Koble til NemLog-in med SAML 2.0 (Legacy standardkonfigurasjon)

Dette er legacy guiden for å konfigurere NemLog-in med standard SAML 2.0 innstillinger. For NemLog-in mal UI, se Koble til NemLog-in med SAML 2.0 (Mal).

Du kan koble FoxIDs til NemLog-in (dansk IdP) med en SAML 2.0 autentiseringsmetode og la brukere autentisere med MitID. NemLog-in er koblet som en SAML 2.0 Identity Provider (IdP).

Ved å konfigurere en SAML 2.0 autentiseringsmetode og en OpenID Connect applikasjonsregistrering blir FoxIDs en bro mellom SAML 2.0 og OpenID Connect. FoxIDs håndterer deretter SAML 2.0 forbindelsen som en Relying Party (RP) / Service Provider (SP) og du trenger bare å fokusere på OpenID Connect i applikasjonen din. Om nødvendig kan du tilby flere innloggingsalternativer (autentiseringsmetoder) fra samme OpenID Connect applikasjonsregistrering.

FoxIDs støtter NemLog-in og den SAML 2.0 baserte OIOSAML 3.0.3 inkludert single logout (SLO), logging, issuer naming, krav om OCES3 (RSASSA-PSS) sertifikater og NSIS støtte.

Du kan teste NemLog-in login med online web app sample (sample docs) ved å klikke Log in og deretter Danish NemLog-in TEST for testmiljøet eller Danish NemLog-in for produksjon. Se NemLog-in sample konfigurasjonen i FoxIDs Control: https://control.foxids.com/test-corp Få read tilgang med brukeren reader@foxids.com og passord gEh#V6kSw og velg deretter nemlogin eller nemlogin-test miljøet. Sample er konfigurert med et separat miljø for NemLog-in SAML 2.0 integrasjonen.

NemLog-in dokumentasjon:

• NemLog-in utviklingsportalen med dokumentasjon
  • test, hvor du kan finne NemLog-in IdP metadata for test
  • produksjon, hvor du kan finne NemLog-in IdP metadata for produksjon
• OCES3 sertifikater:
  • Last ned test OCES3 sertifikatet (passord F-?aGUf6.yV4) eller opprett et OCES3 test sertifikat
  • Opprett et produksjons OCES3 sertifikat i sertifikat administrasjonen
• Du må være tilkoblet NemLog-in for å opprette IT systemer.
• NemLog-in administrasjonsportalen hvor du konfigurerer IT systemer
• Testmiljø
  • Opprett borger testbrukere i MitID emulator
  • Opprett borger og ansatt testbrukere i MitID simulator (login med brukernavn og passord)

Transformér DK privilege XML claim til en JSON claim.

Vurder et separat miljø

NemLog-in krever at Relying Party (RP) bruker et OCES3 sertifikat og omfattende logging. Vurder derfor å koble NemLog-in i et separat miljø hvor OCES3 sertifikatet og logg nivået kan konfigureres uten å påvirke noe annet.

Du kan koble to miljøer i samme tenant med en Environment Link.

Sertifikat

NemLog-in krever at alle requests (authn og logout) fra Relying Party (RP) signeres. Videre krever NemLog-in at RP signerer med et OCES3 sertifikat. Det er ikke mulig å bruke et sertifikat utstedt av en annen sertifikat myndighet, et selvsignert sertifikat eller et sertifikat utstedt av FoxIDs.

OCES3 test sertifikater brukes i testmiljøet og OCES3 produksjons sertifikater brukes i produksjon. Et OCES3 sertifikat er gyldig i tre år. Deretter må det oppdateres manuelt. Du trenger separate FoxIDs miljøer for å håndtere test og produksjon henholdsvis. Miljøene kan eventuelt kombineres i et app miljø med environment links.

