Digitaliseringsstyrelsen



Relaterede dokumenter
Digitaliseringsstyrelsen

Digitaliseringsstyrelsen

Guide til NemLog-in Security Token Service

Udvidet brug af personligt NemID i erhvervssammenhæng

Certifikatpolitik for NemLog-in

Specifikationsdokument for OCSP

Guide til integration med NemLog-in / Signering

NemID privat til erhverv

1. Send Digitalt knappen anvendes til at afsende meddelelsen til de valgte modtagere. (Alt- S)

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

Kald af PingService via SOAPUI

STS Driftsvejledning. STS Driftsvejledning

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: STATUS: FRIGIVET DATO: 22.

Specifikationsdokument for OCSP

Digitaliseringsstyrelsen

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Forretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services

STS Designdokument. STS Designdokument

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Løsningsbeskrivelse og visuelle guidelines Dokumentet er en del af NemID tjenesteudbyderpakken.

Anbefalede testprocedurer

STS Anvenderdokument i. STS Anvenderdokument

Årsafslutning i SummaSummarum 4

Guide til kravspecifikation

Notat om håndtering af aktualitet i matrikulære sager

Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

Guide til integration med NemLog-in / Web SSO

Affaldsdatasystem Vejledning supplement i system-til-system integration for.net brugere

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

NemID DataHub adgang. & Doc , sag 10/3365

TEST MED SP. En kort intro

SSO - FAQ - Kendte problemer med opsætninger

Timeout-politik for den fællesoffentlige føderation

Guide til integration med NemLog-in / Brugeradministration

Oprettelse og vedligeholdelse af rejseprofil hos CWT

Valg af webservice standard

Termer og begreber i NemID

Session oprettet hos egen serviceudbyder Varianter

Security Token Service. Snitflade OIO WS Trust

Webservice kald. System-til-system integration. Ny Easy. ATP 1. februar 2017

Ibrugtagning af Adgangsstyring for brugere V 0.11

Funktionalligninger - løsningsstrategier og opgaver

Overgangen til RejsUd fra andet rejseafregningssystem

Efteruddannelsesudvalget for bygge/anlæg og industri

STS Anvenderdokument. STS Anvenderdokument

Styrelsen for Arbejdsmarked og Rekruttering STAR-VITAS. AD & ADFS opsætning til VITAS. Version 1.7. Dato 19. februar Reference [Reference]

Introduktion til NemID og NemID tjenesteudbyderpakken

Kravspecifikation for SOSI-GW komponenten

SMARTair Genesis. Manual for slutbruger

Specifikationsdokument for OCSP

1.1 Formål Webservicen gør det muligt for eksterne parter, at fremsøge informationer om elevers fravær.

Vilkår for integration til SAPA Dialogintegration

UNI Login. Adgangskontrol

Clublog Dansk vejledning af OZ0J Version 1.0 opdateret juli Forord. Denne vejledning indeholder opstart og løbende brug af Clublog.

Indsend dine ydelseskort via web a-kassen på

ELEKTRONISK INDBERETNING BØRNEDATABASEN VIA DGWS 13/ VERSION 1.02

Termer og begreber i NemID

Til underviseren. I slutningen af hver skrivelse er der plads til, at du selv kan udfylde med konkrete eksempler fra undervisningen.

Få helt styr på NemID

Ansøgervejledning for elever i 9. kl. Brugervejledning til Optagelse.dk

INSTALLATIONSGUIDE ConnectLine telefon-adapter

Dokumentation. Udbyder : sms1919.dk Service : sms-dialog Version : v1.01

Fra Amgros indledte Dorthe Bartels, Chef for Udbud & Logistik Lægemidler, mødet med at byde velkommen og præsentere eftermiddagens program.

Version Dato Beskrivelse /11/2012 Initial version /03/2013 Tilføjet eksempel med Template Agent, generelt udvidet dokumentet.

Version 1.7. Integrationstest ved tilslutning til NemLog-in. Side 1 af marts 2014

CRMProxy. Installation og opsætning

Anbefalede testprocedurer

NemHandel infrastruktur. Lars Houe Heinrich Clausen 4. November 2010

Tilbudsportalen REST testklient

Spørgsmål og svar. Udbud af betalingsparkering ved Odense Universitetshospital og. Svendborg sygehus

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

AuthorizationCodeService

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Undgå driftsafbrydelser på grund af udløbet virksomheds- eller funktionssignatur

FAQ. Waoo! Web TV på computeren. Fiberbredbånd TV Telefoni

1 Introduktion Hvilke nødprocedurer kan tages i brug? Vær forberedt på det uventede!... 4

IndFak Kontrakt manual

Dette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity Providere.

