Połącz z NemLog-in za pomocą SAML 2.0 (starsza konfiguracja standardowa)

To jest starszy przewodnik konfiguracji NemLog-in ze standardowymi ustawieniami SAML 2.0. Dla interfejsu szablonu NemLog-in zobacz Połącz z NemLog-in za pomocą SAML 2.0 (szablon).

Możesz połączyć FoxIDs z NemLog-in (duńskim IdP) za pomocą metody uwierzytelniania SAML 2.0 i pozwolić użytkownikom uwierzytelniać się MitID. NemLog-in jest podłączony jako dostawca tożsamości SAML 2.0 (IdP).

Konfigurując metodę uwierzytelniania SAML 2.0 oraz rejestrację aplikacji OpenID Connect, FoxIDs staje się mostem między SAML 2.0 i OpenID Connect. FoxIDs obsługuje wtedy połączenie SAML 2.0 jako strona ufająca (RP) / dostawca usługi (SP), a Ty musisz zajmować się tylko OpenID Connect w swojej aplikacji. W razie potrzeby możesz oferować wiele opcji logowania (metod uwierzytelniania) z tej samej rejestracji aplikacji OpenID Connect.

Connect to NemLog-in

FoxIDs obsługuje NemLog-in i oparty na SAML 2.0 OIOSAML 3.0.3, w tym single logout (SLO), logowanie, nazewnictwo wystawcy, wymagane certyfikaty OCES3 (RSASSA-PSS) oraz obsługę NSIS.

Możesz przetestować logowanie NemLog-in w przykładowej aplikacji webowej (dokumentacja próbki) klikając Log in, a następnie Danish NemLog-in TEST dla środowiska testowego lub Danish NemLog-in dla produkcji. Zobacz przykładową konfigurację NemLog-in w FoxIDs Control: https://control.foxids.com/test-corp Uzyskaj dostęp do odczytu użytkownikiem reader@foxids.com i hasłem gEh#V6kSw, a następnie wybierz środowisko nemlogin lub nemlogin-test. Przykład jest skonfigurowany z osobnym środowiskiem dla integracji NemLog-in SAML 2.0.

Dokumentacja NemLog-in:

Przekształć DK privilege XML claim do roszczenia JSON.

Rozważ osobne środowisko

NemLog-in wymaga, aby strona ufająca (RP) używała certyfikatu OCES3 i rozszerzonego logowania. Dlatego rozważ podłączenie NemLog-in w osobnym środowisku, gdzie certyfikat OCES3 i poziom logowania można skonfigurować bez wpływu na inne elementy.

Connect to NemLog-in and use Environment Link

Możesz połączyć dwa środowiska w tym samym tenancie za pomocą Environment Link.

Certyfikat

NemLog-in wymaga, aby wszystkie żądania (authn i logout) ze strony ufającej (RP) były podpisane. Ponadto NemLog-in wymaga podpisywania przez RP certyfikatem OCES3. Nie można użyć certyfikatu wystawionego przez inną instytucję certyfikującą, certyfikatu samopodpisanego ani certyfikatu wydanego przez FoxIDs.

W środowisku testowym używa się certyfikatów OCES3 testowych, a w produkcji certyfikatów OCES3 produkcyjnych. Certyfikat OCES3 jest ważny przez trzy lata. Po tym czasie należy go ręcznie zaktualizować. Potrzebujesz oddzielnych środowisk FoxIDs do obsługi odpowiednio środowiska testowego i produkcyjnego. Środowiska można opcjonalnie połączyć w środowisku aplikacji za pomocą environment links.

Dodaj certyfikat OCES3 .P12 w FoxIDs Control Client:

  1. Wybierz (lub utwórz) środowisko, które będzie używane dla NemLog-in
  2. Wybierz kartę Certificates
  3. Kliknij strzałkę w dół przy przycisku Swap certificate, a następnie w sekcji Contained certificates kliknij Change container type

Change container type

  1. Kliknij główny certyfikat, wprowadź hasło i prześlij certyfikat OCES3 .P12

Add OCES3 certificate

Następnie można dodać certyfikat dodatkowy i przełączać się między certyfikatem głównym a dodatkowym.

Konfiguracja NemLog-in 3 jako dostawcy tożsamości (IdP)

Zanim przejdziesz dalej, musisz skonfigurować certyfikat OCES3.

1) - Zacznij od utworzenia metody uwierzytelniania SAML 2.0 w FoxIDs Control Client

  1. Wybierz kartę Authentication
  2. Kliknij New authentication, a następnie SAML 2.0
  3. Dodaj nazwę
  4. Wybierz Show advanced
  5. Wybierz wzorzec powiązania dot URL

NemLog-in SAML 2.0 authentication method

  1. Wyłącz automatyczną aktualizację
  2. Kliknij Read metadata from file i wybierz metadane IdP NemLog-in

NemLog-in SAML 2.0 authentication method

  1. Skonfiguruj niestandardowego wystawcę SP, wystawca może opcjonalnie zaczynać się od https://saml.
    • Wystawcą w tym przykładzie jest https://saml.foxids.com/test-corp/nemlogin-test/
  2. Opcjonalnie usuń * i skonfiguruj roszczenia, najczęściej używane są:
    • https://data.gov.dk/concept/core/nsis/loa
    • https://data.gov.dk/model/core/eid/cprNumber
    • https://data.gov.dk/model/core/eid/cprUuid
    • https://data.gov.dk/model/core/eid/email
    • https://data.gov.dk/model/core/eid/firstName
    • https://data.gov.dk/model/core/eid/lastName
    • https://data.gov.dk/model/core/eid/professional/cvr
    • https://data.gov.dk/model/core/eid/professional/orgName
    • https://data.gov.dk/model/core/eid/professional/uuid/persistent
    • https://data.gov.dk/model/core/specVersion
    • opcjonalnie uwzględnij roszczenie privilege, zobacz krok 3)

NemLog-in SAML 2.0 authentication method

  1. Ustaw Login hint in Authn request w Subject NameID na Disabled
  2. Tylko w produkcji opcjonalnie ustaw Certificate validation mode na Chain trust, jeśli certyfikat root OCES3 jest zaufany na Twojej platformie, oraz ustaw Certificate revocation mode na Online
  3. Zaznacz, aby dołączyć certyfikat szyfrowania w metadanych
  4. Ustaw format NameID w metadanych na urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

NemLog-in SAML 2.0 authentication method

  1. Dodaj usługę konsumującą atrybuty w metadanych i dodaj nazwę usługi.
  2. Dodaj wszystkie roszczenia skonfigurowane w kroku 11 jako wymagane atrybuty w formacie urn:oasis:names:tc:SAML:2.0:attrname-format:uri. Opcjonalnie oznacz każdy atrybut jako wymagany.

NemLog-in SAML 2.0 authentication method

  1. Dodaj co najmniej jedną osobę kontaktową technical

NemLog-in SAML 2.0 authentication method

  1. Kliknij create
  2. Przejdź na górę metody uwierzytelniania SAML 2.0
  3. Pobierz metadane SP metody uwierzytelniania SAML 2.0, w tym przypadku https://foxids.com/test-corp/nemlogin-test/.nemlogin./saml/spmetadata.
  4. Plik metadanych SP jest używany do konfiguracji systemu IT NemLog-in.

2) - Następnie przejdź do portalu administracyjnego NemLog-in

Najpierw musisz utworzyć system IT NemLog-in lub poprosić kogoś o utworzenie systemu IT NemLog-in i przydzielenie Ci dostępu.

  1. Wybierz system IT
  2. Kliknij upload metadata file i prześlij plik metadanych SP metody uwierzytelniania SAML 2.0
  3. Wróć do systemu IT
  4. Kliknij przycisk Save the technical details
  5. Kliknij Provision to integrationtest, a następnie kliknij Apply for integration test

Aby skonfigurować produkcję, musisz przesłać raport testowy, uzyskać jego zatwierdzenie, a następnie powtórzyć konfigurację FoxIDs i NemLog-in.

3) - Opcjonalnie - Skonfiguruj MitID app-switch do aplikacji mobilnej w FoxIDs Control Client

Opcjonalnie skonfiguruj MitID app-switch, jeśli używasz NemLog-in / MitID w aplikacji mobilnej.

NemLog-in obsługuje app-switch dla aplikacji mobilnych z użyciem Universal Links na iOS lub App Links na Androidzie, na podstawie URL powrotu przekazywanego do NemLog-in w rozszerzeniu SAML 2.0 jako część żądania authn (logowania).

URL powrotu to adres Twojej aplikacji mobilnej i służy do powrotu do aplikacji z aplikacji MitID po uwierzytelnieniu.

Jeśli URL powrotu dla Twojej aplikacji Android to https://myapp.page.link/zyx, skonfiguruj rozszerzenie XML żądania authn SAML 2.0 tak:

<nl:AppSwitch xmlns:nl="https://data.gov.dk/eid/saml/extensions">
  <nl:Platform>Android</nl:Platform>
  <nl:ReturnURL>https://myapp.page.link/zyx</nl:ReturnURL>
</nl:AppSwitch>

Wybierz show advanced settings i dodaj rozszerzenie XML w Authn request extensions XML, a następnie kliknij Update

NemLog-in SAML 2.0 authn request extension XM

Możesz skonfigurować XML rozszerzeń żądania authn w profilach metody uwierzytelniania. Następnie obsłużysz wiele platform mobilnych w profilach.

Obecnie iOS nie wymaga URL powrotu do app-switch. Może się to jednak zmienić w czasie! Dlatego obecnie potrzebujesz tylko dwóch metod uwierzytelniania: jednej dla witryny i aplikacji iOS bez URL przekierowania oraz jednej dla aplikacji Android z URL przekierowania.

4) - Opcjonalnie - dodaj transformację roszczenia privilege w FoxIDs Control Client

Opcjonalnie, jeśli używasz roszczenia privilege.

FoxIDs może przekształcić DK privilege XML claim do roszczenia JSON. Zaleca się dodanie transformacji, aby uzyskać mniejsze roszczenia i tokeny. Ponadto sprawia to, że tokeny są czytelne.

  1. Dodaj transformator roszczenia DK privilege.
  2. Usuń oryginalne roszczenie privilege z potoku roszczeń.

NemLog-in SAML 2.0 authentication method privilege claim transformation

FoxIDs wewnętrznie konwertuje roszczenia SAML 2.0 do roszczeń JWT. Mapowanie między roszczeniami SAML 2.0 i JWT jest domyślnie tworzone automatycznie. Możesz je znaleźć i zmienić na karcie Settings.

Metoda uwierzytelniania SAML 2.0 może być teraz używana jako metoda uwierzytelniania dla rejestracji aplikacji w tym środowisku.

Użytkownicy testowi w środowisku testów integracyjnych

Możesz tworzyć zarówno prywatnych użytkowników MitID, jak i użytkowników MitID Business (pracowników) w środowisku testów integracyjnych NemLog-in.

Prywatni użytkownicy testowi MitID

Są dwa sposoby utworzenia prywatnego użytkownika testowego MitID:

  • Utwórz użytkownika, który loguje się nazwą użytkownika (User ID) i hasłem na karcie Test login na stronie NemLog-in.
  • Utwórz użytkownika, który może zarówno logować się nazwą użytkownika (User ID) i hasłem, jak i symulować aplikację MitID na karcie MitID.

Aby utworzyć prywatnego użytkownika testowego MitID z nazwą użytkownika i hasłem:

  1. Przejdź do MitID simulator
  2. Opcjonalnie kliknij Autofill
  3. Wprowadź fikcyjny numer CPR. Każdy testowy numer CPR można wykorzystać tylko raz.
  4. Wybierz Private MitID
  5. Wprowadź swój adres e-mail jako adres administratora
  6. Kliknij Create Identity

Utwórz prywatnego użytkownika testowego MitID

Otrzymasz e-mail z tokenem dostępu, którego później możesz użyć do edycji użytkownika testowego. Następnie możesz zalogować się tym użytkownikiem na testowej stronie logowania NemLog-in.

Aby utworzyć prywatnego użytkownika testowego MitID, który działa także z MitID App simulator:

  1. Przejdź do MitID simulator
  2. Opcjonalnie kliknij Autofill
  3. Wprowadź fikcyjny numer CPR. Każdy testowy numer CPR można wykorzystać tylko raz.
  4. Wybierz Private MitID
  5. Wybierz Create in MitID testtool
  6. Wprowadź swój adres e-mail jako adres administratora
  7. Kliknij Create Identity

Utwórz prywatnego użytkownika testowego MitID z MitID simulator

Znajdź użytkownika testowego w MitID Test Tool po numerze CPR lub nazwie użytkownika. W sekcji App kliknij Open simulator, aby otworzyć symulator aplikacji MitID w przeglądarce.

Wyświetl prywatnego użytkownika testowego MitID w MitID Test Tool

Użytkownicy testowi MitID Business

Zanim utworzysz użytkowników testowych MitID Business, potrzebujesz organizacji testowej w środowisku testów integracyjnych. Utwórz jedną organizację testową dla każdego numeru CVR, którego chcesz używać.

Po ukończeniu onboardingu NemLog-in otrzymujesz organizację testową, którą możesz zarządzać w MitID Business integration test, gdzie możesz tworzyć użytkowników testowych MitID Business.

Alternatywnie lub dodatkowo możesz utworzyć organizację testową na stronie Create test-user-organisation. Wypełnij te pola i kliknij Create (Opret):

  • Adres e-mail administratora: używany, gdy trzeba zresetować hasło
  • Hasło: używane do logowania
  • Klucz dostępu API: jeśli go podasz, inni nie będą mogli zmieniać organizacji testowej
  • Zatwierdź kwalifikowane certyfikaty: włącz tę opcję, jeśli musisz testować kwalifikowane certyfikaty
  • Typ organizacji: wybierz Privat virksomhed dla firmy prywatnej lub Offentlig virksomhed dla organizacji publicznej
  • Poziom pewności procesu identyfikacji: ustaw poziom pewności NSIS na Betydelig

Po utworzeniu organizacji zaloguj się do MitID Business integration test i utwórz użytkowników testowych MitID Business.

Logowanie

NemLog-in wymaga, aby żądania i odpowiedzi (w tym dowód podpisu) były logowane i przechowywane przez pół roku (180 dni). Wymagane jest również logowanie, która tożsamość zalogowała się i wylogowała z danej sesji, o której godzinie i z jakiego adresu IP. Domyślny log FoxIDs zapisuje błędy i zdarzenia, w tym czas i adres IP.

W planie Pro lub Enterprise na FoxIDs.com dane logów są przechowywane przez 180 dni.

Poziom logowania wymagany przez NemLog-in jest konfigurowany w ustawieniach logów FoxIDs:

  1. Włącz log info trace
  2. Włącz log claims trace
  3. Włącz log message trace
  4. Kliknij update

NemLog-in SAML 2.0 authentication method

Żądaj kontekstu uwierzytelniania

Możesz zażądać pożądanego poziomu pewności NSIS jako authn context class reference.

NSIS assurance level in SAML 2.0 authentication method

Możliwe poziomy pewności NSIS:

  • https://data.gov.dk/concept/core/nsis/loa/Low
  • https://data.gov.dk/concept/core/nsis/loa/Substantial
  • https://data.gov.dk/concept/core/nsis/loa/High

Podobnie możesz określić typ identyfikatora jako authn context class reference.

ID type in SAML 2.0 authentication method

Możliwe typy identyfikatora:

  • https://data.gov.dk/eid/Person
  • https://data.gov.dk/eid/Professional

Możliwe typy poświadczeń:

  • https://nemlogin.dk/internal/credential/type/nemidkeycard
  • https://nemlogin.dk/internal/credential/type/nemidkeyfile
  • https://nemlogin.dk/internal/credential/type/mitid
  • https://nemlogin.dk/internal/credential/type/local
  • https://nemlogin.dk/internal/credential/type/test

Możesz skonfigurować authn context class references w profilach metody uwierzytelniania, jeśli potrzebujesz różnych zestawów. Na przykład, aby obsłużyć uwierzytelnianie step-up, utwórz jeden profil z authn context class reference https://data.gov.dk/concept/core/nsis/loa/Substantial i drugi profil z authn context class reference https://data.gov.dk/concept/core/nsis/loa/High.

Twoja prywatność

Twoja prywatność

Używamy plików cookie, aby poprawić korzystanie z naszych stron internetowych. Kliknij przycisk „Akceptuj wszystkie pliki cookie”, aby wyrazić zgodę na ich użycie. Aby zrezygnować z nieistotnych plików cookie, kliknij „Tylko niezbędne pliki cookie”.

Odwiedź naszą politykę prywatności, aby dowiedzieć się więcej