Legg til .P12 OCES3 sertifikatet i FoxIDs Control Client:

1. Velg (eller opprett) miljøet som skal brukes for NemLog-in
2. Velg fanen Certificates
3. Klikk pilen ned på Swap certificate knappen og klikk deretter Change container type i seksjonen Contained certificates

4. Klikk primary sertifikatet, skriv inn passordet og last opp .P12 OCES3 sertifikatet

Det er deretter mulig å legge til et sekundært sertifikat og å bytte mellom primary og secondary sertifikater.

Konfigurer NemLog-in 3 som Identity Provider (IdP)

Du må konfigurere OCES3 sertifikatet før du følger denne guiden.

1) - Start med å opprette en SAML 2.0 autentiseringsmetode i FoxIDs Control Client

1. Velg Authentication fanen
2. Klikk New authentication og deretter SAML 2.0
3. Legg til navnet
4. Velg Show advanced
5. Velg dot URL binding pattern

6. Deaktiver automatic update
7. Klikk Read metadata from file og velg NemLog-in IdP metadata

8. Konfigurer en custom SP issuer, issuer kan eventuelt starte med https://saml.
   • Issuer i dette eksempelet er https://saml.foxids.com/test-corp/nemlogin-test/
9. Fjern eventuelt * og konfigurer claims, følgende claims brukes oftest:
   • https://data.gov.dk/concept/core/nsis/loa
   • https://data.gov.dk/model/core/eid/cprNumber
   • https://data.gov.dk/model/core/eid/cprUuid
   • https://data.gov.dk/model/core/eid/email
   • https://data.gov.dk/model/core/eid/firstName
   • https://data.gov.dk/model/core/eid/lastName
   • https://data.gov.dk/model/core/eid/professional/cvr
   • https://data.gov.dk/model/core/eid/professional/orgName
   • https://data.gov.dk/model/core/eid/professional/uuid/persistent
   • https://data.gov.dk/model/core/specVersion
   • eventuelt inkluder privilege claim, se steg 3)

10. Sett Login hint i Authn request i Subject NameID til Disabled
11. I produksjon, sett eventuelt Certificate validation mode til Chain trust hvis OCES3 root sertifikatet er trusted på plattformen din og sett Certificate revocation mode til Online
12. Velg å inkludere encryption sertifikatet i metadata
13. Sett NameID format i metadata til urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

14. Legg til en attribute consuming service i metadata og legg til service navnet.
15. Legg til alle claims konfigurert i steg 11 som requested attributes med formatet urn:oasis:names:tc:SAML:2.0:attrname-format:uri. Sett eventuelt hvert attributt som required.

16. Legg til minst én technical kontaktperson

17. Klikk create
18. Gå til toppen av SAML 2.0 autentiseringsmetoden
19. Last ned SAML 2.0 autentiseringsmetode SP metadata, i dette tilfellet https://foxids.com/test-corp/nemlogin-test/.nemlogin./saml/spmetadata.
20. SP metadata filen brukes til å konfigurere NemLog-in IT systemet.

2) - Gå deretter til NemLog-in administrasjonsportalen

Først må du opprette et NemLog-in IT system eller få noen andre til å opprette et NemLog-in IT system og gi deg tilgang.

1. Velg IT systemet
2. Klikk upload metadata file og last opp SAML 2.0 autentiseringsmetode SP metadata filen
3. Gå tilbake til IT systemet
4. Klikk knappen Save the technical details
5. Klikk Provision to integrationtest og deretter Apply for integration test

For å konfigurere produksjon må du laste opp en testrapport, få den godkjent og deretter gjenta FoxIDs og NemLog-in konfigurasjonen.

3) - Valgfritt - Konfigurer MitID app switch til mobil app i FoxIDs Control Client

Valgfritt, konfigurer MitID app switch hvis du bruker NemLog-in / MitID i en mobil app.

• Du kan finne mer informasjon i NemLog-in Integrasjon med NemLog-in3 kapittel 9.6 og 9.7.

