Generel servicebeskrivelse og pris

Kan ikke rendere {include} Den inkluderede side kunne ikke findes.

Kan ikke rendere {include} Den inkluderede side kunne ikke findes.

Kan ikke rendere {include} Den inkluderede side kunne ikke findes.

Kan ikke rendere {include} Den inkluderede side kunne ikke findes.

Kan ikke rendere {include} Den inkluderede side kunne ikke findes.

Kan ikke rendere {include} Den inkluderede side kunne ikke findes.

Krav til IdP'er i Unilogin-føderationen

Formelle krav

NSIS

IdP'er som benyttes af voksne, skal være NSIS anmeldt. For at dette kan efterprøves skal det EntityID som er anvendt i metadata være identisk med det EntityID der fremgår af Digitaliseringsstyrelsens NSIS positivliste (https://digst.dk/it-loesninger/standarder/nsis/). 
Læs mere om NSIS i Unilogin her Lokal IdP - NSIS anmeldelse og øvrig cybersikkerhed

EntityID står under felter Issuer i SAMLRequests og SAMLResponses. Bemærk at indholdet i EntityID og Issuer skal være helt ens for at STIL kan knytte NSIS anmeldelsen til en IdP. 

Blanket: Tilkobling af IdP til eksternt testmiljø

Udfyld blanketten neden for omkring IdP for at få denne tilkoblet det eksterne testmiljø for Unilogins broker.
I bedes oprette en sag via denne Kontaktformular og vedhæfte blanketten med de udfyldte oplysninger.

Den videre dialog med supporten vil foregå via sagshåndteringssystemet Jira.

Tilkobling af lokal IdP v1_1.docx

Tekniske krav

Opsætning af lokal IdP

Unilogin understøtter SAML 2.0 til login og autentificering af brugere for web-baserede applikationer i et single sign-on miljø og protokolprofilen for OIOSAML 3.0. Lokale IdP'er i Unilogin føderationen skal derfor følge denne profil, herunder eksklusiv anvendelse af OCES3 systemcertifikater, der udstedes via MitID Erhverv. Desuden skal IdP'en understøtte Unilogin-føderationens sikringsniveauer og håndtere login-faktorer og -kommunikation i overensstemmelse med disse. 

En IdP tilsluttes ved at der udveksles metadata mellem IdP'en og Unilogin Broker. Metadata er beskrevet i SAML standarden og fastlægger de involverede certifikater og andre informationer nødvendige for kommunikationen, såsom endpoints for IdP’ens Single Sign On Service og Single Logout Service.

CVR numre 

CVR numre på IdP'ens ejer skal stemme overens med CVR registeret i IdP'ens OCES3 certifikat.

Kommunikation af brugers identitet

Unilogin Broker medsender brugernavn til IdP'en i <Subject> i SAML's AuthnRequest, hvis det er blevet indtastet i forbindelse med discovery processen i Unilogin Broker. F.eks. kan dette være "bruger@domain".

IdP'en skal som udgangspunkt sende identifikationen af den indloggede bruger til Unilogin Broker i SAML's <NameID>. Identifikationen skal være kendt i Unilogin Broker via import til SkoleGrunddata. Gyldige værdier er på nuværende tidspunkt brugerens Uniid eller CPR-nummer. Sendes CPR-nummer skal det sendes i et OIOSAML-attribut efter nærmere aftale. Uniid eller CPR nummer skal være krypteret. 

Beskyttelse af personhenførbare data

Ved tilslutning af en lokal IdP i Unilogin Broker, er der krav om at requests og responses sendt til Broker er krypteret, for at data som sendes med ikke kan fanges af en mellemmand, og misbruges.

Hvis kravet om krypteret kommunikation med Unilogin Broker ikke overholdes, vil login blokeres indtil at kravet opfyldes.

Kommunikation af ønsket sikringsniveau

Sikringsniveauer kommunikeres fra Unilogin Broker til IdP i <AuthnContextClassRef> i autentificeringsforespørgslen. Svar fra IdP'en sendes i attributter som specificeret i dokumentationen for Unilogin-føderationens sikringsniveauer.

Verificering af succesfuld tilkobling

Når en lokal IdP er blevet oprettet i Unilogin Broker, så er der krav verificering af følgende:

  1. Der kan foretages succesfuldt
    1. login
    2. logud
  2. Kommunikationen er krypteret
  3. EntityID/Issuer afspejler det som der er blevet registreret i NSIS Positivlisten
    1. Dette gælder ikke for IdP'er som kun er til elever

Ovenstående kan bekræftes ved at sende SAML-traces i supportsagen.

 

Unilogin SAML (login)

  • Leverandører skal kunne oprettes i Udbyderregisteret. Dette kræver at Leverandøren leverer løsninger til institutioner og andre leverandører og er registreret i CVR.
  • Tjenesten skal beskrives i SAML Metadata og følge protokolprofilen OIOSAML 3.0.3, herunder anvendelsen af OCES3 systemcertifikater.
  • En administrator skal oprette tjenesten på tilslutning.stil.dk og anmode om tilslutning til "Unilogin Broker SAML". Administratoren skal have en MitID erhvervsidentitet og rettigheden "Tilslutning: Ret til at administrere aftaler på tilslutning.stil.dk"

Unilogin OIDC (login)

  • Leverandører skal kunne oprettes i Udbyderregisteret. Dette kræver at Leverandøren leverer løsninger til institutioner og andre leverandører og er registreret i CVR.
  • Tjenesten skal beskrives i OIDC Metadata og følge OIO specifikationen af OpenID Connect (OIDC) protokollen.
  • En administrator skal oprette tjenesten på tilslutning.stil.dk og anmode om tilslutning til "Unilogin Broker OIDC". Administratoren skal have en MitID erhvervsidentitet og rettigheden "Tilslutning: Ret til at administrere aftaler på tilslutning.stil.dk"

Unilogin SkoleGrunddata BPI-webservices

Bliv oprettet som Udbyder og få adgang til Tilslutning

Inden du kan få adgang til Tilslutning skal man som Udbyder følge nedenstående 3 punkter.

  1. Det er en forudsætning at man er oprettet som Udbyder i STIL's udbyderregister for at man bestille adgang til en STIL Service. STIL skal bruge:
    1. Navn på Institution, CVR nummer og P-nummer (P-nummer er vigtig hvis man f.eks. har flere produktionsenheder/matrikler)
    2. Oplysningerne skal sendes via denne Kontaktformular
    3. Emnefeltet i sagen skal registeres som 'Opret Udbyder'
    4. Beskriv
      • Hvilken service i tilbyder
      • Hvem er målgruppen
      • Hvordan er indholdet undervisningsrelateret
    5. Afvent en bekræftelse fra STIL om man som Virksomhed, organisation, institution er oprettet.
  2. Herudover skal du og andre relevante medarbejdere have rettigheden "Tilslutning: Ret til at administrere aftaler på tilslutning.stil.dk" for at kunne til logge på Tilslutning.stil.dk med en MitID erhvervsidentitet. Læs her hvordan du selv bestiller rettigheden.
  3. Herefter kan du anvende Tilslutning.stil.dk.

SkoleGrunddata


Aflever og vedligehold data om brugere i SkoleGrunddata

SkoleGrunddata udgør datagrundlaget dels for Unilogin, men også for en lang række aftagere af data (herunder AULA).

SkoleGrunddata modtager data fra Institutioners system til administration af brugere via et API som blev udviklet og aftalt ifm BPI.

En Instituttion skal anskaffe et sådant systemet og kræve at systemet kan aflevere data til SkoleGrunddata.

Data til SkoleGrunddata importeres pr Institution. Dvs. at der, for hver Institution, skal laves en tilslutning og godkendelse af adgang til data. Administrationen af dataadgange kan dog sagtens ske på højere niveau (fx på forvaltningsniveau). Administrationen af brugere kan ske på institutionen (hvilket oftest er tilfældet med skoler), men kan ligeledes ske på hvilket som helst niveau.

Du kan læse mere om SkoleGrunddata og snitfladebeskrivelser her.

Trin-for-trin-guide for leverandører af systemer til administration af brugere:

Undersøg om I opfylder forudsætningerne for at blive tilsluttet

Orienter jer i API'et, som I skal kunne leve op til for at levere data om brugere i SkoleGrunddata

Kontakt supporten (jfr. forudsætninger for at blive tilsluttet) for at blive oprettet som Udbyder

Kontakt supporten (jfr. forudsætninger for at blive tilsluttet) for at oprette dit system som ny datakilde

Anmod om adgang til data.

