Connect to NemLog-in with SAML 2.0 (Legacy standard configuration)

Questa e la guida legacy per configurare NemLog-in con le impostazioni standard SAML 2.0. Per la UI template NemLog-in, vedi Connect to NemLog-in with SAML 2.0 (Template).

Puoi collegare FoxIDs a NemLog-in, IdP danese, con un metodo di autenticazione SAML 2.0 e lasciare che gli utenti si autentichino con MitID. NemLog-in e collegato come SAML 2.0 Identity Provider (IdP).

Configurando un metodo di autenticazione SAML 2.0 e una registrazione applicativa OpenID Connect, FoxIDs diventa un bridge tra SAML 2.0 e OpenID Connect. FoxIDs gestisce quindi la connessione SAML 2.0 come Relying Party (RP) / Service Provider (SP) e nella tua applicazione devi occuparti solo di OpenID Connect. Se necessario, puoi offrire piu opzioni di login, cioe metodi di autenticazione, dalla stessa registrazione applicativa OpenID Connect.

FoxIDs supporta NemLog-in e il profilo basato su SAML 2.0 OIOSAML 3.0.3, inclusi single logout, SLO, logging, naming dell'issuer, i certificati OCES3 richiesti, RSASSA-PSS, e supporta NSIS.

Puoi testare il login NemLog-in con il sample web app online (documentazione sample) facendo clic su Log in e poi su Danish NemLog-in TEST per l'ambiente di test oppure Danish NemLog-in per la produzione.
Dai un'occhiata alla configurazione sample NemLog-in in FoxIDs Control: https://control.foxids.com/test-corp
Ottieni accesso in lettura con l'utente reader@foxids.com e la password gEh#V6kSw, poi seleziona l'ambiente nemlogin oppure nemlogin-test.
Il sample e configurato con un ambiente separato per l'integrazione NemLog-in SAML 2.0.

Documentazione NemLog-in:

• Il portale di sviluppo NemLog-in con documentazione
  • test, dove puoi trovare i NemLog-in IdP-metadata per test
  • production, dove puoi trovare i NemLog-in IdP-metadata per produzione
• Certificati OCES3:
  • Scarica il certificato OCES3 di test e il file password oppure crea un certificato OCES3 di test
  • Crea un certificato OCES3 di produzione nella certificate administration
• Devi essere collegato a NemLog-in per poter creare IT systems.
• Il portale di amministrazione NemLog-in dove configuri gli IT-systems
• Ambiente di test
  • Vedi Utenti di test nell'ambiente integration test per utenti di test MitID privati e MitID Business

Trasforma il DK privilege XML claim in un claim JSON.

Consider separate environment

NemLog-in richiede che la Relying Party (RP) usi un certificato OCES3 e logging esteso. Pertanto valuta di collegare NemLog-in in un ambiente separato dove il certificato OCES3 e il livello di log possano essere configurati senza influire su altro.

Puoi collegare due ambienti nello stesso tenant con un Environment Link.

Certificate

NemLog-in richiede che tutte le richieste, authn e logout, della Relying Party (RP) siano firmate. Inoltre NemLog-in richiede che la RP firmi con un certificato OCES3. Non e possibile usare un certificato emesso da un'altra autorita di certificazione, un certificato self-signed o un certificato emesso da FoxIDs.

I certificati OCES3 di test sono usati nell'ambiente di test e i certificati OCES3 di produzione sono usati in produzione. Un certificato OCES3 e valido per tre anni. Dopo di che deve essere aggiornato manualmente.
Ti serviranno ambienti FoxIDs separati per gestire rispettivamente gli ambienti di test e di produzione. Facoltativamente gli ambienti possono essere combinati in un environment applicativo con environment links.

Aggiungi il certificato OCES3 .P12 in FoxIDs Control Client:

1. Seleziona, oppure crea, l'ambiente da usare per NemLog-in
2. Seleziona la scheda Certificates
3. Fai clic sulla freccia in basso nel pulsante Swap certificate e poi, nella sezione Contained certificates, fai clic su Change container type

4. Fai clic sul certificato primario, inserisci la password e carica il certificato OCES3 .P12

Successivamente e possibile aggiungere un certificato secondario e passare dal certificato primario a quello secondario.

Configuring NemLog-in 3 as Identity Provider (IdP)

Devi configurare il certificato OCES3 prima di seguire questa guida.

1) - Inizia creando un metodo di autenticazione SAML 2.0 in FoxIDs Control Client

1. Seleziona la scheda Authentication
2. Fai clic su New authentication e poi su SAML 2.0
3. Aggiungi il nome
4. Seleziona Show advanced
5. Seleziona il dot URL binding pattern

6. Disabilita automatic update
7. Fai clic su Read metadata from file e seleziona i NemLog-in IdP-metadata

8. Configura un custom SP issuer; l'issuer puo facoltativamente iniziare con https://saml.
   • L'issuer in questo esempio e https://saml.foxids.com/test-corp/nemlogin-test/
9. Facoltativamente rimuovi * e configura i claim; i seguenti claim sono quelli piu usati:
   • https://data.gov.dk/concept/core/nsis/loa
   • https://data.gov.dk/model/core/eid/cprNumber
   • https://data.gov.dk/model/core/eid/cprUuid
   • https://data.gov.dk/model/core/eid/email
   • https://data.gov.dk/model/core/eid/firstName
   • https://data.gov.dk/model/core/eid/lastName
   • https://data.gov.dk/model/core/eid/professional/cvr
   • https://data.gov.dk/model/core/eid/professional/orgName
   • https://data.gov.dk/model/core/eid/professional/uuid/persistent
   • https://data.gov.dk/model/core/specVersion
   • includi facoltativamente il privilege claim, vedi passaggio 3

10. Imposta Login hint in Authn request in Subject NameID su Disabled
11. Solo in produzione, facoltativamente imposta Certificate validation mode su Chain trust se il certificato root OCES3 e trusted sulla tua piattaforma e imposta Certificate revocation mode su Online
12. Seleziona di includere il certificato di cifratura nei metadata
13. Imposta NameID format in metadata su urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

14. Aggiungi un attribute consuming service nei metadata e aggiungi il service name.
15. Aggiungi tutti i claim configurati nel passaggio 11 come requested attributes con il formato urn:oasis:names:tc:SAML:2.0:attrname-format:uri. Facoltativamente imposta ogni attributo come required.

16. Aggiungi almeno una persona di contatto technical

17. Fai clic su create
18. Vai all'inizio del metodo di autenticazione SAML 2.0
19. Scarica gli SP-metadata del metodo di autenticazione SAML 2.0, in questo caso https://foxids.com/test-corp/nemlogin-test/.nemlogin./saml/spmetadata.
20. Il file SP-metadata viene usato per configurare l'IT system NemLog-in.

2) - Poi vai al portale di amministrazione NemLog-in

Per prima cosa devi creare un IT-system NemLog-in oppure fare in modo che qualcun altro lo crei e ti assegni l'accesso.

1. Seleziona l'IT-system
2. Fai clic su upload metadata file e carica il file SP-metadata del metodo di autenticazione SAML 2.0
3. Torna all'IT-system
4. Fai clic sul pulsante Save the technical details
5. Fai clic su Provision to integrationtest e poi su Apply for integration test

Per configurare la produzione devi caricare un test report, farlo approvare e poi ripetere la configurazione in FoxIDs e NemLog-in.

3) - Facoltativo - Configura MitID app-switch verso mobile app in FoxIDs Control Client

Facoltativamente, configura MitID app-switch se usi NemLog-in / MitID in una mobile app.

• Trovi maggiori informazioni in NemLog-in Integration with NemLog-in3 capitolo 9.6 e 9.7.

NemLog-in supporta mobile app-switch usando Universal Links su iOS oppure App Links su Android, sulla base di un return URL passato a NemLog-in in una estensione SAML 2.0 come parte della authn, login, request.

Il return URL e l'URL della tua mobile app e viene usato per tornare alla tua app dall'app MitID dopo l'autenticazione.

Se il return URL per la tua app Android e https://myapp.page.link/zyx, configura l'estensione XML della SAML 2.0 authn request come:

<nl:AppSwitch xmlns:nl="https://data.gov.dk/eid/saml/extensions">
  <nl:Platform>Android</nl:Platform>
  <nl:ReturnURL>https://myapp.page.link/zyx</nl:ReturnURL>
</nl:AppSwitch>

Seleziona show advanced settings e aggiungi l'estensione XML in Authn request extensions XML e fai clic su Update

Puoi configurare authn request extensions XML nei profili del metodo di autenticazione. E quindi supportare piu piattaforme mobili nei profili.

Al momento iOS non richiede un return URL per eseguire app-switch. Ma questo puo cambiare nel tempo!
Pertanto al momento ti servono solo due metodi di autenticazione; uno per il tuo sito web e la app iOS senza redirect URL e uno per la app Android con redirect URL.

4) - Facoltativo - aggiungi la trasformazione del claim privilege in FoxIDs Control Client

Facoltativamente, se stai usando il claim privilege.

FoxIDs puo trasformare il DK privilege XML claim in un claim JSON. Si raccomanda di aggiungere la trasformazione per ottenere claim e token piu piccoli. Inoltre rende i token leggibili.

1. Aggiungi il trasformatore DK privilege claim.
2. Rimuovi il claim privilege originale dalla pipeline dei claim.

FoxIDs converte internamente i claim SAML 2.0 in claim JWT. Il mapping tra claim SAML 2.0 e JWT viene creato automaticamente per impostazione predefinita. Puoi trovare e modificare il mapping nella scheda Settings.

Il metodo di autenticazione SAML 2.0 puo ora essere usato come metodo di autenticazione per le registrazioni applicative nell'ambiente.

Test users in integration test environment

Puoi creare sia utenti privati MitID sia utenti MitID Business, dipendenti, per l'ambiente NemLog-in integration test.

MitID private test users

Esistono due modi per creare un utente di test MitID privato:

• Creare un utente che accede con username, User ID, e password nella scheda Test login della pagina NemLog-in.
• Creare un utente che puo sia accedere con username, User ID, e password sia simulare l'app MitID nella scheda MitID.

Per creare un utente di test MitID privato con username e password:

1. Vai al MitID simulator
2. Facoltativamente fai clic su Autofill
3. Inserisci un numero CPR fittizio. Ogni numero CPR di test puo essere usato una sola volta.
4. Seleziona Private MitID
5. Inserisci il tuo indirizzo email come email dell'amministratore
6. Fai clic su Create Identity

Ricevi una email con un access token che puoi usare per modificare in seguito l'utente di test. Potrai quindi accedere con l'utente di test nella pagina NemLog-in test login.

Per creare un utente di test MitID privato che funzioni anche con il simulatore dell'app MitID:

1. Vai al MitID simulator
2. Facoltativamente fai clic su Autofill
3. Inserisci un numero CPR fittizio. Ogni numero CPR di test puo essere usato una sola volta.
4. Seleziona Private MitID
5. Seleziona Create in MitID testtool
6. Inserisci il tuo indirizzo email come email dell'amministratore
7. Fai clic su Create Identity

Trova l'utente di test in MitID Test Tool per numero CPR o username. Nella sezione App, fai clic su Open simulator per aprire il simulatore dell'app MitID nel browser.

MitID Business test users

Hai bisogno di un'organizzazione di test nell'ambiente integration test prima di poter creare utenti di test MitID Business. Crea un'organizzazione di test per ogni numero CVR che vuoi usare.

Quando hai completato l'onboarding NemLog-in, ottieni un'organizzazione di test che puoi gestire in MitID Business integration test, dove puoi creare utenti di test MitID Business.

In alternativa, o in aggiunta, puoi creare un'organizzazione di test nella pagina Create test-user-organisation. Compila questi campi e fai clic su Create (Opret):

• Indirizzo email amministratore: usato se devi reimpostare la password
• Password: usata per accedere
• API access key: se ne fornisci una, gli altri non possono modificare l'organizzazione di test
• Approve qualified certificates: abilitalo se devi testare certificati qualificati
• Organisation type: seleziona Privat virksomhed per un'azienda privata oppure Offentlig virksomhed per un'organizzazione pubblica
• Assurance level for the identification process: imposta il livello NSIS di assurance su Betydelig

Dopo che l'organizzazione e stata creata, accedi a MitID Business integration test e crea utenti di test MitID Business.

Logging

NemLog-in richiede che richieste e risposte, inclusa la prova della firma, siano registrate e conservate per mezzo anno, 180 giorni. E inoltre richiesto registrare quale identita ha effettuato login e logout da quale sessione, in quale momento e da quale indirizzo IP.
Il log predefinito FoxIDs registra errori ed eventi includendo il tempo e l'indirizzo IP.

Con un piano Pro o Enterprise su FoxIDs.com i dati di log vengono conservati per 180 giorni.

Il livello di log richiesto da NemLog-in viene configurato nelle impostazioni di log FoxIDs:

1. Abilita log info trace
2. Abilita log claims trace
3. Abilita log message trace
4. Fai clic su update

Request authentication context

Puoi richiedere un livello NSIS di assurance desiderato come authn context class reference.

Possibili livelli NSIS di assurance:

• https://data.gov.dk/concept/core/nsis/loa/Low
• https://data.gov.dk/concept/core/nsis/loa/Substantial
• https://data.gov.dk/concept/core/nsis/loa/High

Allo stesso modo puoi specificare il tipo di ID come authn context class reference.

Possibili tipi di ID:

• https://data.gov.dk/eid/Person
• https://data.gov.dk/eid/Professional

E i possibili tipi di credenziale:

• https://nemlogin.dk/internal/credential/type/nemidkeycard
• https://nemlogin.dk/internal/credential/type/nemidkeyfile
• https://nemlogin.dk/internal/credential/type/mitid
• https://nemlogin.dk/internal/credential/type/local
• https://nemlogin.dk/internal/credential/type/test

Puoi configurare authn context class references nei profili del metodo di autenticazione se devi fornire set differenti.
Ad esempio, per supportare step-up authentication, crea un profilo con authn context class reference https://data.gov.dk/concept/core/nsis/loa/Substantial e un altro profilo con authn context class reference https://data.gov.dk/concept/core/nsis/loa/High.

Documentazione correlata

• Metodo di autenticazione SAML 2.0
• Metodi di autenticazione
• SAML 2.0
• Registrazione applicazione OpenID Connect
• Registrazione applicazione SAML 2.0