NemLog-in støtter mobil app switch ved å bruke enten Universal Links på iOS eller App Links på Android, basert på en return URL som sendes til NemLog-in i en SAML 2.0 extension som en del av authn (login) request.

Return URL er mobil app URL-en din og brukes til å bytte tilbake til appen din fra MitID appen etter autentisering.

Hvis return URL for Android appen din er https://myapp.page.link/zyx konfigurer SAML 2.0 authn request extension XML som:

<nl:AppSwitch xmlns:nl="https://data.gov.dk/eid/saml/extensions">
  <nl:Platform>Android</nl:Platform>
  <nl:ReturnURL>https://myapp.page.link/zyx</nl:ReturnURL>
</nl:AppSwitch>

Velg show advanced settings og legg til extension XML i Authn request extensions XML og klikk Update

Du kan konfigurere authn request extensions XML i profiler på autentiseringsmetoden. Og deretter støtte flere mobile plattformer i profiler.

Per nå krever iOS ikke en return URL for å gjøre app switch. Men dette kan endre seg over tid! Derfor trenger du for øyeblikket bare to autentiseringsmetoder; en for nettstedet ditt og iOS app uten en redirect URL og en for Android app med en redirect URL.

4) - Valgfritt - legg til privilege claim transformasjon i FoxIDs Control Client

Valgfritt, hvis du bruker privilege claim.

FoxIDs kan transformere DK privilege XML claim til en JSON claim. Det anbefales å legge til transformasjonen for å få mindre claims og tokens. I tillegg gjør det tokens lesbare.

1. Legg til DK privilege claim transformeren.
2. Fjern den opprinnelige privilege claim fra claims pipeline.

FoxIDs konverterer internt SAML 2.0 claims til JWT claims. Mappingen mellom SAML 2.0 og JWT claims opprettes automatisk som standard. Du kan finne og endre mappingen i fanen Settings.

SAML 2.0 autentiseringsmetoden kan nå brukes som en autentiseringsmetode for applikasjonsregistreringer i miljøet.

Logging

NemLog-in krever at requests og responses (inkludert signatur bevis) logges og lagres i et halvt år (180 dager). Det er også påkrevd å logge hvilken identitet som har logget inn og ut av hvilken sesjon, på hvilket tidspunkt og IP adressen. FoxIDs standard log registrerer feil og hendelser inkludert tidspunkt og IP adresse.

Med en Pro eller Enterprise plan på FoxIDs.com lagres logg data i 180 dager.

Logg nivået som NemLog-in krever konfigureres i FoxIDs logg innstillinger:

1. Aktiver log info trace
2. Aktiver log claims trace
3. Aktiver log message trace
4. Klikk update

Be om autentiseringskontekst

Du kan be om et ønsket NSIS assurance nivå som en authn context class reference.

Mulige NSIS assurance nivåer:

• https://data.gov.dk/concept/core/nsis/loa/Low
• https://data.gov.dk/concept/core/nsis/loa/Substantial
• https://data.gov.dk/concept/core/nsis/loa/High

Du kan også angi ID type som en authn context class reference.

Mulige ID typer:

• https://data.gov.dk/eid/Person
• https://data.gov.dk/eid/Professional

Og mulige credential types:

• https://nemlogin.dk/internal/credential/type/nemidkeycard
• https://nemlogin.dk/internal/credential/type/nemidkeyfile
• https://nemlogin.dk/internal/credential/type/mitid
• https://nemlogin.dk/internal/credential/type/local
• https://nemlogin.dk/internal/credential/type/test

Du kan konfigurere authn context class references i profiler på autentiseringsmetoden hvis du trenger å levere ulike sett. For eksempel for å støtte step-up autentisering, opprett en profil med authn context class reference https://data.gov.dk/concept/core/nsis/loa/Substantial og en annen profil med authn context class reference https://data.gov.dk/concept/core/nsis/loa/High.