Digitaliseringsstyrelsen

Relaterede dokumenter
Digitaliseringsstyrelsen

Guide til NemLog-in Security Token Service

Guide til integration med NemLog-in / Signering

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Guide til integration med NemLog-in / Web SSO

Guide til integration med NemLog-in / Brugeradministration

Certifikatpolitik for NemLog-in

Version Udkast

Trin-for-trin guide: Tilslutning af web service til NemLog-in

Version 1.6. Integrationstest ved tilslutning til NemLog-in. Side 1 af marts 2014

Version 1.4. Integrationstest ved tilslutning til NemLog-in. Side 1 af april 2013

Guide til kravspecifikation

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Session oprettet hos egen serviceudbyder Varianter

Timeout-politik for den fællesoffentlige føderation

Bilag til standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter

Version 1.2. Integrationstest ved tilslutning til NemLog-in. Side 1 af november 2012

NemID DataHub adgang. & Doc , sag 10/3365

23. maj 2013Klik her for at angive tekst. HHK/KMJ. Vejledning til brug af Støttesystemet Adgangsstyring

NemLog-in administration. Brugermanual til Teknisk administrator, Administrator for IT-systemudbyder og Administrator for IT-leverandør

Tilføjelse af administrator for myndighed

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Anbefalede testprocedurer

Digitaliseringsstyrelsen

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)... 2

OISAML Workshop Århus 31. marts 2009 Kontor for It-infrastruktur og implementering IT og Telestyrelsen IT Arkitekt Søren Peter Nielsen -

Digitaliseringsstyrelsen

Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

Digitaliseringsstyrelsen

EasyIQ ConnectAnywhere Release note

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

(Bilag til dagsordenspunkt 8, Kommunale anvenderkrav til støttesystemerne)

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Single sign-on til statens systemer. April 2019 version 5

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Indholdsfortegnelse. Version Serviceplatformen - opsætningsguide (Eksterne testmiljø) Indledning... 2

SSO - FAQ - Kendte problemer med opsætninger

Udvidet brug af personligt NemID i erhvervssammenhæng

Tilslutning af ny it-leverandør til NemLog-in

ADFS Opsætning til MODST SSO Moderniseringsstyrelsen

Nets Rettighedsstyring

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Affaldsdatasystem Vejledning supplement i system-til-system integration for.net brugere

Guide til føderationstilslutning ( kogebog )

Guide til Føderationstilslutning ( kogebog )

DIADEM KOM GODT I GANG INTEGRATIONSVEJLEDNING IFT. SIKKERHED OG VERSIONERING AF WEBSERVICES VERSION: STATUS: FRIGIVET DATO: 22.

ADGANGSSTYRING. 26. Februar 2019

Understøttelse af LSS til NemID i organisationen

eidas artikel 6 Informationsmøde for offentlige tjenesteudbydere 21. november 2017

Introduktion til NemID og Tjenesteudbyderpakken

Dette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity Providere.

Dokumentation Nets Rettighedsstyring (Attributtjeneste)

Slutbrugeroplevelsen ved migrering fra OpenSign Java-applet til NemID CodeFile klient

DataHub Forbrugeradgangsløsning Spørgsmål og svar

Version 1.7. Integrationstest ved tilslutning til NemLog-in. Side 1 af marts 2014

Oktober 2013 HLG/XIGA. Opstartsvejledning ATS Engros 1/12

IT Arkitekt Søren Peter Nielsen

Digital Sundhed. Brugerstyringsattributter - Introduktion. - Specificering af nye og ændrede attributter i id-kortet

Termer og begreber i NemID

Fælles testmiljøer. Dato: Version: Vejledning til oprettelse og vedligehold af testcertifikater

Forbruger login med NemID Til forbrugsdata på DataHub

STS Designdokument. STS Designdokument

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Anbefalinger til interaktionsdesign og brugervalg af applet