Login til den digitale ansøgningsportal

Version 1.4. Integrationstest ved tilslutning til NemLog-in. Side 1 af april 2013

Trin-for-trin guide: Tilslutning af web service til NemLog-in

Transkript:

Nemlog-in Hjælp til fejlsøgning af din løsning Version: 3.0 ID: 32309 2012-12-13

Indholdsfortegnelse 1 INTRODUKTION... 3 2 VERIFICERING AF METADATA... 4 2.1 BENYTTER JEG DET RIGTIGE SIGNERINGSCERTIFIKAT?... 4 2.2 PASSER ENTITYID MED DEN LØSNING JEG ARBEJDER MED?... 4 2.3 SKAL JEG ANGIVE NAMEIDFORMAT?... 5 2.4 ATTRIBUTTEN UNIQUEACCOUNTKEY... 5 3 MIN LØSNING FEJLER UNDER LOGIN TIL NEMLOG-IN... 6 3.1 ER <AUTHNREQUEST> KORREKT SIGNERET?... 6 3.2 ER NAMEIDPOLICY ANGIVET I <AUTHNREQUEST>?... 6 3.3 ER ASSERTION CONSUMER SERVICE KORREKT ANGIVET I <AUTHNREQUEST>?... 7 3.4 <SCOPING> ELEMENT I <AUTHNREQUEST>... 8 3.5 <REQUESTEDAUTHNCONTENXT> ELEMENT I <AUTHNREQUEST>... 8 4 MIN LØSNING FEJLER EFTER LOGIN I NEMLOG-IN... 9 4.1 MIN LØSNING KAN IKKE DEKRYPTERE ASSERTION... 9 4.1.1 Java Cryptography Extension (JCE)... 9 4.2 MIN LØSNING FORVENTER TYPE-ERKLÆRING I <ATTRIBUTEVALUE> ELEMENTER... 9 5 REFERENCER... 10 6 ÆNDRINGSLOG... 11 2012-12-13 Version: 3.0 Side 2 af 11

1 Introduktion Dette dokument beskriver typiske årsager til fejl der er observeret i forbindelse med test mod det nye Nemlog-in. Hvis du har oplevet fejl i forbindelse med at få adgang til testmiljøet, kan det skyldes, at der er fejl i jeres test metadata, eller der ikke er registret test metadata for jeres løsning i NemLog-in. Dokumentet kan hjælpe dig med: At verificere dine metadata før du udveksler dem med Nemlog-in. Der henvises til afsnit 2. Verificering af metadata. At forberede konfiguration af din løsning samt fejlsøge når du tester din løsning mod Nemlog-in. Der henvises til afsnit 3. Min løsning fejler under login til Nemlog-in og 4. Min løsning fejler efter login i Nemlog-in. I dokumentet anvendelse betegnelsen Nemlog-in1 for det eksisterende Nemlog-in. Det nye Nemlog-in refereres Nemlog-in. 2012-12-13 Version: 3.0 Side 3 af 11

2 Verificering af metadata Mange af de observerede fejl kan tilbageføres til løsningers metadata der er udvekslet med Nemlog-in. Før du udveksler metadata for din løsning er det derfor en god ide, at kontrollere metadata for de beskrevne fejl i dette afsnit. Bemærk at testmiljøet stiller en metadatavalidator til rådighed, som vil være i stand til at identificere flere af de beskrevne fejl. Der henvises til beskrivelse af testmiljø [1] for aktuel liste over tilgængelige testfaciliteter. 2.1 Benytter jeg det rigtige signeringscertifikat? Kontrollér at signeringcertifikat i metadata, Er det korrekte certifikat. Certifikatet skal være identisk med det certifikat din løsning signerer AuthnRequest til Nemlog-in med. Er gyldigt. Certifikatets gyldighedsperiode er korrekt. Har korrekt type. Certifikatet skal være af typen VOCES eller FOCES. Er udstedt af DanID s testmiljø Certificate Authority (CA), hvis metadata er rettet mod Nemlog-in testmiljøet. Certifikatet skal være udstedt af TDC OCES Systemtest CA II. Er udstedt af DanID s produktionsmiljø Certificate Authority (CA), hvis metadata er rettet mod Nemlog-in produktionsmiljøet. Certifikatet skal være udstedt af TDC OCES CA eller TRUST2408 OCES CA. Ikke er anvendt i flere løsninger. Samme certifikat kan kun være registreret én gang i Nemlog-in. Ovenstående betingelser gælder ligeledes for krypteringscertifikat. Bemærk at der for mange løsninger vil være sammenfald i signerings- og krypteringscertifikat. 2.2 Passer entityid med den løsning jeg arbejder med? Kontrollér at entityid i metadata, Svarer til entityid til den løsning du skal igang med at teste eller sætte i produktion. Er entydigt for det Nemlog-in miljø metadata er rettet imod (testmiljø og produktionsmiljø). Eksempel på entityid i erklæret metadata: 2012-12-13 Version: 3.0 Side 4 af 11

