Conectarse a NemLog-in con SAML 2.0 (Configuración estándar legacy)

Esta es la guía legacy para configurar NemLog-in con la configuración estándar SAML 2.0. Para la interfaz de plantilla de NemLog-in, vea Conectarse a NemLog-in con SAML 2.0 (Plantilla).

Puede conectar FoxIDs a NemLog-in (IdP danés) con un método de autenticación SAML 2.0 y permitir que los usuarios se autentiquen con MitID. NemLog-in se conecta como proveedor de identidad SAML 2.0 (IdP).

Al configurar un método de autenticación SAML 2.0 y un registro de aplicación OpenID Connect FoxIDs se convierte en un bridge entre SAML 2.0 y OpenID Connect. Luego FoxIDs maneja la conexión SAML 2.0 como Relying Party (RP) / Service Provider (SP) y usted solo necesita ocuparse de OpenID Connect en su aplicación. Si es necesario, puede ofrecer múltiples opciones de inicio de sesión (métodos de autenticación) desde el mismo registro de aplicación OpenID Connect.

Connect to NemLog-in

FoxIDs admite NemLog-in y el OIOSAML 3.0.3 basado en SAML 2.0, incluido el single logout (SLO), el registro, la denominación del emisor, los certificados OCES3 (RSASSA-PSS) requeridos y el soporte NSIS.

Puede probar el inicio de sesión de NemLog-in con la muestra de aplicación web en línea (docs de la muestra) haciendo clic en Log in y luego en Danish NemLog-in TEST para el entorno de prueba o Danish NemLog-in para producción. Vea la configuración de ejemplo de NemLog-in en FoxIDs Control: https://control.foxids.com/test-corp Obtenga acceso de lectura con el usuario reader@foxids.com y la contraseña gEh#V6kSw y luego seleccione el entorno nemlogin o nemlogin-test. La muestra está configurada con un entorno separado para la integración NemLog-in SAML 2.0.

Documentación de NemLog-in:

Transforme la reclamación XML de privilegio DK en una reclamación JSON.

Considere un entorno separado

NemLog-in requiere que la Relying Party (RP) use un certificado OCES3 y un registro ampliado. Por lo tanto, considere conectar NemLog-in en un entorno separado donde el certificado OCES3 y el nivel de registro se puedan configurar sin afectar a nada más.

Connect to NemLog-in and use Environment Link

Puede conectar dos entornos en el mismo tenant con un Environment Link.

Certificado

NemLog-in requiere que todas las solicitudes (authn y logout) de la Relying Party (RP) estén firmadas. Además, NemLog-in requiere que la RP firme con un certificado OCES3. No es posible usar un certificado emitido por otra autoridad certificadora, un certificado autofirmado o un certificado emitido por FoxIDs.

Los certificados OCES3 de prueba se usan en el entorno de prueba y los certificados OCES3 de producción se usan en producción. Un certificado OCES3 es válido por tres años. Después de eso, debe actualizarse manualmente. Necesitará entornos FoxIDs separados para manejar los entornos de prueba y producción respectivamente. Los entornos pueden combinarse en un entorno de aplicación con environment links.

Agregue el certificado OCES3 .P12 en FoxIDs Control Client:

  1. Seleccione (o cree) el entorno que se usará para NemLog-in
  2. Seleccione la pestaña Certificates
  3. Haga clic en la flecha hacia abajo del botón Swap certificate y luego, en la sección Contained certificates, haga clic en Change container type

Change container type

  1. Haga clic en el certificado principal, ingrese la contraseña y cargue el certificado OCES3 .P12

Add OCES3 certificate

Luego es posible agregar un certificado secundario y cambiar entre el certificado principal y el secundario.

Configurar NemLog-in 3 como proveedor de identidad (IdP)

Debe configurar el certificado OCES3 antes de seguir esta guía.

1) - Comience creando un método de autenticación SAML 2.0 en FoxIDs Control Client

  1. Seleccione la pestaña Authentication
  2. Haga clic en New authentication y luego en SAML 2.0
  3. Agregue el nombre
  4. Seleccione Show advanced
  5. Seleccione el patrón de binding dot URL

NemLog-in SAML 2.0 authentication method

  1. Desactive la actualización automática
  2. Haga clic en Read metadata from file y seleccione los metadatos IdP de NemLog-in

NemLog-in SAML 2.0 authentication method

  1. Configure un issuer SP personalizado, el issuer puede opcionalmente empezar con https://saml.
    • El issuer en este ejemplo es https://saml.foxids.com/test-corp/nemlogin-test/
  2. Opcionalmente elimine el * y configure las reclamaciones; las siguientes reclamaciones se usan con más frecuencia:
    • https://data.gov.dk/concept/core/nsis/loa
    • https://data.gov.dk/model/core/eid/cprNumber
    • https://data.gov.dk/model/core/eid/cprUuid
    • https://data.gov.dk/model/core/eid/email
    • https://data.gov.dk/model/core/eid/firstName
    • https://data.gov.dk/model/core/eid/lastName
    • https://data.gov.dk/model/core/eid/professional/cvr
    • https://data.gov.dk/model/core/eid/professional/orgName
    • https://data.gov.dk/model/core/eid/professional/uuid/persistent
    • https://data.gov.dk/model/core/specVersion
    • opcionalmente incluya la reclamación de privilegio, vea el paso 3)

NemLog-in SAML 2.0 authentication method

  1. Configure Login hint in Authn request en Subject NameID como Disabled
  2. Solo en producción, opcionalmente configure el modo de validación de certificados en Chain trust si el certificado raíz OCES3 es de confianza en su plataforma y configure el modo de revocación de certificados en Online
  3. Seleccione incluir el certificado de cifrado en los metadatos
  4. Configure el formato NameID en los metadatos como urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

NemLog-in SAML 2.0 authentication method

  1. Agregue un servicio de consumo de atributos en los metadatos y agregue el nombre del servicio.
  2. Agregue todas las reclamaciones configuradas en el paso 11 como atributos solicitados con el formato urn:oasis:names:tc:SAML:2.0:attrname-format:uri. Opcionalmente marque cada atributo como requerido.

NemLog-in SAML 2.0 authentication method

  1. Agregue al menos una persona de contacto technical

NemLog-in SAML 2.0 authentication method

  1. Haga clic en create
  2. Vaya a la parte superior del método de autenticación SAML 2.0
  3. Descargue los metadatos SP del método de autenticación SAML 2.0, en este caso https://foxids.com/test-corp/nemlogin-test/.nemlogin./saml/spmetadata.
  4. El archivo de metadatos SP se utiliza para configurar el sistema de TI de NemLog-in.

2) - Luego vaya al portal de administración de NemLog-in

Primero debe crear un sistema de TI de NemLog-in o hacer que otra persona cree un sistema de TI de NemLog-in y le asigne acceso.

  1. Seleccione el sistema de TI
  2. Haga clic en upload metadata file y cargue el archivo de metadatos SP del método de autenticación SAML 2.0
  3. Regrese al sistema de TI
  4. Haga clic en el botón Save the technical details
  5. Haga clic en Provision to integrationtest y luego en Apply for integration test

Para configurar la producción debe cargar un informe de pruebas, hacer que lo aprueben y luego repetir la configuración de FoxIDs y NemLog-in.

3) - Opcional - Configure el app-switch de MitID para aplicación móvil en FoxIDs Control Client

Opcionalmente, configure el app-switch de MitID si está usando NemLog-in / MitID en una aplicación móvil.

NemLog-in admite el app-switch móvil usando Universal Links en iOS o App Links en Android, basado en una URL de retorno que se envía a NemLog-in en una extensión SAML 2.0 como parte de la solicitud authn (inicio de sesión).

La URL de retorno es la URL de su aplicación móvil y se usa para volver a su aplicación desde la app MitID después de la autenticación.

Si la URL de retorno para su aplicación Android es https://myapp.page.link/zyx configure la extensión XML de solicitud authn SAML 2.0 como:

<nl:AppSwitch xmlns:nl="https://data.gov.dk/eid/saml/extensions">
  <nl:Platform>Android</nl:Platform>
  <nl:ReturnURL>https://myapp.page.link/zyx</nl:ReturnURL>
</nl:AppSwitch>

Seleccione la configuración avanzada y agregue la extensión XML en Authn request extensions XML y haga clic en Update

NemLog-in SAML 2.0 authn request extension XM

Puede configurar extensiones XML de solicitud authn en perfiles del método de autenticación. Luego puede admitir múltiples plataformas móviles en perfiles.

Actualmente iOS no requiere una URL de retorno para hacer app-switch. ¡Pero esto puede cambiar con el tiempo! Por lo tanto, actualmente solo necesita dos métodos de autenticación; uno para su sitio web y la app iOS sin URL de redirección y otro para su app Android con URL de redirección.

4) - Opcional - agregar transformación de reclamación de privilegio en FoxIDs Control Client

Opcionalmente, si está usando la reclamación de privilegio.

FoxIDs puede transformar la reclamación XML de privilegio DK en una reclamación JSON. Se recomienda agregar la transformación para obtener reclamaciones y tokens más pequeños. Además, hace que los tokens sean legibles.

  1. Agregue el transformador de reclamación de privilegio DK.
  2. Elimine la reclamación de privilegio original del pipeline de reclamaciones.

NemLog-in SAML 2.0 authentication method privilege claim transformation

FoxIDs convierte internamente las reclamaciones SAML 2.0 en reclamaciones JWT. El mapeo entre reclamaciones SAML 2.0 y JWT se crea automáticamente de forma predeterminada. Puede encontrar y cambiar el mapeo en la pestaña Settings.

El método de autenticación SAML 2.0 ahora se puede usar como método de autenticación para registros de aplicaciones en el entorno.

Registro

NemLog-in requiere que las solicitudes y respuestas (incluida la prueba de firma) se registren y se almacenen durante medio año (180 días). También se requiere registrar qué identidad inició sesión y cerró sesión en qué sesión, a qué hora y la dirección IP. El registro predeterminado de FoxIDs registra errores y eventos incluyendo la hora y la dirección IP.

Con un plan Pro o Enterprise en FoxIDs.com los datos de registro se almacenan durante 180 días.

El nivel de registro que requiere NemLog-in se configura en la configuración de registro de FoxIDs:

  1. Habilite log info trace
  2. Habilite log claims trace
  3. Habilite log message trace
  4. Haga clic en update

NemLog-in SAML 2.0 authentication method

Solicitar contexto de autenticación

Puede solicitar un nivel de garantía NSIS deseado como referencia de clase de contexto de autenticación.

NSIS assurance level in SAML 2.0 authentication method

Niveles de garantía NSIS posibles:

  • https://data.gov.dk/concept/core/nsis/loa/Low
  • https://data.gov.dk/concept/core/nsis/loa/Substantial
  • https://data.gov.dk/concept/core/nsis/loa/High

También puede especificar el tipo de ID como referencia de clase de contexto de autenticación.

ID type in SAML 2.0 authentication method

Tipos de ID posibles:

  • https://data.gov.dk/eid/Person
  • https://data.gov.dk/eid/Professional

Y posibles tipos de credenciales:

  • https://nemlogin.dk/internal/credential/type/nemidkeycard
  • https://nemlogin.dk/internal/credential/type/nemidkeyfile
  • https://nemlogin.dk/internal/credential/type/mitid
  • https://nemlogin.dk/internal/credential/type/local
  • https://nemlogin.dk/internal/credential/type/test

Puede configurar referencias de clase de contexto de autenticación en perfiles del método de autenticación si necesita proporcionar diferentes conjuntos. Por ejemplo, para admitir autenticación step-up, cree un perfil con referencia de clase de contexto de autenticación https://data.gov.dk/concept/core/nsis/loa/Substantial y otro perfil con referencia de clase de contexto de autenticación https://data.gov.dk/concept/core/nsis/loa/High.

Tu privacidad

Usamos cookies para mejorar tu experiencia en nuestros sitios web. Haz clic en «Aceptar todas las cookies» para aceptar su uso. Para rechazar cookies no esenciales, haz clic en «Solo cookies necesarias».

Visita nuestra política de privacidad para saber más