  • Dataadagang betyder i dette tilfælde at I må levere og ændre data på vegne af en institution.
  • Der skal anmodes om adgang til data for hver institution.

Prisen er opdelt i etableringsomkostninger og årlig drift pr. tjeneste. Alle priser er ekskl. moms.

Abonnementsvilkår

Etablering faktureres 3 måneder efter bestilling. I forbindelse med den første tjeneste starter årsabonnementet 9 måneder efter bestilling.

Den tekniske tilslutning gælder fra tegningstidspunktet, og indtil den opsiges skrift­ligt. Opsigelse kan ske med én måneds varsel til udløbet af en abonnementsperiode.

Årsabonnementer faktureres forud én gang om året.

Styrelsen for It og Læring forbeholder sig mulighed for en årlig prisregulering.

Tjenester og mobile apps

Etablering

Abonnement

Første tjeneste/app* inkl. 100 projekter

15.000 kr.

15.000 kr.

Første tjeneste/app med <2000 logins pr. uge

7.500 kr.

 7.500 kr.

Efterfølgende tjenester/apps inkl. 100 projekter

5.000 kr.

 5.000 kr.

Efterfølgende mindre tjenester/apps**

800 kr.

   500 kr.

Yderligere 100 projekter


5.000 kr.

* Tjenester/apps

  • Webside/applikation med en given URL og rettighed
  • En app med mulighed for visning af filer eller mapper styret af op til 100 forskellige projekter
  • Webapplikation, der fungerer som fælles indgang til en række webapplikationer
  • Webapplikation med en given applikation som fælles indgang.

** Mindre tjenester/apps

  • Mindre webapplikationer med en given applikation som fælles indgang
  • De enkelte instanser af fx en intranetløsning, hvor den enkelte skole/institution har sin egen suburl/rettighed, men alle anvender den samme eller identiske webapplikationer.



Love på ministeriets område

Persondatapolitik og cookies






Ofte stillede spørgsmål

FAQ: Tilslutning af OIDC tjeneste i Unilogin

Tilslutning til OIDC 

Gælder både for tilslutning til fuld OIDC og letvægtsløsningen 

Undersøg om du opfylder forudsætningerne for at blive tilsluttet

Kontakt supporten for at :

  • Blive oprettet som udbyder, hvis I ikke allerede er det
  • Bestille tilslutning af jeres tjeneste til OIDC, herunder udveksling af OIDC metadata

For at blive oprettet på det eksterne testmiljø skal følgende være opfyldt:

  1. Download metadata skabelonen og udfyld relevante punkter om testtjenesten
  2. Testmetadata skal sendes i JSON-format (.json)
  3. Testmetadata skal navngives på formen supportsagsnummer_test_oidc_metadata.json (fx infrasup-98765_test_oidc_metadata.json)

Bemærk at før tjenesten kan komme på produktionsmiljøet skal følgende være opfyldt:

  1. Der skal indsendes en erklæring om at login i tjenesten via Unilogin alene tjener et relevant formål i forhold til skoler og institutioner. Herunder eksempler på skoler og institutioner der anvender tjenesten.
  2. Download metadata skabelonen og udfyld relevante punkter om tjenesten
  3. Produktionsmetadata skal sendes i JSON-format (.json)
  4. Produktionsmetadata skal navngives på formen supportsagsnummer_prod _oidc_metadata.json (fx infrasup-98765_prod_oidc_metadata.json)
  5. Integrationen til Unilogin Broker skal overholde OIO OIDC specifikationen.
  6. Slutteligt skal der anmodes om en tilslutning af tjenesten til "Unilogin Broker OIDC" på tilslutning.stil.dk

 

Administrer - herunder tilslutning til yderligere services og evt. anmodning om dataadgange - din tilslutning til Unilogin OIDC (gælder både for fuld OIDC og Letvægtsløsning) på tilslutning.stil.dk



  • Ingen etiketter

Styrelsen for It og Læring - Teglholmsgade 1 - 2450 København SV - www.stil.dk