Koble til NemLog-in med SAML 2.0 (Legacy standardkonfigurasjon)

Dette er legacy guiden for å konfigurere NemLog-in med standard SAML 2.0 innstillinger. For NemLog-in mal UI, se Koble til NemLog-in med SAML 2.0 (Mal).

Du kan koble FoxIDs til NemLog-in (dansk IdP) med en SAML 2.0 autentiseringsmetode og la brukere autentisere med MitID. NemLog-in er koblet som en SAML 2.0 Identity Provider (IdP).

Ved å konfigurere en SAML 2.0 autentiseringsmetode og en OpenID Connect applikasjonsregistrering blir FoxIDs en bro mellom SAML 2.0 og OpenID Connect. FoxIDs håndterer deretter SAML 2.0 forbindelsen som en Relying Party (RP) / Service Provider (SP) og du trenger bare å fokusere på OpenID Connect i applikasjonen din. Om nødvendig kan du tilby flere innloggingsalternativer (autentiseringsmetoder) fra samme OpenID Connect applikasjonsregistrering.

Koble til NemLog-in

FoxIDs støtter NemLog-in og den SAML 2.0 baserte OIOSAML 3.0.3 inkludert single logout (SLO), logging, issuer naming, krav om OCES3 (RSASSA-PSS) sertifikater og NSIS støtte.

Du kan teste NemLog-in login med online web app sample (sample docs) ved å klikke Log in og deretter Danish NemLog-in TEST for testmiljøet eller Danish NemLog-in for produksjon. Se NemLog-in sample konfigurasjonen i FoxIDs Control: https://control.foxids.com/test-corp Få read tilgang med brukeren reader@foxids.com og passord gEh#V6kSw og velg deretter nemlogin eller nemlogin-test miljøet. Sample er konfigurert med et separat miljø for NemLog-in SAML 2.0 integrasjonen.

NemLog-in dokumentasjon:

Transformér DK privilege XML claim til en JSON claim.

Vurder et separat miljø

NemLog-in krever at Relying Party (RP) bruker et OCES3 sertifikat og omfattende logging. Vurder derfor å koble NemLog-in i et separat miljø hvor OCES3 sertifikatet og logg nivået kan konfigureres uten å påvirke noe annet.

Koble til NemLog-in og bruk Environment Link

Du kan koble to miljøer i samme tenant med en Environment Link.

Sertifikat

NemLog-in krever at alle requests (authn og logout) fra Relying Party (RP) signeres. Videre krever NemLog-in at RP signerer med et OCES3 sertifikat. Det er ikke mulig å bruke et sertifikat utstedt av en annen sertifikat myndighet, et selvsignert sertifikat eller et sertifikat utstedt av FoxIDs.

OCES3 test sertifikater brukes i testmiljøet og OCES3 produksjons sertifikater brukes i produksjon. Et OCES3 sertifikat er gyldig i tre år. Deretter må det oppdateres manuelt. Du trenger separate FoxIDs miljøer for å håndtere test og produksjon henholdsvis. Miljøene kan eventuelt kombineres i et app miljø med environment links.

Legg til .P12 OCES3 sertifikatet i FoxIDs Control Client:

  1. Velg (eller opprett) miljøet som skal brukes for NemLog-in
  2. Velg fanen Certificates
  3. Klikk pilen ned på Swap certificate knappen og klikk deretter Change container type i seksjonen Contained certificates

Endre container type

  1. Klikk primary sertifikatet, skriv inn passordet og last opp .P12 OCES3 sertifikatet

Legg til OCES3 sertifikat

Det er deretter mulig å legge til et sekundært sertifikat og å bytte mellom primary og secondary sertifikater.

Konfigurer NemLog-in 3 som Identity Provider (IdP)

Du må konfigurere OCES3 sertifikatet før du følger denne guiden.

1) - Start med å opprette en SAML 2.0 autentiseringsmetode i FoxIDs Control Client

  1. Velg Authentication fanen
  2. Klikk New authentication og deretter SAML 2.0
  3. Legg til navnet
  4. Velg Show advanced
  5. Velg dot URL binding pattern

NemLog-in SAML 2.0 autentiseringsmetode

  1. Deaktiver automatic update
  2. Klikk Read metadata from file og velg NemLog-in IdP metadata

NemLog-in SAML 2.0 autentiseringsmetode

  1. Konfigurer en custom SP issuer, issuer kan eventuelt starte med https://saml.
    • Issuer i dette eksempelet er https://saml.foxids.com/test-corp/nemlogin-test/
  2. Fjern eventuelt * og konfigurer claims, følgende claims brukes oftest:
    • https://data.gov.dk/concept/core/nsis/loa
    • https://data.gov.dk/model/core/eid/cprNumber
    • https://data.gov.dk/model/core/eid/cprUuid
    • https://data.gov.dk/model/core/eid/email
    • https://data.gov.dk/model/core/eid/firstName
    • https://data.gov.dk/model/core/eid/lastName
    • https://data.gov.dk/model/core/eid/professional/cvr
    • https://data.gov.dk/model/core/eid/professional/orgName
    • https://data.gov.dk/model/core/eid/professional/uuid/persistent
    • https://data.gov.dk/model/core/specVersion
    • eventuelt inkluder privilege claim, se steg 3)

