Mit NemLog-in über SAML 2.0 verbinden (Legacy Standardkonfiguration)

Dies ist der Legacy Leitfaden zur Konfiguration von NemLog-in mit den Standard SAML 2.0 Einstellungen. Für die NemLog-in Vorlage UI siehe Mit NemLog-in über SAML 2.0 verbinden (Vorlage).

Sie können FoxIDs mit NemLog-in (dänischer IdP) über eine SAML 2.0 Authentifizierungsmethode verbinden und Benutzer mit MitID authentifizieren lassen. NemLog-in ist als SAML 2.0 Identity Provider (IdP) verbunden.

Durch die Konfiguration einer SAML 2.0 Authentifizierungsmethode und einer OpenID Connect Applikationsregistrierung wird FoxIDs zu einer Brücke zwischen SAML 2.0 und OpenID Connect. FoxIDs verarbeitet die SAML 2.0 Verbindung dann als Relying Party (RP) / Service Provider (SP) und Sie müssen sich in Ihrer Applikation nur um OpenID Connect kümmern. Falls nötig, können Sie mehrere Login Optionen (Authentifizierungsmethoden) aus derselben OpenID Connect Applikationsregistrierung anbieten.

FoxIDs unterstützt NemLog-in und den SAML 2.0 basierten OIOSAML 3.0.3 einschließlich single logout (SLO), logging, issuer naming, erforderlichen OCES3 (RSASSA-PSS) Zertifikaten und NSIS Unterstützung.

Sie können den NemLog-in Login mit dem online web app sample (sample docs) testen, indem Sie Log in und anschließend Danish NemLog-in TEST für die Testumgebung oder Danish NemLog-in für die Produktion anklicken. Sehen Sie sich die NemLog-in sample Konfiguration in FoxIDs Control an: https://control.foxids.com/test-corp Erhalten Sie read Zugriff mit dem Benutzer reader@foxids.com und dem Passwort gEh#V6kSw und wählen Sie anschließend die Umgebung nemlogin oder nemlogin-test. Das sample ist mit einer separaten Umgebung für die NemLog-in SAML 2.0 Integration konfiguriert.

NemLog-in Dokumentation:

• Das NemLog-in Entwicklungsportal mit Dokumentation
  • test, wo Sie die NemLog-in IdP metadata für test finden
  • produktion, wo Sie die NemLog-in IdP metadata für produktion finden
• OCES3 Zertifikate:
  • Laden Sie das test OCES3 Zertifikat und die Passwortdatei herunter oder erstellen Sie ein OCES3 test Zertifikat
  • Erstellen Sie ein Produktions OCES3 Zertifikat in der Zertifikatsverwaltung
• Sie müssen mit NemLog-in verbunden sein, um IT Systeme zu erstellen.
• Das NemLog-in Administrationsportal in dem Sie IT Systeme konfigurieren
• Testumgebung
  • Erstellen Sie Bürger Testbenutzer im MitID emulator
  • Erstellen Sie Bürger und Mitarbeiter Testbenutzer im MitID simulator (Login mit Benutzername und Passwort)

Transformieren Sie den DK privilege XML claim in einen JSON claim.

Separate Umgebung in Betracht ziehen

NemLog-in erfordert, dass die Relying Party (RP) ein OCES3 Zertifikat und umfangreiches logging verwendet. Daher sollten Sie NemLog-in in einer separaten Umgebung verbinden, in der das OCES3 Zertifikat und der log Level konfiguriert werden können, ohne etwas anderes zu beeinflussen.

Sie können zwei Umgebungen im selben tenant mit einem Environment Link verbinden.

Zertifikat

NemLog-in erfordert, dass alle Requests (authn und logout) von der Relying Party (RP) signiert werden. Außerdem erfordert NemLog-in, dass die RP mit einem OCES3 Zertifikat signiert. Es ist nicht möglich, ein Zertifikat zu verwenden, das von einer anderen Zertifizierungsstelle ausgestellt wurde, ein selbstsigniertes Zertifikat oder ein Zertifikat, das von FoxIDs ausgestellt wurde.

OCES3 Testzertifikate werden in der Testumgebung verwendet und OCES3 Produktionszertifikate in der Produktion. Ein OCES3 Zertifikat ist drei Jahre gültig. Danach muss es manuell aktualisiert werden. Sie benötigen separate FoxIDs Umgebungen für Test und Produktion. Die Umgebungen können optional in einer App Umgebung mit environment links kombiniert werden.