Serviceplatformen informationsmateriale. Leverandørmøde 7. februar 2013

Vilkår vedrørende brug af Støttesystemet Adgangsstyring

Brugervejledning til FOTM simulator. Oktober 2019 Version 1.0

EasyIQ ConnectAnywhere Release note

NemLog-in/ Administration

Introduktion til NemID og NemID tjenesteudbyderpakken

Termer og begreber i NemID

Sundhedsstyrelsens Elektroniske Indberetningssystem (SEI) Vejledning til indberetning via Citrix-løsning

Analyse af udfordringer ved iframe integrationsformen

Kundevejledning. AD FS opsætning til Reindex. Version: 1.0. Dato: 19. april Forfatter: Lasse Balsvad (XPERION)

Resumé NSI har udviklet en funktionel prototype med en visuel brugergrænseflade, der giver ikke-teknikere mulighed for at tilgå adviseringsservicen.

NemID JS Developer site vejledning

Affaldsdatasystem Vejledning i system-til-system integration

Specifikationsdokument for OCSP

Version Dato Beskrivelse /11/2012 Initial version /03/2013 Tilføjet eksempel med Template Agent, generelt udvidet dokumentet.

Teknisk Dokumentation

Undgå driftsafbrydelser på grund af udløbet virksomheds- eller funktionssignatur

Fra NemID til MitID og NemLog-in3. Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede

Serverguide v. Logos Consult

AuthorizationCodeService

Tilslutning af ny myndighed til NemLog-in

STS Designdokument. STS Designdokument

ISA Server 2006 Del 5. Jesper Hanno Hansen

Specifikationsdokument for servicen PID-CPR

Styrelsen for Arbejdsmarked og Rekruttering STAR-VITAS. AD & ADFS opsætning til VITAS. Version 1.7. Dato 19. februar Reference [Reference]

Opstartsvejledning ATS aktørudgave

Nyt om de kommende infrastrukturløsninger: MitID, NemLog-in og Næste generation Digital Post

SOSI STS Testscenarier

Specifikationsdokument for OCSP

Vejledning i tildeling af rettigheder i NemLogin til STS Administrationsmodulet

EasyIQ Opdatering > 5.4.0

OPSÆTNING AF KOMMUNAL IDENTITY PROVIDER TIL AULA

De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Introduktion til NemID og Tjenesteudbyderpakken

Specifikationsdokument for servicen PID-CPR

Transkript:

Nemlog-in Beskrivelse af Leverandørens Version: 2.c ID: 32309 2013-06-17

Indhold 1 INTRODUKTION... 3 2 TEST AF SERVICES... 4 2.1 NEMLOG-IN SSO/SLO... 4 3 TILSLUTNING AF SERVICE METADATA... 8 3.1 NEMLOG-IN RELEASE1... 8 3.2 NEMLOG-IN RELEASE2... 8 4 IDENTITY PROVIDER... 11 4.1 NEMLOG-IN RELEASE1...11 4.2 NEMLOG-IN RELEASE2...11 4.3 COMMON DOMAIN COOKIE...13 4.4 VALIDERINGER AF CERTIFIKAT...13 4.5 INTEGRATION MED DANID S TESTMILJØ...13 4.6 BRUGERGRÆNSEFLADE...13 5 METADATAVALIDATOR... 15 5.1 START VALIDERING AF METADATA...15 5.2 VALIDERINGSRESULTAT...16 6 SIGNERINGSTJENESTEN... 18 7 COMMON DOMAIN COOKIE VIEWER... 19 8 LOG VIEWER... 20 9 REFERENCER... 21 10 ÆNDRINGSLOG... 22 2013-06-17 Version: 2.c Side 2 af 22

