stöd för bakgrundskörning måste FP implementera funktionalitet för att spara sitt tillstånd då BankID säkerhetsapp startas och sedan kunna återskapa sessionen eftersom FP-appen kan komma att avslutas då BankID säkerhetsapp startas. Det exakta beteendet beror på plattform och implementation av FP-app. FP frågar BankID med hjälp av [1] efter svar. 7.2 Alternativflöden 1. 2. 3. BankID säkerhetsapp är inte installerad i enheten. Anropet i 3 returnerar i så fall en felkod (NO i iOS och android.content.ActivityNotFoundException i Android) och flödet avbryts av FP-appen. Följande meddelande ska då visas för användaren MEDDELANDE_DEVICESW_SAKNAS. Användaren avslutar sin BankID säkerhetsapp innan BankID säkerhetsapp har återstartat FP-app. Användaren måste då själv återstarta FP-app. Legitimerings/underskriftsbegäran i 2 misslyckas. Flödet avbryts och FP ska inte starta BankID säkerhetsapp. Andra tekniska fel som kan uppstår beskrivs i avsnittet RP Interface. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 13(29) Datum:2013-06-03 7.3 Programmatisk start av BankID säkerhetsapp 7.3.1 iOS openURL:[NSURL URLWithString: @”bankid:// redirect=fp_app_x://bank_x”] 7.3.2 Android Intent intent = new Intent(); intent.setPackage("com.bankid.bus"); intent.setAction(Intent.ACTION_VIEW); intent.addCategory(Intent.CATEGORY_BROWSABLE); //optional intent.addCategory(Intent.CATEGORY_DEFAULT); //optional intent.setType("bankid"); intent.setData(Uri.parse("bankid://www.bankid.com?redirect=null")) ; startActivityForResult(intent, 0); 7.3.1 Windows Phone 8 Om inte Mobilt BankID finns installerat när URL anropas kommer användaren att få en fråga att ansluta till Windows Store för att hämta ner den. // Create the URI string var uriToLaunch = @"bankid://www.bankid.com/redirect=" + Uri.EscapeDataString("fp-app-x://bank_x"); // Create the URI to launch from a string. var uri = new Uri(uriToLaunch); // Launch the URI. bool success = await Windows.System.Launcher.LaunchUriAsync(uri); 7.4 Återstart av FP-app i iOS För att BankID säkerhetsapp i iOS ska kunna återstarta FP-app efter legitimering/underskrift måste FP: 1. registrera ett unikt URL-schema i FP-app, samt 2. hantera fallet då FP-app startas med URL-schema-förfarandet. I exemplen används URL-schemat fp_app_x. FP ska ändra fp_app_x till det URLschema FP vill använda. 7.4.1 Registrera schema I Xcode: 1. Öpnna Info.plist. 2. Högerklicka, välj ”Add Row” och ”URL Types”. 3. Öppna ”Item 0” och ange ”URL Identifier”, praxis är omvänt domännamn t.ex. se.företag.appnamn. 4. Högerklicka på ”Item 0”, välj ”Add Row” och ”URL Schemes”. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 14(29) Datum:2013-06-03 5. Ge nyckeln URL Schemes / Item 1 värdet fp_app_x. Exempel: 7.4.2 Hantera anrop I UIApplicationDelegate: implementera funktionen BOOL(application):(UIApplication *)application handleOpenURL:(NSUrl *)url. 7.1 Återstart av FP-app i Android I Android krävs ingen hantering motsvarande registrering av URL-schema i iOS. Efter utförd eller avbruten legitimering/underskrift avslutas BankID säkerhetsapp och FP App kommer åter att hamna i förgrunden och onResume() anropas i FP App. 7.2 Återstart av FP-app i Windows Phone 8 För att BankID säkerhetsapp i iOS ska kunna återstarta FP-app efter legitimering/underskrift måste FP: 3. registrera ett unikt URL-schema i FP-app, samt 4. hantera fallet då FP-app startas med URL-schema-förfarandet. I exemplen används URL-schemat fp_app_x. FP ska ändra fp_app_x till det URLschema FP vill använda. 7.2.1 Registrera schema Öppna App anifest.xml med en text-editor Lägg till ett "Tokens lägger du till följande: Hantera anrop / återstart I VisualStudio: Lägg till klassen AssociationUri apper enligt följande: <Extensions> <Protocol Name="fp-app-x" NavUriFragment="encodedLaunchUri=%s" TaskID="_default" /> </Extensions> 7.2.2 Hantera anrop I VisualStudio: Lägg till klassen AssociationUri apper enligt följande: <Extensions> Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 15(29) Datum:2013-06-03 <Protocol Name="fp-app-x" NavUriFragment="encodedLaunchUri=%s" TaskID="_default" /> </Extensions> /// <summary> /// The association uri mapper. /// </summary> internal class AssociationUriMapper : UriMapperBase { /// <summary> /// When overridden in a derived class, converts a requested uniform resource identifier (URI) to a new URI. /// </summary> /// <returns> /// A URI to use for the request instead of the value in the <paramref name="uri"/> parameter. /// </returns> /// <param name="uri">The original URI value to be mapped to a new URI.