NemLog-in SAML 2.0 autentiseringsmetode

  1. Sett Login hint i Authn request i Subject NameID til Disabled
  2. I produksjon, sett eventuelt Certificate validation mode til Chain trust hvis OCES3 root sertifikatet er trusted på plattformen din og sett Certificate revocation mode til Online
  3. Velg å inkludere encryption sertifikatet i metadata
  4. Sett NameID format i metadata til urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

NemLog-in SAML 2.0 autentiseringsmetode

  1. Legg til en attribute consuming service i metadata og legg til service navnet.
  2. Legg til alle claims konfigurert i steg 11 som requested attributes med formatet urn:oasis:names:tc:SAML:2.0:attrname-format:uri. Sett eventuelt hvert attributt som required.

NemLog-in SAML 2.0 autentiseringsmetode

  1. Legg til minst én technical kontaktperson

NemLog-in SAML 2.0 autentiseringsmetode

  1. Klikk create
  2. Gå til toppen av SAML 2.0 autentiseringsmetoden
  3. Last ned SAML 2.0 autentiseringsmetode SP metadata, i dette tilfellet https://foxids.com/test-corp/nemlogin-test/.nemlogin./saml/spmetadata.
  4. SP metadata filen brukes til å konfigurere NemLog-in IT systemet.

2) - Gå deretter til NemLog-in administrasjonsportalen

Først må du opprette et NemLog-in IT system eller få noen andre til å opprette et NemLog-in IT system og gi deg tilgang.

  1. Velg IT systemet
  2. Klikk upload metadata file og last opp SAML 2.0 autentiseringsmetode SP metadata filen
  3. Gå tilbake til IT systemet
  4. Klikk knappen Save the technical details
  5. Klikk Provision to integrationtest og deretter Apply for integration test

For å konfigurere produksjon må du laste opp en testrapport, få den godkjent og deretter gjenta FoxIDs og NemLog-in konfigurasjonen.

3) - Valgfritt - Konfigurer MitID app switch til mobil app i FoxIDs Control Client

Valgfritt, konfigurer MitID app switch hvis du bruker NemLog-in / MitID i en mobil app.

NemLog-in støtter mobil app switch ved å bruke enten Universal Links på iOS eller App Links på Android, basert på en return URL som sendes til NemLog-in i en SAML 2.0 extension som en del av authn (login) request.

Return URL er mobil app URL-en din og brukes til å bytte tilbake til appen din fra MitID appen etter autentisering.

Hvis return URL for Android appen din er https://myapp.page.link/zyx konfigurer SAML 2.0 authn request extension XML som:

<nl:AppSwitch xmlns:nl="https://data.gov.dk/eid/saml/extensions">
  <nl:Platform>Android</nl:Platform>
  <nl:ReturnURL>https://myapp.page.link/zyx</nl:ReturnURL>
</nl:AppSwitch>

Velg show advanced settings og legg til extension XML i Authn request extensions XML og klikk Update

NemLog-in SAML 2.0 authn request extension XM

Du kan konfigurere authn request extensions XML i profiler på autentiseringsmetoden. Og deretter støtte flere mobile plattformer i profiler.

Per nå krever iOS ikke en return URL for å gjøre app switch. Men dette kan endre seg over tid! Derfor trenger du for øyeblikket bare to autentiseringsmetoder; en for nettstedet ditt og iOS app uten en redirect URL og en for Android app med en redirect URL.

4) - Valgfritt - legg til privilege claim transformasjon i FoxIDs Control Client

Valgfritt, hvis du bruker privilege claim.

FoxIDs kan transformere DK privilege XML claim til en JSON claim. Det anbefales å legge til transformasjonen for å få mindre claims og tokens. I tillegg gjør det tokens lesbare.

  1. Legg til DK privilege claim transformeren.
  2. Fjern den opprinnelige privilege claim fra claims pipeline.

NemLog-in SAML 2.0 autentiseringsmetode privilege claim transformasjon

FoxIDs konverterer internt SAML 2.0 claims til JWT claims. Mappingen mellom SAML 2.0 og JWT claims opprettes automatisk som standard. Du kan finne og endre mappingen i fanen Settings.

SAML 2.0 autentiseringsmetoden kan nå brukes som en autentiseringsmetode for applikasjonsregistreringer i miljøet.

Testbrukere i integrasjonstestmiljøet

Du kan opprette både MitID private brukere og MitID Business (ansatt) brukere i NemLog-in integrasjonstestmiljøet.

MitID private testbrukere

Det finnes to måter å opprette en MitID privat testbruker på:

  • Opprett en bruker som logger inn med brukernavn (User ID) og passord på fanen Test login på NemLog-in siden.
  • Opprett en bruker som både kan logge inn med brukernavn (User ID) og passord og simulere MitID appen på fanen MitID.