1 Introduktion Nærværende dokument beskriver Leverandørens (herefter kaldet testmiljø), som stilles til rådighed for serviceudbydere (myndigheder) i forbindelse med migreringstest og integrationstest via tilslutningssystemet 1. Testmiljøet kan indeholde kendte fejl og mangler, som skyldes det aktuelle build, der udgør testmiljøet. Der henvises til release information [4] for aktuelle opdateringer. Testmiljøet stiller en vejledning til rådighed som hjælper serviceudbydere med at fejlsøge deres løsninger i gennemførsel af test. Der henvises til dokumentet hjælp til fejlsøgning af din løsning [5]. I dokumentet anvendes betegnelsen service om en løsning (fx en portal) der er tilsluttet af en serviceudbyder med henblik på integration med Nemlog-in SSO/SLO og signeringstjeneste. Dokumentet er struktureret således: Afsnit Test af services beskriver hvordan serviceudbydere anvender testmiljøet til at teste integration med Nemlog-in SSO/SLO. Afsnit Tilslutning af service metadata beskriver hvordan serviceudbydere skal tilslutte service metadata og Attribute Query funktionaliteten. Afsnit Identity Provider beskriver testmiljøets Identity Provider, som leverer Nemlog-in SSO/SLO. Afsnit Metadatavalidator beskriver anvendelsen af metadatavalidatoren, som skal benyttes til at verificere service metadata, før udveksling med Nemlog-in. Afsnit Signeringstjenesten beskriver hvordan serviceudbydere skal udvikle og teste integrationen mellem deres tjeneste og signeringstjenesten. Afsnit Common domain cookie viewer beskriver anvendelsen af common domain cookie viewer. Afsnit Log viewer beskriver anvendelsen af log viewer, som kan benyttes til at fejlsøge integration med Nemlog-in SSO/SLO. På testmiljøets forside https://test-nemlog-in.dk/testportal/ findes links til værktøjer og dokumentation. 1 Tilslutningssystemet er et administrativt system der automatiserer tilslutning af services herunder udveksling af metadata. Tilslutningssystemet frigives i Nemlog-in release2. 2013-06-17 Version: 2.c Side 3 af 22

2 Test af services 2.1 Nemlog-in SSO/SLO Dette afsnit henvender sig til serviceudbydere, der ønsker at teste integration mellem deres services og Nemlog-in SSO/SLO. 2.1.1 Udveksling af metadata Før serviceudbyder kan påbegynde test skal der udvekles metadata mellem service og Identity Provider. 1) Service metadata vil automatisk blive migreret fra det nuværende Nemlog-in og importeret i testmiljøets Identity Provider. Serviceudbyder skal derfor ikke foretage sig yderligere i denne henseende. 2) Identity Provider metadata er serviceudbyder ansvarlig for at importere i de respektive testmiljøer, hvor deres services findes installeret. Metadata skal importeres for hver service, der indgår i serviceudbyders test. Identity Provider metadata kan downloades fra testmiljøets forside. 2.1.2 Testbrugere Testmiljøet benytter sig af DanID s testmiljø og tillader derfor kun login med POCES og MOCES certifikater, der er udstedt herigennem. Serviceudbyder skal selv sørge for at skaffe testcertifikater hos DanID, som tilbyder flere muligheder; På DanID s hjemmeside er det muligt at hente et begrænset antal præ-definerede testcertifikater [4]. DanID stiller flere on-line værktøjer [2] til rådighed, som giver serviceudbyder mulighed for at danne egne certifikater, både som nøglefil og nøglekort. Derudover stiller NNIT et begrænset antal testcertifikater til rådighed, som kan downloades fra testmiljøets forside. Der henvises til vejledning for testcertifikater [3]. 2.1.3 Test Service Provider #1 (IdP-SP-side-1) Test Service Provider der kan benyttes af serviceudbydere til test af SSO og SLO samspil med serviceudbyder services. 2013-06-17 Version: 2.c Side 4 af 22