</param> public override Uri MapUri(Uri uri) { var tempUri = System.Net.HttpUtility.UrlDecode(uri.ToString()); // URI association launch. don't if (tempUri.StartsWith("/Protocol")) { // Here we can redirect to the correct page, but for now we return new Uri("/MainPage.xaml", UriKind.Relative); } } // Otherwise perform normal launch. return uri; } 1. I App.xaml.cs, lägg till AssociationUri apper som Uri apper genom att i metoden Initiali e honeApplication lägga till följande rad: // Assign the URI-mapper class to the application frame. RootFrame.UriMapper = new AssociationUriMapper(); 8 RP Interface Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Sida 16(29) Datum:2013-06-03 Version 1.0.7 8.1 Flöde och riktlinjer Här beskrivs rekommenderad användning för de olika användningsfallen. Fullständig beskrivning av RP Interface finns i avsnittet BankID säkerhetsapp RP Interface Description. 8.1.1 Legitimering 1. 2. Anropa BankID med funktionen Authenticate. SOAP-ramverket indikerar om anropet gick bra, legitimeringen behandlas nu av BankID-systemet. 8.1.2 Underskrift 1. 2. Anropa BankID med funktionen Sign. Texten i parametern userVisibleData kommer att visas för användaren vid underskriftstillfället. För att formatera texten kan CR, LF och CRLF användas och alla resulterar i en (1) radbrytning. Inga andra formateringsmöjligheter finns. SOAP-ramverket indikerar om anropet gick bra, underskriften behandlas nu av BankID-systemet. 8.1.3 Gemensam fortsättning för legitimering/underskrift 3. 4. 5. Anropa BankID med funktionen Collect för att få slutlig status på legitimering/underskrift. Anropet görs upprepade gånger tills statuskoden COMPLETE returneras, i avsnittet Statuskoder beskrivs samtliga statuskoder i detalj. Om Collect returnerar en felkod avbryts legitimeringen/underskriften och FP ska inte fortsätta att anropa Collect, i avsnittet Felkoder beskrivs samtliga felkoder i detalj. Collect returnerar med statusvärdet COMPLETE och legitimeringen/underskriften är klar. Personuppgifter returneras i parametern userInfo och kan användas för vidare bearbetning av FP. I ett typiskt flöde returneras först OUTSTANDING_TRANSACTION (användaren har inte startat BankID säkerhetsapp), sedan USER_SIGN (legitimeringen eller underskriften visas i telefonen) och till sist COMPLETE om användaren skrev in säkerhetskoden eller felkoden USER_CANCEL om användaren valde att avbryta. 8.1.4 Statuskoder I tabellen nedan beskrivs samtliga statuskoder i detalj. Statuskod Var har hänt? OUTSTANDIN G_TRANSACT ION USER_SIGN BankID säkerhetsapp är inte startad. Meddelande som FP bör använda RFA1 BankID säkerhetsapp har tagit emot RFA9 ordern. Visas i BankID säkerhetsapp Legitimeringen eller underskriften. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part COMPLETE Sida 17(29) Datum:2013-06-03 Version 1.0.7 Användaren har skrivit in sin säkerhetskod och slutfört legitimeringen eller underskriften. Om BankID säkerhetsapp startades av FP avslutas nu BankID säkerhetsapp och FP återstartas. 8.1.5 Felkoder I tabellen nedan beskrivs samtliga felkoder i detalj. FP ska inte fortsätta att anropa Collect efter att ha mottagit en felkod. Felkod Var har hänt? Felaktigt anrop. FP ska inte försöka igen med samma anrop. Det här är ett internt fel hos FP och ska inte kommuniceras till användaren som ett BankID-fel. ACCESS_DENI FP är inte behörig. FP ska inte ED_RP försöka igen. Det här är ett internt tekniskt fel hos FP och ska inte kommuniceras till användaren som ett BankID-fel. SIGN_VALIDA Internt tekniskt fel. FP bör inte TION_FAILED försöka automatiskt igen. Ska inte kommuniceras till användaren som ett BankID-fel. RETRY Tillfälligt tekniskt fel i systemet. INTERNAL_ER Internt tekniskt fel i systemet. FP ROR bör inte försöka automatiskt igen. UNKNOWN_U 1) Användaren finns inte i systemet SER eller användaren har inget giltigt BankID. FP ska inte försöka igen utan att först ha försäkrat sig om att användaren har hämtat ett BankID. Meddelande som FP bör använda INVALID_PAR AMETERS 2) Användaren har skrivit in fel säkerhetskod upprepade gånger och har fått sin säkerhetskod permanent låst. När det inträffar kan användaren inte använda sitt BankID. 3) Användarens BankID är spärrat. 