Der henvises i øvrigt til OIOSAML Web SSO [2] for beskrivelse af navnekonvention og regler for entityid. 2.3 Skal jeg angive NameIDFormat? Kontrollér at NameIDFormat i metadata er korrekt: Nemlog-in understøtter Persistent og X509SubjectName. Eksempel på NameIDFormat erklæret i metadata: 2.4 Attributten UniqueAccountKey Attributten dk:gov:saml:attribute:uniqueaccountkey understøttes ikke af Nemlog-in, i det dens implementation i OIOSAML Web SSO [2] ikke er endeligt defineret. Hvis den angives i løsningers metadata vil Nemlog-in fejle som konsekvens. Ovenstående adskiller sig fra Nemlog-in1, hvor attributten understøttes, men altid returneres tom. 2012-12-13 Version: 3.0 Side 5 af 11

3 Min løsning fejler under login til Nemlogin Din løsning sender et såkaldt AuthnRequest til Nemlog-in når en bruger ønsker at logge ind på din løsning via Nemlog-in. Fejl sket under login vil typisk være forårsaget af fejl i AuthnRequest. Dette afsnit beskriver typiske AuthnRequest fejlsituationer der er observeret i forbindelse med test mod Nemlog-in. Afsnittet er rettet mod både nye løsninger og løsninger der migreres fra det nuværende Nemlog-in. Særligt for migrerede løsninger kan der opleves foreskelle i hvordan det nuværende Nemlog-in og Nemlog-in fortolker AuthnRequests. Generelt kan det anbefales at AuthnRequests ikke indeholder erklæringer, som allerede er konfigureret i Nemlog-in gennem udveksling af løsningers metadata og som derfor typisk vil fejle, hvis der opstår konflikt mellem AuthnRequests og Nemlog-in s konfiguration. Udseendet af AuthnRequests kan variere fra løsning til løsning afhængigt af den anvendte SAML teknologi samt hvordan SAML teknologien konkret er konfigureret. 3.1 Er <AuthnRequest> korrekt signeret? Dette en af de mest almindelige forekommende fejl, hvor AuthnRequest er signeret med et certifikat der ikke kan accepteres af Nemlog-in. Årsagen til dette kan skyldes en række forskellige forhold. Der henvises til afsnittet 2.1 Benytter jeg det korrekte signeringscertifikat for detaljeret gennemgang. 3.2 Er NameIDPolicy angivet i <AuthnRequest>? Undgå at angive NameIDPolicy i AuthnRequest. NameIDPolicy er konfigureret for din løsning i Nemlog-in gennem udveksling af metadata. AuthnRequests kan derfor blive afvist, særligt hvis der er konflikt med konfigurationen eller hvis NameIDPolicy ikke er blandt de understøttede formater, som er Persistent og X509SubjectName. Eksempel på AuthnRequest med NameIDPolicy der vil fejle: 2012-12-13 Version: 3.0 Side 6 af 11

<samlp:authnrequest xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol" xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion" ID="_fec36d8804357a72394d049499cad23aff59199ce0" Version="2.0" IssueInstant="2012-01-23T10:24:09Z" Destination="https://login.test-nemlogin.dk/adfs/ls/" IsPassive="false" AssertionConsumerServiceIndex="0"> <saml:issuer>https://sp1.test-nemlog-in.dk</saml:issuer> <samlp:nameidpolicy AllowCreate="false" Format="urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress"></samlp:NameIDPolicy> </samlp:authnrequest> 3.3 Er Assertion Consumer Service korrekt angivet I <AuthnRequest>? Der er flere måder at erklære det endpoint, hvortil din løsning modtager <response> meddelelse fra Nemlog-in. Det anbefales at erklære attributten AssertionConsumerServiceIndex der instruerer Nemlog-in til at anvende den konfigurerede <response> lokation for din løsning inklusive den konfigurerede protokolbinding. Alternativt kan attributten AssertionConsumerServiceUrl sammen med attributten ProtocolBinding erklæres, som instruerer Nemlog-in til at anvende de medsendte attributter og ignorere de konfigurerede værdier for din løsning. Bemærk i øvrigt: Hvis attributterne kombineres på andre måder, vil det formodentligt få Nemlog-in til at afvise din AuthnRequest. Hvis ingen attributter angives vil Nemlog-in defaulte til de konfigurerede værdier. Eksempel på AuthnRequest med AssertionConsumerServiceIndex: <samlp:authnrequest xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol" xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion" ID="_fec36d8804357a72394d049499cad23aff59199ce0" Version="2.0" IssueInstant="2012-01-23T10:24:09Z" Destination="https://login.test-nemlogin.dk/adfs/ls/" IsPassive="false" AssertionConsumerServiceIndex="0"> <saml:issuer>https://sp1.test-nemlog-in.dk </saml:issuer> </samlp:authnrequest> Eksempel på AuthnRequest med AssertionConsumerServiceUrl og ProtocolBinding: 2012-12-13 Version: 3.0 Side 7 af 11