Slik oppretter du en MitID privat testbruker med brukernavn og passord:

  1. Gå til MitID simulatoren
  2. Klikk eventuelt Autofill
  3. Angi et fiktivt CPR nummer. Hvert test CPR nummer kan bare brukes én gang.
  4. Velg Private MitID
  5. Angi e-postadressen din som administrator e-post
  6. Klikk Create Identity

Opprett MitID privat testbruker

Du mottar en e-post med et access token som du senere kan bruke til å redigere testbrukeren. Deretter kan du logge inn med testbrukeren på NemLog-in testinnloggingssiden.

Slik oppretter du en MitID privat testbruker som også fungerer med MitID App simulatoren:

  1. Gå til MitID simulatoren
  2. Klikk eventuelt Autofill
  3. Angi et fiktivt CPR nummer. Hvert test CPR nummer kan bare brukes én gang.
  4. Velg Private MitID
  5. Velg Create in MitID testtool
  6. Angi e-postadressen din som administrator e-post
  7. Klikk Create Identity

Opprett MitID privat testbruker med MitID simulatoren

Finn testbrukeren i MitID Test Tool ved hjelp av CPR nummer eller brukernavn. Klikk Open simulator i seksjonen App for å åpne MitID app simulatoren i en nettleser.

Vis MitID privat testbruker i MitID Test Tool

MitID Business testbrukere

Du trenger en testorganisasjon i integrasjonstestmiljøet før du kan opprette MitID Business testbrukere. Opprett én testorganisasjon per CVR nummer du vil bruke.

Når du har fullført NemLog-in onboarding, får du en testorganisasjon som du kan administrere i MitID Business integration test, hvor du kan opprette MitID Business testbrukere.

Alternativt, eller i tillegg, kan du opprette en testorganisasjon på siden Create test-user-organisation. Fyll ut disse feltene og klikk Create (Opret):

  • Administratorens e-postadresse: brukes hvis du må tilbakestille passordet
  • Passord: brukes for å logge inn
  • API tilgangsnøkkel: hvis du oppgir en, kan andre ikke endre testorganisasjonen
  • Godkjenn kvalifiserte sertifikater: aktiver dette hvis du må teste kvalifiserte sertifikater
  • Organisasjonstype: velg Privat virksomhed for en privat virksomhet eller Offentlig virksomhed for en offentlig organisasjon
  • Sikkerhetsnivå for identifikasjonsprosessen: angi NSIS sikkerhetsnivået til Betydelig

Etter at organisasjonen er opprettet, logger du inn på MitID Business integration test og oppretter MitID Business testbrukere.

Logging

NemLog-in krever at requests og responses (inkludert signatur bevis) logges og lagres i et halvt år (180 dager). Det er også påkrevd å logge hvilken identitet som har logget inn og ut av hvilken sesjon, på hvilket tidspunkt og IP adressen. FoxIDs standard log registrerer feil og hendelser inkludert tidspunkt og IP adresse.

Med en Pro eller Enterprise plan på FoxIDs.com lagres logg data i 180 dager.

Logg nivået som NemLog-in krever konfigureres i FoxIDs logg innstillinger:

  1. Aktiver log info trace
  2. Aktiver log claims trace
  3. Aktiver log message trace
  4. Klikk update

NemLog-in SAML 2.0 autentiseringsmetode

Be om autentiseringskontekst

Du kan be om et ønsket NSIS assurance nivå som en authn context class reference.

NSIS assurance nivå i SAML 2.0 autentiseringsmetode

Mulige NSIS assurance nivåer:

  • https://data.gov.dk/concept/core/nsis/loa/Low
  • https://data.gov.dk/concept/core/nsis/loa/Substantial
  • https://data.gov.dk/concept/core/nsis/loa/High

Du kan også angi ID type som en authn context class reference.

ID type i SAML 2.0 autentiseringsmetode

Mulige ID typer:

  • https://data.gov.dk/eid/Person
  • https://data.gov.dk/eid/Professional

Og mulige credential types:

  • https://nemlogin.dk/internal/credential/type/nemidkeycard
  • https://nemlogin.dk/internal/credential/type/nemidkeyfile
  • https://nemlogin.dk/internal/credential/type/mitid
  • https://nemlogin.dk/internal/credential/type/local
  • https://nemlogin.dk/internal/credential/type/test

Du kan konfigurere authn context class references i profiler på autentiseringsmetoden hvis du trenger å levere ulike sett. For eksempel for å støtte step-up autentisering, opprett en profil med authn context class reference https://data.gov.dk/concept/core/nsis/loa/Substantial og en annen profil med authn context class reference https://data.gov.dk/concept/core/nsis/loa/High.

Ditt personvern

Ditt personvern

Vi bruker cookies for å gjøre opplevelsen av nettstedene våre bedre. Klikk på 'Godta alle cookies' for å samtykke til bruk av cookies. For å reservere deg mot ikke-nødvendige cookies, klikk på 'Kun nødvendige cookies'.

Besøk vår personvernerklæring for mer