4) Användarens BankID är ogiltigt. Visas i BankID säkerhetsapp Inget Inget RFA5 Inget RFA5 RFA5 Inget Inget RFA4 1) Inget 2) ”Din säkerhetskod är låst, du måste hämta ett nytt BankID hos din internetbank” 3) ”Ditt BankID är spärrat, du måste hämta ett nytt hos din internetbank” 4) Giltighetstiden på ditt BankID har gått ut, du måste hämta ett nytt hos din internetbank” Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Felkod Sida 18(29) Datum:2013-06-03 Version 1.0.7 Var har hänt? FP har fortsatt att anropa Collect efter att COMPLETE har returnerats. Internt tekniskt fel hos FP som inte ska försöka igen. Ska inte kommuniceras till användaren som ett BankID-fel. EXPIRED_TRA Legitimeringen har passerat bästNSACTION före-datum. Det kan bero på att användaren inte startade BankID säkerhetsapp eller att användaren besvarade legitimeringen/underskriften men FP väntade för länge mellan Collect-anropen. INVALID_DEV Fel på BankID säkerhetsapp, ICESW äkthetsverifieringen misslyckades. ALREADY_IN Användaren har redan en pågående _PROGRESS legitimering eller underskrift. FP ska inte automatiskt försöka igen. USER_CANCE Användaren har valt att avbryta L legitimeringen eller underskriften i BankID säkerhetsapp. Meddelande som FP bör använda ALREADY_CO LLECTED TIME_BLOCK ED CANCELLED Användarens säkerhetskod är tillfälligt låst p.g.a. användaren har skrivit in fel säkerhetskod upprepade gånger. OBS: I produktion är systemet konfigurerat så att TIME_BLOCKED inte kan inträffa, istället kommer säkerhetskoden bli permanent låst efter 5 på varandra felaktig försök. Vid permanent låst säkerhetskod kommer felkoden UNKNOWN_USER att returneras. En ny begäran om legitimering eller underskrift har inkommit för samma användare. 8.2 Krav på teknisk lösning Riktlinjer Visas i BankID säkerhetsapp Inget RFA8 ”Legitimeringen avbruten p.g.a. inaktivitet” RFA12 ”Icke-godkänd användare” Inget RFA3 RFA6 RFA11 RFA6 Om BankID säkerhetsapp startades av FP avslutas nu BankID säkerhetsapp och FP återstartas. ”Din säkerhetskod är tillfälligt låst” ”Åtgärden avbruten” Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 19(29) Datum:2013-06-03 RFT1 När BankID säkerhetsapp anropas med hjälp av en URL skall query-delen av URL:en vara kodad med URL UTF-8-formatet. RFT2 BankID säkerhetsapp anropas med hjälp av en URL skall request-parametern redirect inte vara längre än 2048 tecken. RFT3 När BankID säkerhetsapp anropas med hjälp av en URL bör redirect innehålla schemat https (dvs använda SSL). RFT4 Personnummer i RP-interface ska anges med 12 siffror (ååååmmddxxxx) RFT5 Text-to-be-signed i RP-interface kan formateras genom att inkludera tecknet \n som kommer att visas som radbrytning RFT6 När Collect returnerar COMPLETE ska parametrarna signature, userInfo och ocspResonse läsas ut och arkiveras av FP. FP behöver inte verifiera signaturen då detta görs av BankID. RFT7 FP kontaktar BankID RP Interface på följande adress: https://appapi.bankid.com/RpServiceEjb/RpService/v2/RpService RFT8 FP ska autentisera sig med klient-SSL mot BankID och skall för detta använda sitt FP-certifikat. RFT9 Collect bör anropas en gång varannan sekund och ska inte anropas oftare än en gång per sekund. RFT10 FP bör i sin webbtjänst visa en rörlig väntesymbol i väntan på slutligt svar från Collect. 8.3 Riktlinjer för meddelanden RFA1 RFA2 RFA3 RFA4 RFA5 RFA6 RFA7 RFA8 RFA9 MEDDELANDE_STARTA_BANKID_APP: Starta din BankID säkerhetsapp. MEDDELANDE_DEVICESW_SAKNAS: Du har inte BankID säkerhetsapp installerad. Kontakta din bank för att installera BankID säkerhetsapp och för att hämta BankID. MEDDELANDE_PÅGÅENDE_OPERATION: En inloggning eller underskrift för det här personnumret är redan påbörjad, tryck avbryt i BankID säkerhetsapp och försök igen. MEDDELANDE_USER_DENIED: Det angivna personnumret saknar ett fungerande Mobilt BankID. Ange ett annat personnummer eller kontakta din bank för att beställa ett Mobilt BankID. MEDDELANDE_PERMANENT_FEL: Det har inträffat ett internt tekniskt fel i systemet. Försök igen. MEDDELANDE_USER_CANCEL: Åtgärden avbruten. Avsiktligt tom, används ej längre. MEDDELANDE_USER_TIMEOUT: Inget svar från mobiltelefonen eller surfplattan. Kontrollera att du har startat din BankID säkerhetsapp och att du har täckning. Följ instruktionerna i mobiltelefonen och försök igen. MEDDELANDE_GODKÄNN_ELLER_AVBRYT: Skriv in säkerhetskoden till ditt BankID i din mobiltelefon eller surfplatta och välj Legitimera / Skriv under eller välj att avbryta. RFA10 Avsiktligt tom, används ej längre. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 20(29) Datum:2013-06-03 RFA11 MEDDELANDE_TIME_BLOCKED: Du har skrivit in fel säkerhetskod upprepade gånger och din säkerhetskod är tillfälligt låst. Försök igen senare. RFA12 MEDDELANDE_INVALID_DEVICE_SW: Det har inträffat ett internt tekniskt fel. Uppdatera din BankID säkerhetsapp och försök igen. 8.1 Speciella noteringar om Webbservicen 8.1.1 Versioner Om webbservicen ändras på så sätt att nya parametrar kan användas eller returneras, att befintliga parametrar försvinner, att nya svarskoder returneras, nya metoder tillkommer eller befintliga försvinner kommer detta att betraktas som en ny version som publiceras på en ny url, till exempel publiceras version 2 av tjänsten på https://appapi.bankid.com/RpServiceEjb/RpService/v2/RpService. Förlitande part skall alltid använda den senaste versionen av webbservicen. Vi förbehåller oss rätten att stänga av äldre versioner av tjänsten när vi vill men kommer först att, i den mån det är möjligt och korrekta kontaktuppgifter finns tillgängliga, informera förlitande parter i god tid innan så att de hinner ändra i sina tjänster. 8.1.2 Testmiljön Nya versioner och releaser körs i testmiljön innan de produktionssätts. Därför kan innehåll och funktionalitet i testmiljön tillfälligt skilja sig från innehållet i produktionsmiljön. 8.1.3 Ingen soapAction Tjänsten använder url för att specificera vilken action som ska tas. soapAction i headern skall vara ”” eller utelämnas helt. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part 9 Version 1.0.7 Sida 21(29) Datum:2013-06-03 Anslutningsinformation Beskrivning SSL-certifikat (FPcertifikat) URL till webbservices Specifikation av webbservice Servercert Plats/Information/Värde Erhålls från den bank som ni tecknat avtal om BankID med. https://appapi.bankid.com/RpServiceEjb/RpService/v2/RpServi ce https://appapi.bankid.com/RpServiceEjb/RpService/v2/RpServi ce?wsdl Servercertifikatet är utgivet av följande CA: CN = BankID SSL Root Certification Authority OU = Infrastructure CA O = Finansiell ID-Teknik BID AB Cert: -----BEGIN CERTIFICATE----MIID6jCCAtKgAwIBAgIQSvZNAy61UF6qO2zWqvN/3zANBgkqhkiG9w0BAQUFADB0 MSQwIgYDVQQKDBtGaW5hbnNpZWxsIElELVRla25payBCSUQgQUIxGjAYBgNVBAsM EUluZnJhc3RydWN0dXJlIENBMTAwLgYDVQQDDCdCYW5rSUQgU1NMIFJvb3QgQ2Vy dGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMDgxMjE5MDg1OTAxWhcNMTkwNjAxMjE0 NTAwWjB0MSQwIgYDVQQKDBtGaW5hbnNpZWxsIElELVRla25payBCSUQgQUIxGjAY BgNVBAsMEUluZnJhc3RydWN0dXJlIENBMTAwLgYDVQQDDCdCYW5rSUQgU1NMIFJv b3QgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwggEiMA0GCSqGSIb3DQEBAQUAA4IB DwAwggEKAoIBAQCzqv7Rn43VFyTGicb+qjSGNeJga6GWQkMEXn9NvqCfknpaz4kf RbNHoQvtmw7CsiL83hMNU5y0EI6wC45Whn8ZXJ5/eqj1zBSu7QqKctEbMjWf6sf2 VUyE7lns6FxRFAgbhM2RS5LnWCfRsSgjKLXbJk7S2O/qVWdlxU1fAYfjbja1xhQm jArtvCYv9D2f8MBgH9sOsabVdLEKtiXj9NpBiXIi+c9DUpzvY1qnY02dsSudVwm3 IwJlEljLfjcBQDtJlm/7TbKsnqvW8s+NT6JBputUZT8Mqsv63meEbhxcq6vNcNKZ SgeHZDmr9lY2hmmVK9TcgfWHHkymUAWTGRQzAgMBAAGjeDB2MA8GA1UdEwEB/wQF MAMBAf8wEwYDVR0gBAwwCjAIBgYqhXBOAQQwDgYDVR0PAQH/BAQDAgEGMB0GA1Ud DgQWBBS2GCMB5GeakO2/WOqKJJXGAop6tTAfBgNVHSMEGDAWgBS2GCMB5GeakO2/ WOqKJJXGAop6tTANBgkqhkiG9w0BAQUFAAOCAQEAe4vukBbEjzsYC8Mv1xLcUQVD gYTgnqvP8Lr8yABfNfhh+iIoFK7QvVD3Z+bIBnGEGutB5K78UTadKINittSKA4T4 3Uy/p/blqew8Sqhv0I5MVlW71++HiPth4xwHAoxfe4oyTQaJRgls1CCsCBnuT9IF 6nGUNziC46RqIlhiY7zDzROtBWjqJzq+QvO07s73m+GPk8kZVwQrtyFT2IuYMH23 od/sRe2W5GClo2d62SBrzywYJZAaBNY9yl6weMdqWRqJz0mYZHrvLCQ1xrq4nvpL bMDfs1wD3vctSXLBFfBU9qw+CYTBN4UJ7BHQw1r2KGeAjm5grkL7Z7lQzTWSqw== -----END CERTIFICATE----- Brandväggsinformation BankID säkerhetsapp för produktion kontaktar BankID-servern på adressen 194.242.109.204 och portarna TCP / 4711, 4710, 443, 80. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 22(29) Datum:2013-06-03 10 Testmiljö BankID tillhandahåller en testmiljö så att FP kan utveckla och testa mot ett system med riktiga gränssnitt. För att använda testmiljön behöver FP: 1. ett SSL-certifikat (FP-certifikat) för att identifiera sig för BankID:s webbservice. 2. URL till BankID:s webservice för inloggning och signering. 3. Konfigurera utgivare av servercertifikat som skyddar webbservicen som ”trusted” i sin applikationsserver från vilken anrop till BankID görs 4. Testversion av BankID Säkerhetsapp installerat i en telefon. 