Link til test Service Provider forside: https://sp1.test-nemlog-in.dk/demo/. Forsiden benævnes herefter testside 1. Testside 1 kan være i en af to tilstande afhængigt af, om bruger allerede har en aktiv session med Identity Provider (=logget ind via anden Service Provider). 2.1.3.1 Tilstand: bruger er ikke logget ind Hvis bruger ikke er logget ind, rummer siden følgende: En knap benævnt Go to My Page til at igangsætte login mod Identity Provider. En knap benævnt Passive log-in til at igangsætte login hvor Identity Provider instrueres om ikke at overtage brugergrænsefladen. Har bruger en aktiv session med Identity Provider, vil Identity Provider gennemføre SSO og returnere assertion til siden. Har bruger ikke en aktiv session, vil Identity Provider returnere en afledt statuskode, som præsenteres på siden Figur 2 nedenfor illustrerer testside 1 for ej indlogget bruger. Figur 1: Testside 1, bruger ej indlogget 2.1.3.2 Tilstand: bruger er logget ind Hvis bruger er logget ind, rummer siden følgende: Attributterne fra den modtagne SAML assertion fra Identity Provider. Testside 1 er konfigureret til at anvende OCES attributprofilen 2, hvilket er afspejlet i de viste attributter. Der henvises til OIO Web SSO Profile [1] for detaljer om attributprofilerne. Indholdet af hele SAML assertion i XML format. 2 Bemærk, at ikke alle attributter understøttes i denne version af Nemlog-in. Attributter anvendt i det nuværende Nemlog-in vil være understøttet. 2013-06-17 Version: 2.c Side 5 af 22

En Logout knap til at aktivere SLO, som igangsætter logout mod Identity Provider hvorefter alle serviceudbydere, brugeren aktuelt har en session med, vil blive kontaktet af Identity Provider med henblik på logout. En ForceAuthn knap til at igangssætte login, hvor Identity Provider instrueres om altid at vise sin loginside, uanset om bruger allerede har en aktiv session med Identity Provider. Bruger vil derfor altid skulle logge ind igen. En No ForceAuthn knap til at igangssætte login, hvor Identity Provider instrueres om ikke at overtage brugergrænsefladen. Har bruger en aktiv session med Identity Provider, vil Identity provider gennemføre en single sign-on og returnere assertion til siden. Har bruger ikke en aktiv session, vil Identity Provider returnere en afledt statuskode, som præsenteres på siden. Figur 3 nedenfor illustrerer indlogget bruger for testside 1. Figur 2: Udsnit af testside 1, bruger er indlogget 2.1.4 Test Service Provider #2 (IdP-SP-side-2) Test Service Provider der kan benyttes af serviceudbydere til test af SSO og SLO samspil med serviceudbyder services. Link til test Service Provider forside: https://sp2.test-nemlog-in.dk/demo/. Forsiden benævnes herefter testside 2. Testside 2 er funktionel identisk med testside 1 bortset fra, at testside 2 er konfigureret til at benytte persistente pseudonymer. Det betyder, at det modtagne sæt af attributter i SAML assertion, er bestemt af Persistent Pseudonym Attribute Profile, som findes beskrevet i OIO Web SSO Profile [1]. Figur 4 nedenfor illustrerer indlogget bruger for testside 2. 2013-06-17 Version: 2.c Side 6 af 22

Figur 3: Udsnit af testside 2, bruger er indlogget 2013-06-17 Version: 2.c Side 7 af 22

