Uddrag medtager |
---|
| OFFSKOLELOGIN:Disclaimer: Teknisk personale | OFFSKOLELOGIN:Disclaimer: Teknisk personale |
nopanel | true |
Tekniske krav til IdP'er i Unilogin-føderationenUnilogin understøtter SAML 2.0 til login og autentificering af brugere for web-baserede applikationer i et single sign-on miljø og protokolprofilen for OIOSAML 3.0. Lokale IdP'er som i Unilogin føderationen skal tilsluttes skal derfor kunne fungere i et sådant miljøderfor følge denne profil, herunder eksklusiv anvendelse af OCES3 systemcertifikater, der udstedes via MitID Erhverv. Desuden skal IdP'en understøtte understøtte Unilogin-føderationens sikringsniveauer og håndtere login-faktorer og -kommunikation i overensstemmelse med disse.
En IdP tilsluttes ved at der udveksles metadata mellem IdP'en og Unilogin Broker. Metadata er beskrevet i SAML standarden og fastlægger de involverede certifikater og andre informationer nødvendige for kommunikationen, såsom end-points endpoints for IdP’ens Single Sign On Service og Single Logout Service.Tilslutning sker i praksis tilslutning til Unilogins eksterne testmiljø. Det er en forudsætning at IdP'en er blevet tilsluttet og godkendt her inden den kan sættes i drift i Unilogins produktionsmiljø
CVR numre
CVR numre på IdP'ens ejer skal stemme overens med CVR registeret i IdP'ens OCES3 certifikat.
Kommunikation af brugers identitet
Unilogin Broker medsender brugernavn til IdP'en i <Subject> i SAML's AuthnRequest, hvis det er blevet indtastet i forbindelse med discovery processen i Unilogin Broker. F.eks. kan dette være "bruger@domain".
IdP'en skal som udgangspunkt sende information om identifikationen af den indloggede brugers identitet bruger til Unilogin Broker i SAML's <NameID>. Identifikationen skal være kendt i Unilogin Broker , så gyldige via import til SkoleGrunddata. Gyldige værdier er på nuværende tidspunkt brugerens UNI-ID eller CPR-nummerUniid eller CPR-nummer. Sendes CPR-nummer skal det sendes i et OIOSAML-attribut efter nærmere aftale. Uniid eller CPR nummer skal være krypteret.
Beskyttelse af personhenførbare data
Ved tilslutning af en lokal IdP i Unilogin Broker, er der krav om at requests og responses sendt til Broker er krypteret, for at data som sendes med ikke kan fanges af en mellemmand, og misbruges.
Hvis kravet om krypteret kommunikation med Unilogin Broker ikke overholdes, vil login blokeres indtil at kravet opfyldes.
Kommunikation af ønsket sikringsniveau
Sikringsniveauer kommunikeres mellem fra Unilogin Broker og til IdP i <AuthnContextClassRef> . Værdierne skal følge specifikationen af Unilogin-føderationens sikringsniveauer.i autentificeringsforespørgslen. Svar fra IdP'en sendes i attributter som specificeret i dokumentationen for Unilogin-føderationens sikringsniveauer.
Verificering af succesfuld tilkobling
Når en lokal IdP er blevet oprettet i Unilogin Broker, så er der krav verificering af følgende:
- Der kan foretages succesfuldt
- login
- logud
- Kommunikationen er krypteret
- EntityID/Issuer afspejler det som der er blevet registreret i NSIS Positivlisten
- Dette gælder ikke for IdP'er som kun er til elever
Ovenstående kan bekræftes ved at sende SAML-traces i supportsagen.