Fügen Sie das .P12 OCES3 Zertifikat in FoxIDs Control Client hinzu:

1. Wählen (oder erstellen) Sie die Umgebung, die für NemLog-in verwendet werden soll
2. Wählen Sie die Registerkarte Certificates
3. Klicken Sie den Pfeil nach unten auf der Swap certificate Schaltfläche und dann im Abschnitt Contained certificates auf Change container type

4. Klicken Sie das primary Zertifikat, geben Sie das Passwort ein und laden Sie das .P12 OCES3 Zertifikat hoch

Es ist anschließend möglich, ein sekundäres Zertifikat hinzuzufügen und zwischen dem primary und secondary Zertifikat zu wechseln.

NemLog-in 3 als Identity Provider (IdP) konfigurieren

Sie müssen das OCES3 Zertifikat konfigurieren, bevor Sie diesem Leitfaden folgen.

1) - Beginnen Sie mit der Erstellung einer SAML 2.0 Authentifizierungsmethode in FoxIDs Control Client

1. Wählen Sie die Registerkarte Authentication
2. Klicken Sie New authentication und dann SAML 2.0
3. Fügen Sie den Namen hinzu
4. Wählen Sie Show advanced
5. Wählen Sie dot URL binding pattern

6. Deaktivieren Sie automatic update
7. Klicken Sie Read metadata from file und wählen Sie die NemLog-in IdP metadata

8. Konfigurieren Sie einen custom SP issuer, der issuer kann optional mit https://saml. beginnen
   • Der issuer ist in diesem Beispiel https://saml.foxids.com/test-corp/nemlogin-test/
9. Entfernen Sie optional * und konfigurieren Sie claims, folgende claims werden am häufigsten verwendet:
   • https://data.gov.dk/concept/core/nsis/loa
   • https://data.gov.dk/model/core/eid/cprNumber
   • https://data.gov.dk/model/core/eid/cprUuid
   • https://data.gov.dk/model/core/eid/email
   • https://data.gov.dk/model/core/eid/firstName
   • https://data.gov.dk/model/core/eid/lastName
   • https://data.gov.dk/model/core/eid/professional/cvr
   • https://data.gov.dk/model/core/eid/professional/orgName
   • https://data.gov.dk/model/core/eid/professional/uuid/persistent
   • https://data.gov.dk/model/core/specVersion
   • optional die privilege claim einschließen, siehe Schritt 3)

10. Setzen Sie Login hint in Authn request im Subject NameID auf Disabled
11. In der Produktion setzen Sie optional Certificate validation mode auf Chain trust, wenn das OCES3 root Zertifikat auf Ihrer Plattform trusted ist, und setzen Certificate revocation mode auf Online
12. Wählen Sie die Einbindung des encryption Zertifikats in die metadata
13. Setzen Sie das NameID format in metadata auf urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

14. Fügen Sie einen attribute consuming service in metadata hinzu und fügen Sie den service Namen hinzu.
15. Fügen Sie alle in Schritt 11 konfigurierten claims als requested attributes mit dem Format urn:oasis:names:tc:SAML:2.0:attrname-format:uri hinzu. Setzen Sie optional jedes Attribut als required.

16. Fügen Sie mindestens eine technical Kontaktperson hinzu

17. Klicken Sie create
18. Gehen Sie zum Anfang der SAML 2.0 Authentifizierungsmethode
19. Laden Sie die SAML 2.0 Authentifizierungsmethoden SP metadata herunter, in diesem Fall https://foxids.com/test-corp/nemlogin-test/.nemlogin./saml/spmetadata.
20. Die SP metadata Datei wird zur Konfiguration des NemLog-in IT Systems verwendet.

2) - Gehen Sie dann zum NemLog-in Administrationsportal

Zuerst müssen Sie ein NemLog-in IT System erstellen oder jemanden bitten, ein NemLog-in IT System zu erstellen und Ihnen Zugriff zu geben.

1. Wählen Sie das IT System aus
2. Klicken Sie upload metadata file und laden Sie die SAML 2.0 Authentifizierungsmethoden SP metadata Datei hoch
3. Gehen Sie zurück zum IT System
4. Klicken Sie den Button Save the technical details
5. Klicken Sie Provision to integrationtest und dann Apply for integration test

Um die Produktion zu konfigurieren, müssen Sie einen Testbericht hochladen, ihn genehmigen lassen und dann die FoxIDs und NemLog-in Konfiguration wiederholen.

3) - Optional - MitID app switch für mobile App in FoxIDs Control Client konfigurieren

Optional, konfigurieren Sie MitID app switch, wenn Sie NemLog-in / MitID in einer mobilen App verwenden.

• Weitere Informationen finden Sie im Kapitel 9.6 und 9.7 von NemLog-in Integration mit NemLog-in3.

NemLog-in unterstützt mobile app switch entweder mit Universal Links auf iOS oder App Links auf Android, basierend auf einer return URL, die NemLog-in in einer SAML 2.0 extension im Rahmen der authn (login) request erhält.

Die return URL ist Ihre mobile App URL und wird verwendet, um nach der Authentifizierung von der MitID App zurück zu Ihrer App zu wechseln.

Wenn die return URL Ihrer Android App https://myapp.page.link/zyx ist, konfigurieren Sie die SAML 2.0 authn request extension XML wie folgt:

<nl:AppSwitch xmlns:nl="https://data.gov.dk/eid/saml/extensions">
  <nl:Platform>Android</nl:Platform>
  <nl:ReturnURL>https://myapp.page.link/zyx</nl:ReturnURL>
</nl:AppSwitch>

Wählen Sie show advanced settings und fügen Sie die extension XML in Authn request extensions XML hinzu und klicken Sie Update

Sie können authn request extensions XML in Profilen der Authentifizierungsmethode konfigurieren. Und dann mehrere mobile Plattformen in Profilen unterstützen.

Aktuell erfordert iOS keine return URL für app switch. Das kann sich jedoch im Laufe der Zeit ändern. Daher benötigen Sie derzeit nur zwei Authentifizierungsmethoden; eine für Ihre Website und iOS App ohne redirect URL und eine für Ihre Android App mit redirect URL.

4) - Optional - privilege claim Transformation in FoxIDs Control Client hinzufügen

Optional, wenn Sie die privilege claim verwenden.

FoxIDs kann den DK privilege XML claim in einen JSON claim transformieren. Es wird empfohlen, die Transformation hinzuzufügen, um kleinere claims und tokens zu erhalten. Außerdem macht es die tokens lesbar.

1. Fügen Sie den DK privilege claim transformer hinzu.
2. Entfernen Sie den ursprünglichen privilege claim aus der claims pipeline.

FoxIDs konvertiert intern SAML 2.0 claims in JWT claims. Die Zuordnung zwischen SAML 2.0 und JWT claims wird standardmäßig automatisch erstellt. Sie können die Zuordnung in der Registerkarte Settings finden und ändern.

Die SAML 2.0 Authentifizierungsmethode kann nun als Authentifizierungsmethode für Applikationsregistrierungen in der Umgebung verwendet werden.

Logging

NemLog-in erfordert, dass Requests und Responses (einschließlich Signaturnachweis) protokolliert und für ein halbes Jahr (180 Tage) gespeichert werden. Es ist auch erforderlich, zu protokollieren, welche Identität sich zu welcher Session an- und abmeldet, zu welchem Zeitpunkt und mit welcher IP Adresse. FoxIDs Standard log protokolliert Fehler und Ereignisse inklusive Zeitpunkt und IP Adresse.

Mit einem Pro oder Enterprise Plan auf FoxIDs.com werden Logdaten 180 Tage gespeichert.

Das Logniveau, das NemLog-in erfordert, wird in den FoxIDs log settings konfiguriert:

1. Aktivieren Sie log info trace
2. Aktivieren Sie log claims trace
3. Aktivieren Sie log message trace
4. Klicken Sie update

Authentication context anfordern

Sie können eine gewünschte NSIS assurance Stufe als authn context class reference anfordern.

Mögliche NSIS assurance Stufen:

• https://data.gov.dk/concept/core/nsis/loa/Low
• https://data.gov.dk/concept/core/nsis/loa/Substantial
• https://data.gov.dk/concept/core/nsis/loa/High

Sie können ebenso ID type als authn context class reference angeben.

Mögliche ID types:

• https://data.gov.dk/eid/Person
• https://data.gov.dk/eid/Professional

Und mögliche credential types:

• https://nemlogin.dk/internal/credential/type/nemidkeycard
• https://nemlogin.dk/internal/credential/type/nemidkeyfile
• https://nemlogin.dk/internal/credential/type/mitid
• https://nemlogin.dk/internal/credential/type/local
• https://nemlogin.dk/internal/credential/type/test

Sie können authn context class references in Profilen der Authentifizierungsmethode konfigurieren, wenn Sie unterschiedliche Sets bereitstellen müssen. Zum Beispiel für step-up Authentifizierung, erstellen Sie ein Profil mit authn context class reference https://data.gov.dk/concept/core/nsis/loa/Substantial und ein weiteres Profil mit authn context class reference https://data.gov.dk/concept/core/nsis/loa/High.