<samlp:authnrequest xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol" xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion" ID="_fec36d8804357a72394d049499cad23aff59199ce0" Version="2.0" IssueInstant="2012-01-23T10:24:09Z" Destination="https://login.test-nemlogin.dk/adfs/ls/" IsPassive="false" AssertionConsumerServiceUrl=https://sp1.test-nemlogin.dk/SAML20/login ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"> <saml:issuer>https://sp1.test-nemlog-in.dk</saml:issuer> </samlp:authnrequest> 3.4 <Scoping> element i <AuthnRequest> Undgå at erklære <Scoping> elementet i <AuthnRequest>, i det Nemlog-in ikke understøtter denne, og derfor vil fejle under login. Dette bør kun påvirke proxy Identity Providers, hvor der i OIOSAML Web SSO [2] findes reference til <Scoping> elementets anvendelse. 3.5 <RequestedAuthnContenxt> element i <AuthnRequest> Undgå at erklære <RequestedAuthnContext> elementet i <AuthnRequest>, i det Nemlog-in ikke understøtter denne, og derfor vil fejle under login. Bemærk, at der i en tidligere version af OIOSAML Web SSO [2] fandtes en reference til anvendelse af dette element, som ikke længere er gældende. 2012-12-13 Version: 3.0 Side 8 af 11

4 Min løsning fejler efter login i Nemlog-in Efter Nemlog-in har behandlet AuthnRequest sender Nemlog-in et <response> til din løsning indeholdende en Assertion. Dette afsnit beskriver mulige scenarier, som kan forårsage at din løsning fejler efter modtagelse af assertion fra Nemlog-in. Det skal understreges, at i Nemlog-in s optik er login gennemført med succes og fejlsøgning skal derfor ske lokalt i din løsning. 4.1 Min løsning kan ikke dekryptere assertion NemLog-in benytter sig af krypteringsmetoderne "AES-256" til block encryption og "RSA- OAEP" til key transport. Din løsning skal ligeledes understøtte disse for at kunne dekryptere assertion. Bemærk, at Nemlog-in1 benytter "AES-128" samt "RSA-1.5". 4.1.1 Java Cryptography Extension (JCE) Hvis du benytter OIOSAM.JAVA referenceimplementeringen eller anden Java baseret SAML klient, skal JCE Unlimited Strength Jurisdiction Policy Files v6 være installeret for understøttelse af AES-256. JCE kan hentes her: http://www.oracle.com/technetwork/java/javase/downloads/jce-6- download-429243.html 4.2 Min løsning forventer type-erklæring i <AttributeValue> elementer Nemlog-in erklærer kun type i <AttributeValue> elementer såfremt at typen er forskellig fra xs:string. Din løsning skal derfor betragte xs:string som default-type for <AttributeValue> elementer. Ovenstående adfærd adskiller sig fra Nemlog-in1, hvor type (antageligt) altid erklæres eksplicit. På baggrund af gennemførte tests er det NNIT s vurdering, at de færreste løsninger vil opleve problemer med adfærden. 2012-12-13 Version: 3.0 Side 9 af 11

5 Referencer [1] Bekrivelse af migreringstestmiljø. [2] OIOSAML Profile version 2.0.8 på digitaliser.dk. 2012-12-13 Version: 3.0 Side 10 af 11

6 Ændringslog Dato Version Beskrivelse Initials 10.02.2012 0.a Dokument oprettet 21.02.2012 1.0 Endelig version 24.02.2012 1.0 Godkendt SQWI 09.03.2012 1.0 Opdateret afsnittet vedr. NameIDFormat, som skal angives i metadata. Dokument godkendt. 07.05.2012 2.0 Opdateret introduktionsafsnit med ændringer til entityid og URL er til login/logout bindinger. 12.12.2012 2.a Opdateret indhold i forbindelse med release a golive: I afsnit Introduktion er oplysning om ændring til entity ID blevet fjernet. 3.4 + 3.5 tilføjet. 13.12.2012 2.a Reviewet og kommenteret. NiNN/ JBHQ 13.12.2012 3.0 Kommentarer indarbejdet og dokument godkendt 2012-12-13 Version: 3.0 Side 11 af 11

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback