Verbinden met NemLog-in via SAML 2.0 (Template)

Gebruik de NemLog-in template om een SAML 2.0 authenticatiemethode te configureren met OIOSAML 3.0.3 standaardwaarden. De template begeleidt je door de setup voor publieke of private sector en genereert de metadata die je uploadt naar NemLog-in.

Deze handleiding behandelt alleen OIOSAML 3.0.3. OIOSAML 4.0.0 wordt op dit moment niet behandeld.

Prijzen

NemLog-in voor de private sector is een voordelige manier om MitID login aan te bieden. NemLog-in voegt 0,02 DKK toe bovenop de MitID basisprijs (die geldt voor alle brokers) en NemLog-in heeft geen maandelijkse vergoeding. De afweging is dat NemLog-in SAML 2.0 (OIOSAML) gebruikt en extra vereisten heeft. FoxIDs handelt dit af en laat je applicatie verbinden met OpenID Connect.

Onderdeel	Prijs
Eenmalige NemLog-in onboardingkosten	4.500 DKK
NemLog-in prijs per login	0,02 DKK
MitID basisprijs per login (geldt voor alle MitID brokers)	0,175 DKK
Totale prijs per login	0,195 DKK
FoxIDs Pro plan per maand (inclusief 2.000 logins per maand)	223,80 DKK
FoxIDs prijs per login	0,038 DKK

Dezelfde prijs geldt voor zowel MitID private users als MitID employee users.

NemLog-in is gratis voor de publieke sector.

OpenID Connect bridge

Door een SAML 2.0 authenticatiemethode en een OpenID Connect applicatieregistratie te configureren, wordt FoxIDs een bridge tussen SAML 2.0 en OpenID Connect. FoxIDs behandelt de SAML 2.0 verbinding vervolgens als Relying Party (RP) / Service Provider (SP) en je hoeft je in je applicatie alleen met OpenID Connect bezig te houden.

Aan de slag met NemLog-in

Voordat je IT-systemen voor NemLog-in kunt aanmaken, moet je organisatie verbonden zijn. Dit is slechts één keer per organisatie nodig.

Volg de NemLog-in onboardingstappen op https://tu.nemlog-in.dk/tilslutning/ (eenmalig per organisatie)
Zodra de organisatie is verbonden, maak je IT-systemen aan in het NemLog-in administratieportaal. Elk IT-systeem tabblad voor integration test of production komt overeen met een FoxIDs authenticatiemethode.

Andere nuttige bronnen:

Het NemLog-in ontwikkelportaal met documentatie voor test- en productieomgevingen
Testgebruikers aanmaken in de MitID emulator en MitID simulator
Integration with NemLog-in (PDF) met een gedetailleerde beschrijving van de integratiestroom (aanvullende lectuur)

Overweeg een aparte omgeving

NemLog-in vereist een OCES3 certificaat en uitgebreide logging. De template werkt de omgevingsconfiguratie hierop bij, dus overweeg een aparte omgeving die specifiek voor NemLog-in is bedoeld.

Aparte omgeving voor NemLog-in

Je kunt twee omgevingen in dezelfde tenant verbinden met een Environment Link.

Maak de NemLog-in authenticatiemethode (template)

Begin met het configureren van een NemLog-in integration test verbinding en daarna de productieverbinding.

1) Start in FoxIDs Control Client

Ga naar het tabblad Authentication
Klik op New authentication
Selecteer NemLog-in - SAML 2.0

Selecteer de NemLog-in template

2) Configureer de template

Voer een naam in voor de authenticatiemethode
Selecteer Sector:
- Public sector (OIOSAML 3.0.3)
- Private sector (OIOSAML 3.0.3)
Selecteer NemLog-in environment:
- Integration test
- Production

NemLog-in template instellingen

3) Private sector CPR flow

Als je private sector selecteert, kun je (standaard ingeschakeld):

Request CPR inschakelen om de gebruiker tijdens login om een CPR nummer te vragen
Save CPR on external users inschakelen om CPR op de external user op te slaan, zodat de gebruiker CPR slechts één keer hoeft in te voeren, of je kunt een geldigheidsduur instellen voor de opgeslagen CPR op de external user

De template configureert de CPR match UI flow automatisch.

Private sector CPR flow

4) Configureer certificaat

NemLog-in vereist een OCES3 certificaat.

Integration test: de template kan een standaard testcertificaat gebruiken, dat je indien nodig kunt vervangen
Production: upload je eigen OCES3 certificaat. Je kunt een OCES3 productiecertificaat aanmaken in de certificaatadministratie

Een OCES3 certificaat is 3 jaar geldig. Werk de NemLog-in template bij voordat het certificaat verloopt en werk het certificaat bij in NemLog-in.

NemLog-in certificaatconfiguratie

5) Metadata URL en IdP metadata

De template vult de NemLog-in IdP metadata URL automatisch in voor de geselecteerde omgeving.

Wanneer NemLog-in het certificaat wijzigt, wordt de wijziging automatisch doorgezet. De NemLog-in template gebruikt NemLog-in metadata die via de FoxIDs website wordt aangeboden; wij houden deze actueel en de template laadt de nieuwe metadata automatisch.

6) Assurance niveau (optioneel)

Je kunt optioneel een minimaal assurance niveau (LoA) instellen (OIOSAML 3.0.3):

Low https://data.gov.dk/concept/core/nsis/loa/Low
Substantial https://data.gov.dk/concept/core/nsis/loa/Substantial
High https://data.gov.dk/concept/core/nsis/loa/High

7) Authentication context (optioneel)

Je kunt optioneel authentication context vereisten instellen.

Je kunt ID type opgeven:

https://data.gov.dk/eid/Person
https://data.gov.dk/eid/Professional

En mogelijke credential types:

https://nemlogin.dk/internal/credential/type/nemidkeycard
https://nemlogin.dk/internal/credential/type/nemidkeyfile
https://nemlogin.dk/internal/credential/type/mitid
https://nemlogin.dk/internal/credential/type/local
https://nemlogin.dk/internal/credential/type/test

Authentication context instellingen

8) App-switch

Configureer optioneel app-switch om één authenticatiemethodeprofiel per mobiel platform te maken. Je kunt vervolgens de profielen per FoxIDs applicatieconfiguratie toestaan (selecteren).

Android profielnaam: android
iOS profielnaam: ios

Verdere documentatie:

Integration of mobile applications with NemLog-in
Integration with NemLog-in (PDF) (zie hoofdstuk "12.8 Mobile app-switch")

Android en iOS app-switch instellingen

9) Voeg contactpersoon toe

Voeg minimaal één technisch of administratief contactpersoon toe in metadata.

Technische contactpersoon

10) Maak en download SP metadata

Klik op Create of Update. Nadat de authenticatiemethode is aangemaakt, toont de sectie Application information de metadata URL en een downloadknop (boven in de NemLog-in template).

Als je later attributen of authentication context wijzigt, moet je de metadata opnieuw uploaden in NemLog-in.

SP metadata downloaden

Configureer het NemLog-in IT-systeem

Wanneer je in NemLog-in een IT-systeem maakt, heeft het twee tabbladen: integration test en production.

Maak een FoxIDs NemLog-in verbinding voor integration test met de template
Upload in het NemLog-in administratieportaal de SP metadata naar het integration test tabblad en provision naar integration test
Upload het testrapport:
- Public sector:
  - Integration test report (NemLog-in)
  - Integration test report (FoxIDs pre-filled)
- Private sector:
  - Integration test report (NemLog-in)
  - Integration test report (FoxIDs pre-filled)
Na goedkeuring wordt het production tabblad geopend
Maak een FoxIDs NemLog-in verbinding voor production met de template
Upload de SP metadata naar het production tabblad en provision naar production
Je bent nu in productie met MitID

NemLog-in metadata uploaden

Test de authenticatiemethode

Ga terug naar FoxIDs Control Client en open de NemLog-in authenticatiemethode
Klik op Test authentication om een testapplicatie te maken
Klik op Start the test om de test te starten

NemLog-in template test

Legacy

Als je de legacy handleiding nodig hebt voor het configureren van NemLog-in met de standaard SAML 2.0 instellingen, zie Verbinden met NemLog-in via SAML 2.0 (Legacy standaardconfiguratie).