5. Ett testbankid utgivet till aktuell telefon. Beskrivning SSL-certifikat (FPcertifikat) för test Pinkod för ovanstående certifikat URL till webbservices Specifikation av webbservice Utgivare av servercert Plats/Information/Värde http://bankid.com/RP/Info qwerty123 https://appapi.test.bankid.com/RpServiceEjb/RpService/v2/RpS ervice https://appapi.test.bankid.com/RpServiceEjb/RpService/v2/RpS ervice?wsdl CN = BankID SSL Root Certification Authority TEST OU = Infrastructure CA O = Finansiell ID-Teknik BID AB Certifikat: -----BEGIN CERTIFICATE----MIID8zCCAtugAwIBAgIRAODr4WfulmxifqSx8UEMbyIwDQYJKoZIhvcNAQEFBQAw eTEkMCIGA1UECgwbRmluYW5zaWVsbCBJRC1UZWtuaWsgQklEIEFCMRowGAYDVQQL DBFJbmZyYXN0cnVjdHVyZSBDQTE1MDMGA1UEAwwsQmFua0lEIFNTTCBSb290IENl cnRpZmljYXRpb24gQXV0aG9yaXR5IFRFU1QwHhcNMDgxMjA0MTMyNTU1WhcNMTkw NjAxMTIxODAwWjB5MSQwIgYDVQQKDBtGaW5hbnNpZWxsIElELVRla25payBCSUQg QUIxGjAYBgNVBAsMEUluZnJhc3RydWN0dXJlIENBMTUwMwYDVQQDDCxCYW5rSUQg U1NMIFJvb3QgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkgVEVTVDCCASIwDQYJKoZI hvcNAQEBBQADggEPADCCAQoCggEBAOZh4Y7AkqrGb4LL/HCnqx0AmCdaHXKmJqbt NyIE3ppEnWYR6hGrZcSKRAYkU8ShS0Sf647Bj4tXiVQYg1msIvYgZ8h4QJqkqMYY 2nwJC2cDbtc3TL6ppXQVmIiS6wZewV1GL2xKUEPbKgDPiSgFyh3W1d/QihUwnwoa CGQ/crivftaNTnp4ZqQod9k35WfBy8xdB7cLHFeznfHoP1ZLOHza9bprT0F8YzEa u5CoCMxWPe0sY9aQC8oO3gKyohJrxnxTlDY2cMLXTCiUWIYh+ubybZ3Hqw1YFEmE 4IyiGyT9+LUChFhM0p53eR3GRUU7laxFVbVLuVdbIV0ZRL+0Eb8CAwEAAaN2MHQw DwYDVR0TAQH/BAUwAwEB/zARBgNVHSAECjAIMAYGBCoDBAUwDgYDVR0PAQH/BAQD AgEGMB0GA1UdDgQWBBSlaUGnPvmNu9R9LsDgulauQCwrvTAfBgNVHSMEGDAWgBSl aUGnPvmNu9R9LsDgulauQCwrvTANBgkqhkiG9w0BAQUFAAOCAQEAY1zWz1oV3ZMC 78uhGYA+j6Zktps9IXzIw3v1T3wtYclUoJI594w7vmTMqFY9z2mnms+gKTxCO/70 MpCNMgKSLj2bGsrMWHCvnDWpmYY5ZkDP2GWB6aqy+ehRmlYjUbPhjD44Xfjh/Stq 1yXCUfesLUHZDcBxpDspOwldWl7rhkE7QPj5hdSP85l04oIcnYiMyOPTt+4LNYN+ ncb0a/ZkJcUL7Q9NGJfmEhAmHcCpK8j1coSh36D8JMeSblVTBEWpnBMP5zXKAkzf OzZLGyy9RnV51NhRMRnQtDOFCZ9vQuuyCE/TZeOp4IgZctEvt2Aab23fx5jWBbzC EtEmq/VqaQ== -----END CERTIFICATE----- Testversion BankID säkerhetsapp för Android Installationsinstruktion http://bankid.com/RP/Info http://bankid.com/RP/Info Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Testversion BankID Säkerhetsapp för iOS Version 1.0.7 Sida 23(29) Datum:2013-06-03 Installera BankID säkerhetsapp från App Store. Gå in i Inställningar BankID Utvecklare Server. Skriv in businternal.test.bankid.com. Denna inställning innebär att BankID säkerhetsapp kommer att kommunicera med ett testsystem istället för produktionssystemet. Notera: För att återställa denna inställning måste appen avinstalleras och installeras igen. Testversion BankID Installera BankID säkerhetsapp från Windows Phone Store. Säkerhetsapp för Windows Starta BankID säkerhetsapp, gå in i inställningar Phone 8 Utvecklare Server. Skriv in businternal.test.bankid.com. Spara, stäng BankID säkerhetsapp och starta appen igen. Denna inställning innebär att BankID säkerhetsapp kommer att kommunicera med ett testsystem istället för produktionssystemet. Notera: För att återställa denna inställning måste appen avinstalleras och installeras igen Mobilt BankID för test Gör steg 1-4 först och bekräfta att du kan göra de tekniska anropen till BankID-Servern. Rutin för att erhålla Mobilt BankID för test: Tills vidare görs detta med en manuell rutin. Skicka ett mail till mobiltbankid@bankid.com och beskriv var du arbetar, syftet med din utveckling och telefonnummer. Rutinen går i korthet sedan till så att vi kontaktar er och manuellt initierar utgivning av ett testbankid, ni matar in uppgifter i BankID Säkerhetsapp och vi verifierar att det nyligen utgivna BankID:t fungerar. Brandväggsinformation BankID säkerhetsapp för test kontaktar BankID-servern på adressen 194.242.109.185 och portarna TCP / 4711, 4710, 443, 80. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 24(29) Datum:2013-06-03 11 Support För tekniska frågor ska ni i första hand vända er till mailto:mobiltbankid@bankid.com. I övriga frågor hänvisas till den bank som ni har avtal med om användandet av BankID. Riktlinjer RFS1 Förlitande part bör informera användare vad användaren skall göra när han/hon glömt sin säkerhetskod (d.v.s. kontakta utfärdare). RFS2 Förlitande part ska ge användare support för sin egen tjänst. RFS3 Vid användarproblem ska förlitande part uppmana användaren att testa BankID säkerhetsapp på BankIDs testplats (test.bankid.com) för felsökning. 1. Om test inte kan genomföras med godkänt resultat på BankIDs testplats ska förlitande part a. hänvisa användaren till utfärdarens support om användaren har problem med BankID. b. hänvisa användare till mobiloperatör om användare har telekommunikationsorienterat problem. 2. Om användare inte har problem att legitimera sig och underteckna på BankIDs testplats ska användare hänvisas till support hos förlitande part. RFS4 Förlitande part bör ha en egen FAQ. Underlag finns i referens [5]. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 25(29) Datum:2013-06-03 12 BankID säkerhetsapp RP Interface Description 12.1 Introduction This document describes the RP Web Service interface for the BUS Server. The interface is used by a Relying Party, RP to request authentication and signature from a mobile device client. The resulting XML signature is validated before it is returned to the RP. The web service contains the methods described below and is defined by the WSDL 0 and XSD 0 for the latest version 2. There is also an older version defined by the WSDL 0 and XSD 0 that will eventually be deprecated. SSL/TLS is used to secure the transport towards the web service. Client authentication is required with SSL/TLS client certificates. The client certificate is issued by BankID RP CA (“köparcertifikat”). 12.2 Version As the RP Web Service interface evolve over time new parameters and methods will be added. The changes will be in a new version of the interface leaving the existing version unchanged for a while but the old version will eventually be deprecated and removed. As new functionality is introduced to the system then the behaviour of an existing version of the interface may change, e.g. existing faults may also be used in new situations. New RPs should use version 2 and existing RPs should upgrade to version 2. This document is written for the latest version 2 of the interface and details of the older version are found in an older version of this document. The first version was released during 2011 with the formal version 1.0.0. This version will be deprecated in the future and RPs should start using version 2. Version 2 with formal version 2.0.0 adds some new types and parameters to existing methods. There is also a new fault to handle the new RP cancel functionality. 12.3 URL Each version of the interface has a unique URL. Version 2: https://server:port/RpServiceEjb/RpService/v2/RpService Version 1: https://server:port/RpServiceEjb/RpService/RpService 12.4 References Reference [1] Document title RpService.wsdl Version 1.0.0 [2] RpService.xsd 1.0.0 [3] RpService_v2.wsdl 2.0.0 [4] RpService_v2.xsd 2.0.0 [5] Signature Profile for BankID 1.5 [6] OCSP, RFC 2560, http://www.ietf.org/rfc/rfc2560.txt 12.5 Authenticate Request an authentication order. This is an asynchronous operation and the output is used later in the Collect method to query the status of the order and to get the final XML signature. New from version 2 is that if an Authenticate or Sign order is already in progress for a personalNumber when Authenticate is issued then the attempt fails as before but now the existing order is also cancelled. No order is in progress for personalNumber after that. 12.5.1 Input A new optional parameter endUserInfo was introduced in version 2. The input parameters are also wrapped in the new element AuthenticateRequest, which includes the single parameter in version 1. The input parameters to Authenticate are the following: Parameter personalNumber Description The Personal Number (i.e “personnummer”) of the End User to enroll. Required Yes Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 26(29) Datum:2013-06-03 Format is 12 digits. endUserInfo Additional information about the end user that is known by the RP. This is a list of elements of type EndUserInfoType,. The number of items in the list is in the range 0 to 20. There can be no duplicates for the type element in .EndUserInfoType. This is a new parameter from version 2. No 12.5.2 Output Output parameter from Authenticate is the following: Parameter orderRef Description An identifier that uniquely identifies the order. Used later in the Collect method to collect the Authenticate response and to query status. The operation succeeds as long as there are at least one valid BankID else the fault UNKNOWN_USER is thrown. 12.5.3 Fault If the operation fails a fault will be returned. This fault will contain a code (an XML enumeration) and a detailed description, see Fault chapter. 12.6 Sign Request a signature order. This is an asynchronous operation and the output is used later in the Collect method to query the status of the order and to get the final XML signature. New from version 2 is that if an Authenticate or Sign order is already in progress for a personalNumber when Sign is issued then the attempt fails as before but now the existing order is also cancelled. No order is in progress for personalNumber after that. 12.6.1 Input A new optional parameter endUserInfo was introduced in version 2. The input to Sign is wrapped in the element SignRequest, which contains the following sub-elements: Parameter personalNumber Description The Personal Number (i.e “personnummer”) of the end user to enroll. Format is 12 digits. Required Yes userVisibleData The text to be displayed and signed. Must be UTF-8 encoded. The value should be base 64-encoded. Max 40KB (after base 64-encoding). Yes userNonVisibleData Data that is not displayed to the user at time of signature computation. The value should be base 64-encoded. Max 5MB (after base 64encoding). No endUserInfo Additional information about the end user that is known by the RP. This is a list of elements of type EndUserInfoType. The number of items in the list is in the range 0 to 20. There can be no duplicates for the type element in .EndUserInfoType. This is a new parameter from version 2. No 12.6.2 Output Output parameter from Sign is the following: Parameter orderRef Description An identifier that uniquely identifies the order. Used later in the Collect method to collect the Sign response and to query status. The operation succeeds as long as there are at least one valid BankID else the fault UNKNOWN_USER is thrown. Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Version 1.0.7 Sida 27(29) Datum:2013-06-03 12.6.3 Fault If the operation fails a fault will be returned. This fault will contain a code (an XML enumeration) and a detailed description, see Fault chapter. 12.7 Collect This method is used to query the status of an Authenticate or a Sign order. The return value is only progress status until the end user is finished and the order is complete. Once the order is complete the return values are also the resulting XML signature, the OCSP response when validating the end user BankID and some information about the end user. Some new elements for information about the end user was introduced in version 2. 12.7.1 Input The input parameter to Collect is the following: Parameter orderRef Description An identifier that uniquely identifies an order. Returned by Authenticate or Sign method. Required Yes 12.7.2 Output Output parameters from Collect are the following: Parameter progressStatus Description An enumeration describing at what stage the processing of the Authenticate or Sign order, see 12.7.5 below Required Yes signature A validated Signature encoded as base 64. The XML format is according to 0. This is only present if progressStatus is COMPLETE. No userInfo An element of type UserInfoType with information about the end user, see 12.7.4. This is only present if progressStatus is COMPLETE. No ocspResponse Status of the BankID certificate when the signature was validated, OCSP response encoded as base 64, see 12.7.3. This is only present if progressStatus is COMPLETE. No 12.7.3 OCSP Response The OCSP 0 response is signed by a certificate that has the same issuer as the certificate being verified (i.e. the BankId). The OSCP response has an extension for Nonce. The nonce is calculated as: SHA-1 hash over the base 64 XML signature encoded as UTF-8. This is the value in the signature element in Collect output. 12 random bytes is added after the hash The nonce is 32 bytes (20 + 12). 12.7.4 UserInfo type UserInfoType holds information about the end user that is returned to the RP. It has been updated for version 2 with two new elements. Parameter name Description Name of the end user. Required Yes personalNumber Yes notBefore The Personal Number (i.e “personnummer”) of the end user. Format is 12 digits. Validity time for the BankId. notAfter Validity time for the BankId. Yes givenName Given name of the end user. This is a new element from version 2. Yes Yes Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part surname Version 1.0.7 Surname of the end user. This is a new element from version 2. Sida 28(29) Datum:2013-06-03 Yes 12.7.5 Status The progressStatus element in the Collect response message is of the type ProgressStatusType that is an enumeration with the following elements: Status COMPLETE Description The signature is complete and is included in the response. USER_SIGN The request has been delivered to the End User (mobile client). OUSTANDING_TRANSACTION The request has not yet been sent to the End User. 12.8 EndUserInfo Type The type EndUserInfoType was introduced in version 2 and holds information about the end user that is known by the RP. It is a parameter in the Authenticate and Sign method. Parameter type Description Required The type of information about the end user. There are two allowed Yes types (string, 1 - 20 characters): IP_ADDR_WEB - End user web IP address. This should be the remote address and not a HTTP header value. IP_ADDR_APP – End user App IP address. This should be the remote address and not a HTTP header value. More types may be added in the future. This will not affect the RP Web Service interface version. value The value for the type, string 1 - 1024 characters. Yes 12.9 Fault All Services methods return RpFault if an error occurs. It has the following sub-elements: Parameter faultStatus Description A fault status enumeration of type FaultStatusType described below, see 12.9.1. detailedDescription Additional information describing the error. 12.9.1 Fault status All faults are of the FaultStatusType enumeration type. One new fault was introduced in version 2. One existing fault in version 1 is also used in a new situation. It has the following elements: Status INVALID_PARAMETERS Description Input parameters are missing or invalid. ACCESS_DENIED_RP The security configuration of the RP does not allow the requested operation. This can be if the RP is not configured at all, that the RP is not enabled or that the RP does not have access to the order (i.e. the order belongs to another RP) SIGN_VALIDATION_FAILED The PKI validation of the signature for Authentication or Sign failed. Could be caused by the mobile client not encrypting correctly. RETRY Some kind of temporary problems. This is if the OCSP server has temporary problems that prevent the verification of the End User for signatures. Retry at a later time. INTERNAL_ERROR Internal error in RpService. This is some kind of unexpected error in the system, e.g. problems with network or database. Also of the OCSP server can’t be contacted. UNKNOWN_USER The End User is unknown or not valid. The reason for this can be that the End user is never enrolled or that the BankID is expired, revoked or Finansiell ID teknik BID AB Riktlinjer för Mobilt BankID till förlitande part Sida 29(29) Datum:2013-06-03 Version 1.0.7 blocked. This fault is also returned if the End User is not valid when verifying a signature. ALREADY_COLLECTED The signature has already been collected; it can only be collected once. EXPIRED_TRANSACTION The queried transaction has expired. The check for expired transaction is done first, before starting to handle the collect request. This fault will only be returned when the order becomes expired, repeated calls will return INVALID_PARAMETERS TIMEOUT Not used INVALID_DEVICESW The mobile client is invalid. This is due to not following the protocol correctly in the Genuine Software Verification. ALREADY_IN_PROGRESS The End User already has a request to process. There can only be one request for an End User at a time. Cancel the order in the mobile client or retry later when the order has expired. USER_CANCEL The mobile client reported that the End User cancelled the Authenticate or Sign request. This fault also has a new behaviour for version 1. RPs using version 1 of the interface will get this fault for the new RP cancel order handling. The new fault CANCELLED is sent to RPs using version 2, see below. TIME_BLOCKED The End User has entered invalid security code too many times and is now blocked for a period of time. After that time the End User can use the mobile client again. After a number of TIME_BLOCKED situations the End User is permanently blocked and UNKNOWN_USER is returned. CANCELLED The order has been cancelled. If an Authenticate or Sign order is already present for a personalNumber when a new one is ordered then the RP that first created the order receives this fault and the order is cancelled. The RP that sends the second order receives ALREADY_IN_PROGRESS fault. There is no order active for personalNumber after that. If the first RP is using version 1 of the interface then the existing fault USER_CANCEL is used. This is a new fault from version 2. 13 Rekommenderade termer Beskrivning Rekommenderad term på svenska Rekommenderad term på engelska Mobilt BankID Mobilt BankID Mobile BankID BankID säkerhetsapp BankID säkerhetsapp BankID Security App Säkerhetskod/lösenord/PIN-kod Säkerhetskod Security code Underteckna/signera Underteckna Sign Underskrift/Signatur Underskrift Signature Identifiera/autentisera/legitimera sig Legitimera sig Identify Identifiering/autentisering/legitime ring Legitimering Identification
© Copyright 2024