3 Tilslutning af service metadata 3.1 Nemlog-in release1 3.1.1 Information omkring tilslutning af service metadata For Nemlog-in release1 eksisterer der kun en type af IDP metadata: IDP metadata som dækker den nye standard OIO Profil OIO Web SSO Profile. Service metadata som ønskes indlæst på Testmiljøet eller Produktionsmiljøet skal sendes til for udførsel af indlæsning. 3.2 Nemlog-in release2 3.2.1 Information omkring tilslutning af service metadata Den nye Nemlog-in release2 vil blandt andet indeholde det såkaldte tilslutningssystem, der er et administrativt system, der automatiserer tilslutning af services herunder udveksling af serviceudbydernes service metadata. Brugergrænsefladen for tilslutningssysstemet er kun tilgængeligt via Produktionsmiljøet. For Nemlog-in release2 eksisterer der to forskellige typer af IDP metadata: IDP metadata som dækker den nye standard OIO Profil OIO Web SSO Profile og IDP metadata som dækker det gamle Virk-format OIO Web SSO Profile (Virk). Det er fremadrettet intentionen at alle serviceudbydere skifter over til at integrere deres service op mod den nye standard OIO Web SSO Profile, og dermed at OIO Web SSO Profile (Virk) skal udfases. Denne udfasningsproces vil dog ikke blive påtvunget, men vil ske gradvist. For at lette overgangen til Nemlog-in release2 gælder det, at alle service metadata der har befundet sig i Nemlog-in Release1 er blevet migreret over i Nemlog-in release2 via en intern migreringsproces. Disse service metadata vil her alle have OIO Profil OIO Web SSO Profile. Ydermere gælder det ligeledes for alle serviceudbydere som tidligere har brugt det gamle Virk-system, at alle service metadata er blevet migreret fra det gamle Virk-system over i Nemlog-in release2 via en intern migreringsproces. De resulterende service metadata vil her alle have OIO Profil OIO Web SSO Profile (Virk). 3.2.1.1 For Testmiljøet (før Produktionsmiljø Go-Live) Idet tilslutningssystemet, som kun eksisterer i Produktionsmiljøet, endnu ikke er tilgængeligt på dette tidspunkt, så skal alle nye service metadata eller opdaterede versioner af allerede indlæst service metadata indsendes til for at 2013-06-17 Version: 2.c Side 8 af 22

blive indlæst i Testmiljøet. Dette gælder både for OIO Web SSO Profile service metadata og OIO Web SSO Profile (Virk) service metadata. 3.2.1.2 For Testmiljøet (efter Produktionsmiljø Go-Live) Efter Produktionsmiljø Go-Live vil det være muligt gennem tilslutningssystemet i Produktionsmiljøet at sende(provisionere) service metadata til test i Testmiljøet. Det at sende service metadata til test i Testmiljøet fra Produktionsmiljøet er i praksis et skridt i processen for at få godkendt en tilslutning af service metadata i Productionssystemet. Fordi serviceudbydere efter Produktionsmiljø Go-Live har denne mulighed, så vil serviceudbyderne herefter ikke længere have muligheden for at sende service metadata til indlæsning gennem. vil dog forsat yde teknisk support på eventuelle problemer der skulle være med tilslutningen af service metadata som er sendt af tilslutningssystemet til Testmiljøet for at teste integrationen op Testmiljøet. 3.2.1.3 For Produktionsmiljøet (efter Produktionsmiljø Go-Live) I det nye tilslutningssystem er det ikke længere muligt at oprette service metadata med OIO Profil OIO Web SSO Profile (Virk) netop grundet ønsket om udfasning af denne OIO Profil. Afhængigt af OIO Profil af den migrerede service metadata, så skal en serviceudbyder som ønsker at opdatere service metadata nu følge nedenstående fremgangsmetode: Serviceudbyder har migreret OIO Web SSO Profile service metadata som de ønsker opdateret: o Serviceudbyder opdaterer service metadata i tilslutningssystemet ved blot at lave en ny version af service metadata og tilføje de ønskede ændringer i attributerne. Serviceudbyder har migreret OIO Web SSO Profile (Virk) service metadata som de ønsker opdateret: o o (Anbefalet) Ønsker serviceudbyder at gøre brug af det nye sæt af attributer som Nemlog-in release2 åbner op for (og ikke blot det gamle sæt af attributer der optræder i OIO Web SSO Profile (Virk) ), så skal service metadata oprettes på ny i tilslutningssystemet med OIO Profil OIO Web SSO Profile og hertil tilføjes de ønskede opdateringer til det nye sæt af attributer. (Ikke anbefalet) Ønsker serviceudbyder ikke at gøre brug af det nye sæt af attributer som Nemlog-in release2 åbner op for, så er det stadig muligt for serviceudbyder at opdatere service metadata med OIO Profile OIO Web SSO Profile (Virk) i tilslutningssystemet ved blot at lave en ny version af service metadata og tilføje de ønskede ændringer i det gamle sæt af attributer. For serviceudbydere der hverken har service metadata migreret fra Nemlog-in release1 eller det gamle Virk-system, og som for første gang skal tilsluttes til Nemlog-in release2, 2013-06-17 Version: 2.c Side 9 af 22

så skal service metadata oprettes i tilslutningssystemet med OIO Profil OIO Web SSO Profile. 3.2.2 Information omkring tilslutning af Attribute Query metadata Med den nye Nemlog-in release2 åbnes der op for brugen af Attribute Query. En Attribute Query metadata autogenereres internt af Nemlog-in release2 systemet ved indlæsning af en service metadata i Testmiljøet eller ved tilslutning af service metadata gennem tilslutningssystemet i Productionsmiljøet. Dette betyder, at for at få adgang til Attribute Query funktionaliteten, så skal en serviceudbyder derfor ikke fortage sig andet end at levere en af følgende typer service metadata til indlæsning på Testmiljøet eller til tilslutning på Produktionsmiljøet gennem tilslutningssystemet: 1) Service metadata med OIO Profil OIO Web SSO Profile. 2) Service metadata med OIO Profil OIO Web SSO Profile (Virk). Med hensyn til metadata som migreres ind i Nemlog-in release2 systemet, så er det kun service metadata som stammer fra Virk-systemet, som automatisk vil få oprettet en associeret Attribute Query metadata i Nemlog-in release2 systemet. 2013-06-17 Version: 2.c Side 10 af 22

4 Identity Provider 4.1 Nemlog-in release1 4.1.1 IDP-metadata for OIO Web SSO Profile Testmiljøet rummer en Identity Provider IDP-metadata (Testmiljø) med følgende entity ID: https://saml.test-nemlog-in.dk/ Testmiljøets Identity Provider er funktionel identisk med den Identity Provider som stilles til rådighed i produktion. Identity Provider IDP-metadata (Produktionsmiljø) som stilles til rådighed i produktion har følgende entityid: https://saml.nemlog-in.dk Herunder listes de væsentligste features som Identity Provider understøtter: Login / Single Sign-On. Login med ForceAuthn instruks. Login med IsPassive instruks. Persistent pseudonym og X.509 attributprofiler. Initierende Single logout (Request) fra Service Provider til Identity Provider med HTTP Redirect og POST bindinger. Efterfølgende Single logout (Request) fra Identity Provider til Service Provider med HTTP Redirect, HTTP POST og SOAP bindinger. Loginsiderne understøtter brug i iframe sider. Bemærk, at Attribute Query ikke er omfattet af Nemlog-in release1. 4.2 Nemlog-in release2 4.2.1 IDP-metadata for OIO Web SSO Profile Testmiljøet rummer en Identity Provider IDP-metadata (Testmiljø) (OIOSAML Basic privilege profile) med følgende entity ID: https://saml.test-nemlog-in.dk/ 2013-06-17 Version: 2.c Side 11 af 22

Testmiljøets Identity Provider er funktionel identisk med den Identity Provider som stilles til rådighed i produktion. Identity Provider til produktion er pr 29.maj 2013 endnu ikke blevet gjort tilgængelig. Herunder listes de væsentligste features som Identity Provider understøtter: Login / Single Sign-On. Login med ForceAuthn instruks. Login med IsPassive instruks. Persistent pseudonym og X.509 attributprofiler. Initierende Single logout (Request) fra Service Provider til Identity Provider med HTTP Redirect og POST bindinger. Efterfølgende Single logout (Request) fra Identity Provider til Service Provider med HTTP Redirect, HTTP POST og SOAP bindinger. Loginsiderne understøtter brug i iframe sider. Understøtter det fulde sæt af SAML attributer i relation til tilslutningssystemet (f.eks. attribut til beskrivelse af privilegier) Understøtter Attribute Query 4.2.2 IDP-metadata for OIO Web SSO Profile (Virk) Testmiljøet rummer en Identity Provider IDP-metadata (Testmiljø) (Virk) med følgende entity ID: https://saml.test-nemlog-in.dk/ Testmiljøets Identity Provider er funktionel identisk med den Identity Provider som stilles til rådighed i produktion. Identity Provider til produktion er pr 29.maj 2013 endnu ikke blevet gjort tilgængelig. Herunder listes de væsentligste features som Identity Provider understøtter: Login / Single Sign-On. Login med ForceAuthn instruks. Login med IsPassive instruks. Persistent pseudonym og X.509 attributprofiler. Initierende Single logout (Request) fra Service Provider til Identity Provider med HTTP Redirect og POST bindinger. 2013-06-17 Version: 2.c Side 12 af 22

Efterfølgende Single logout (Request) fra Identity Provider til Service Provider med HTTP Redirect, HTTP POST og SOAP bindinger. Loginsiderne understøtter brug i iframe sider. Understøtter ikke det fulde sæt af SAML attributer i relation til tilslutningssystemet (f.eks. ikke attribut til beskrivelse af privilegier) Understøtter Attribute Query 4.3 Common domain cookie Identity Provider indgår i common domain test-fobs.dk. Ved udført login af bruger, som ikke i forvejen har en aktiv session med Identity Provider, vil Identity Provider skrive sin identitet i den tilhørende commain domain cookie (CDC) i henhold til retningslinier beskrevet i OIO Web SSO Profile [1]. 4.4 Valideringer af certifikat Identity Provider foretager valideringer af certifikat anvendt ved login samt certifikat anvendt til signering af SAML beskeder. Valideringer omfatter om certifikat er udløbet, om certifikat er udstedt af godkendt certifikatautoritet (CA) samt om certifikat er tilbagekaldt (revoked). 4.5 Integration med DanID s testmiljø Identity Provider benytter DanID s testmiljø og dermed de tilhørende testudgaver af DanID s ressourcer samt DanID testdata. Det påvirker fx hvilke certifikater der kan anvendes ved login hos Identity Provider. Der henvises til afsnittet om Testbrugere. 4.6 Brugergrænseflade Identity Providers brugergrænseflade er identisk med den brugergrænseflade, som stilles til rådighed i produktion. Det er blandt andet her at Identity Provider loginsiden findes, hvor bruger har mulighed for at vælge mellem forskellige logintyper, svarende til de typer, der understøttes af DanID. Bruger har gennem brugergrænsefladen mulighed for at; Fravælge Single Sign-On (Opt-out) således, at bruger altid mødes af loginside, uanset om bruger allerede har en aktiv session med Identity Provider. 2013-06-17 Version: 2.c Side 13 af 22

Vælge en default logintype, som herefter automatisk vises når bruger mødes af loginsiden. Ændre sprog mellem engelsk og dansk. Figur 5 nedenfor illustrerer Identity Provider loginside. Figur 4: Loginside 2013-06-17 Version: 2.c Side 14 af 22

5 Metadatavalidator Link: https://test-nemlog-in.dk/metadatavalidator/ Metadatavalidatoren giver serviceudbydere mulighed for at validere deres metadata før de udveksles med Nemlog-in, og som led i fejlsøgning såfremt, at metadata mistænkes som fejlkilden i test. Metadatavalidatoren kontrollerer at metadata, Er i overenstemmelse med SAML 2.0 metadataskema. Er i overenstemmelse med politikker beskrevet i OIO Web SSO Profile [1]. Der kan foretages validering af metadata til både Nemlog-in s testmiljø og produktionsmiljø. 5.1 Start validering af metadata Figur 6 nedenfor illustrerer metadatavalidatorens forside. Figur 6: Metadatavalidator forside Validering af metadata: I listen OIO Profile vælges den OIO Profil der ønskes at valideres imod. OIO Web SSO Profile vælges for validering af metadata iht. OIO Web SSO Profile [1]. Ydermere bør det her bemærkes, at OIO Web SSO Profile skal vælges for validering af både service metadata som integrerer op mod Nemlog-in release1 og 2013-06-17 Version: 2.c Side 15 af 22

Nemlog-in release2 (som indeholder det tidligere nævnte tilslutningssystem og Attribute Query). Undtagelsesvist for denne regel gælder det dog, at service metadata som integrerer op mod Nemlog-in release2 og som bruger det gamle Virk-format, i stedet skal valideres med OIO Web SSO Profile (Virk). I listen Target Audience vælges om løsningen der valideres metadata for understøtter personcertifikater, medarbejdercertifikater eller begge. Korrekt angivelse af target audience sikrer, at erklærede attributter i metadata valideres iht. løsningens virke. Knappen browse vælges for at uploade metadatafil til validering. Knappen Valider vælges for at påbegynde validering. 5.2 Valideringsresultat Figur 7 nedenfor illustrerer metadatavalidatorens resultatside. Figur 7: Udsnit af metadatavalidator resultatside Valideringsbeskeder vil blive præsenteret i en tabel, som det er illustreret i figur 7. Resultat af validering: Første kolonne angiver fortløbent nummer for valideringsbesked (nummeret er en reference og har en ingen teknisk betydning). 2013-06-17 Version: 2.c Side 16 af 22

Anden kolonne indeholder ikon, som angiver om valideringsbesked betragtes som advarsel eller fejl. Kolonnen Rule angiver valideringsreglen der er valideret for. Kolonnen Validation message indeholder valideringsbeskeden. Evt. tal i parentes () henviser til linie i metadatafilen. Sådan fortolkes valideringsbeskeder: Hvis ingen fejl eller advarsler er rapporteret kan metadata udveksles med Nemlog-in. Hvis der rapporteres advarsler (men ingen fejl) kan metadata som udgangspunkt udveksles med Nemlog-in til migreringstest 3 Hvis der rapporteres fejl kan metadata ikke udveksles med Nemlog-in. 3 Metadata til produktion skal validere uden fejl eller advarsler. 2013-06-17 Version: 2.c Side 17 af 22

6 Signeringstjenesten Dette afsnit henvender sig til tjenesteudbydere, der ønsker at udvikle og teste integration mellem deres tjeneste og signeringstjenesten. Signeringstjenesten kan aktiveres på to måder: Som web og som WCF servcice. For yderligere information om tjenesten henvises til signing service [7] dokumentet. I integrationsmiljøet er Web tjenesten tilgængelig her: POST: https://signering.test-nemlog-in.dk/signer.aspx Og WCF tjenesten tilgængelig her: WCF: https://signingservice.signering.test-nemlog-in.dk/signingservice.svc 2013-06-17 Version: 2.c Side 18 af 22

7 Common domain cookie viewer Link: https://idp.test-fobs.dk/view.aspx I forbindelse med login af bruger sætter Identity Provider indholdet af common domain cookie til Nemlog-in s entityid. Common domain cookie viewer viser indholdet af cookien. Figur 8 nedenfor illustrerer common domain cookie viewer forside. Figur 8: common domain cookie viewer forside 2013-06-17 Version: 2.c Side 19 af 22

8 Log viewer Link: https://test-nemlog-in.dk/logviewer/ Identity Provider foretager logninger af en række begivenheder (events) i forbindelse med udførelse af login og logout. Log viewer giver serviceudbydere mulighed for at fejlsøge gennem søgning i disse logninger. Der henvises til log viewer vejledning [6] for yderligere detaljer. 2013-06-17 Version: 2.c Side 20 af 22

9 Referencer [1] OIO Web SSO Profile på digitaliser.dk. [2] i brug af test tools på nets-danid.dk. [3] Pre-defined test certificates. [4] Release information. [5] Hjælp til fejlsøgning af din løsning. [6] Log viewer vejledning. [7] Signing service. 2013-06-17 Version: 2.c Side 21 af 22

10 Ændringslog Dato Version Beskrivelse af ændring Initialer 2012-12-12 1.a Dokument restruktureret og opdateret i forbindelse med release A go-live. 2012-12-14 2.0 Godkendt 2013-05-29 2.a Dokument opdateret i forbindelse med release B myndighedstest migrering. DDOL 2013-06-10 2.b Opdateret i relation til signeringstjenesten. ASEP 2013-06-12 2.c Opdateret Attribute Query metadata afsnittet DDOL 2013-06-17 Version: 2.c Side 22 af 22

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback