Połącz z NemLog-in za pomocą SAML 2.0 (starsza konfiguracja standardowa)

To jest starszy przewodnik konfiguracji NemLog-in ze standardowymi ustawieniami SAML 2.0. Dla interfejsu szablonu NemLog-in zobacz Połącz z NemLog-in za pomocą SAML 2.0 (szablon).

Możesz połączyć FoxIDs z NemLog-in (duńskim IdP) za pomocą metody uwierzytelniania SAML 2.0 i pozwolić użytkownikom uwierzytelniać się MitID. NemLog-in jest podłączony jako dostawca tożsamości SAML 2.0 (IdP).

Konfigurując metodę uwierzytelniania SAML 2.0 oraz rejestrację aplikacji OpenID Connect, FoxIDs staje się mostem między SAML 2.0 i OpenID Connect. FoxIDs obsługuje wtedy połączenie SAML 2.0 jako strona ufająca (RP) / dostawca usługi (SP), a Ty musisz zajmować się tylko OpenID Connect w swojej aplikacji. W razie potrzeby możesz oferować wiele opcji logowania (metod uwierzytelniania) z tej samej rejestracji aplikacji OpenID Connect.

FoxIDs obsługuje NemLog-in i oparty na SAML 2.0 OIOSAML 3.0.3, w tym single logout (SLO), logowanie, nazewnictwo wystawcy, wymagane certyfikaty OCES3 (RSASSA-PSS) oraz obsługę NSIS.

Możesz przetestować logowanie NemLog-in w przykładowej aplikacji webowej (dokumentacja próbki) klikając Log in, a następnie Danish NemLog-in TEST dla środowiska testowego lub Danish NemLog-in dla produkcji. Zobacz przykładową konfigurację NemLog-in w FoxIDs Control: https://control.foxids.com/test-corp Uzyskaj dostęp do odczytu użytkownikiem reader@foxids.com i hasłem gEh#V6kSw, a następnie wybierz środowisko nemlogin lub nemlogin-test. Przykład jest skonfigurowany z osobnym środowiskiem dla integracji NemLog-in SAML 2.0.

Dokumentacja NemLog-in:

• Portal deweloperski NemLog-in z dokumentacją
  • test, gdzie znajdziesz metadane IdP NemLog-in dla testów
  • production, gdzie znajdziesz metadane IdP NemLog-in dla produkcji
• Certyfikaty OCES3:
  • Pobierz testowy certyfikat OCES3 i plik hasła lub utwórz testowy certyfikat OCES3
  • Utwórz produkcyjny certyfikat OCES3 w administracji certyfikatów
• Aby tworzyć systemy IT, musisz być podłączony do NemLog-in.
• Portal administracyjny NemLog-in, w którym konfigurujesz systemy IT
• Środowisko testowe
  • Utwórz testowych użytkowników obywateli w MitID emulator
  • Utwórz testowych użytkowników obywateli i pracowników w MitID simulator (logowanie nazwą użytkownika i hasłem)

Przekształć DK privilege XML claim do roszczenia JSON.

Rozważ osobne środowisko

NemLog-in wymaga, aby strona ufająca (RP) używała certyfikatu OCES3 i rozszerzonego logowania. Dlatego rozważ podłączenie NemLog-in w osobnym środowisku, gdzie certyfikat OCES3 i poziom logowania można skonfigurować bez wpływu na inne elementy.

Możesz połączyć dwa środowiska w tym samym tenancie za pomocą Environment Link.

Certyfikat

NemLog-in wymaga, aby wszystkie żądania (authn i logout) ze strony ufającej (RP) były podpisane. Ponadto NemLog-in wymaga podpisywania przez RP certyfikatem OCES3. Nie można użyć certyfikatu wystawionego przez inną instytucję certyfikującą, certyfikatu samopodpisanego ani certyfikatu wydanego przez FoxIDs.

W środowisku testowym używa się certyfikatów OCES3 testowych, a w produkcji certyfikatów OCES3 produkcyjnych. Certyfikat OCES3 jest ważny przez trzy lata. Po tym czasie należy go ręcznie zaktualizować. Potrzebujesz oddzielnych środowisk FoxIDs do obsługi odpowiednio środowiska testowego i produkcyjnego. Środowiska można opcjonalnie połączyć w środowisku aplikacji za pomocą environment links.

Dodaj certyfikat OCES3 .P12 w FoxIDs Control Client:

1. Wybierz (lub utwórz) środowisko, które będzie używane dla NemLog-in
2. Wybierz kartę Certificates
3. Kliknij strzałkę w dół przy przycisku Swap certificate, a następnie w sekcji Contained certificates kliknij Change container type

4. Kliknij główny certyfikat, wprowadź hasło i prześlij certyfikat OCES3 .P12

Następnie można dodać certyfikat dodatkowy i przełączać się między certyfikatem głównym a dodatkowym.

Konfiguracja NemLog-in 3 jako dostawcy tożsamości (IdP)

Zanim przejdziesz dalej, musisz skonfigurować certyfikat OCES3.

1) - Zacznij od utworzenia metody uwierzytelniania SAML 2.0 w FoxIDs Control Client

1. Wybierz kartę Authentication
2. Kliknij New authentication, a następnie SAML 2.0
3. Dodaj nazwę
4. Wybierz Show advanced
5. Wybierz wzorzec powiązania dot URL

6. Wyłącz automatyczną aktualizację
7. Kliknij Read metadata from file i wybierz metadane IdP NemLog-in

8. Skonfiguruj niestandardowego wystawcę SP, wystawca może opcjonalnie zaczynać się od https://saml.
   • Wystawcą w tym przykładzie jest https://saml.foxids.com/test-corp/nemlogin-test/
9. Opcjonalnie usuń * i skonfiguruj roszczenia, najczęściej używane są:
   • https://data.gov.dk/concept/core/nsis/loa
   • https://data.gov.dk/model/core/eid/cprNumber
   • https://data.gov.dk/model/core/eid/cprUuid
   • https://data.gov.dk/model/core/eid/email
   • https://data.gov.dk/model/core/eid/firstName
   • https://data.gov.dk/model/core/eid/lastName
   • https://data.gov.dk/model/core/eid/professional/cvr
   • https://data.gov.dk/model/core/eid/professional/orgName
   • https://data.gov.dk/model/core/eid/professional/uuid/persistent
   • https://data.gov.dk/model/core/specVersion
   • opcjonalnie uwzględnij roszczenie privilege, zobacz krok 3)

10. Ustaw Login hint in Authn request w Subject NameID na Disabled
11. Tylko w produkcji opcjonalnie ustaw Certificate validation mode na Chain trust, jeśli certyfikat root OCES3 jest zaufany na Twojej platformie, oraz ustaw Certificate revocation mode na Online
12. Zaznacz, aby dołączyć certyfikat szyfrowania w metadanych
13. Ustaw format NameID w metadanych na urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

14. Dodaj usługę konsumującą atrybuty w metadanych i dodaj nazwę usługi.
15. Dodaj wszystkie roszczenia skonfigurowane w kroku 11 jako wymagane atrybuty w formacie urn:oasis:names:tc:SAML:2.0:attrname-format:uri. Opcjonalnie oznacz każdy atrybut jako wymagany.

16. Dodaj co najmniej jedną osobę kontaktową technical

17. Kliknij create
18. Przejdź na górę metody uwierzytelniania SAML 2.0
19. Pobierz metadane SP metody uwierzytelniania SAML 2.0, w tym przypadku https://foxids.com/test-corp/nemlogin-test/.nemlogin./saml/spmetadata.
20. Plik metadanych SP jest używany do konfiguracji systemu IT NemLog-in.

2) - Następnie przejdź do portalu administracyjnego NemLog-in

Najpierw musisz utworzyć system IT NemLog-in lub poprosić kogoś o utworzenie systemu IT NemLog-in i przydzielenie Ci dostępu.

1. Wybierz system IT
2. Kliknij upload metadata file i prześlij plik metadanych SP metody uwierzytelniania SAML 2.0
3. Wróć do systemu IT
4. Kliknij przycisk Save the technical details
5. Kliknij Provision to integrationtest, a następnie kliknij Apply for integration test

Aby skonfigurować produkcję, musisz przesłać raport testowy, uzyskać jego zatwierdzenie, a następnie powtórzyć konfigurację FoxIDs i NemLog-in.

3) - Opcjonalnie - Skonfiguruj MitID app-switch do aplikacji mobilnej w FoxIDs Control Client

Opcjonalnie skonfiguruj MitID app-switch, jeśli używasz NemLog-in / MitID w aplikacji mobilnej.

• Więcej informacji znajdziesz w NemLog-in Integration with NemLog-in3 w rozdziałach 9.6 i 9.7.

NemLog-in obsługuje app-switch dla aplikacji mobilnych z użyciem Universal Links na iOS lub App Links na Androidzie, na podstawie URL powrotu przekazywanego do NemLog-in w rozszerzeniu SAML 2.0 jako część żądania authn (logowania).

URL powrotu to adres Twojej aplikacji mobilnej i służy do powrotu do aplikacji z aplikacji MitID po uwierzytelnieniu.

Jeśli URL powrotu dla Twojej aplikacji Android to https://myapp.page.link/zyx, skonfiguruj rozszerzenie XML żądania authn SAML 2.0 tak:

<nl:AppSwitch xmlns:nl="https://data.gov.dk/eid/saml/extensions">
  <nl:Platform>Android</nl:Platform>
  <nl:ReturnURL>https://myapp.page.link/zyx</nl:ReturnURL>
</nl:AppSwitch>

Wybierz show advanced settings i dodaj rozszerzenie XML w Authn request extensions XML, a następnie kliknij Update

Możesz skonfigurować XML rozszerzeń żądania authn w profilach metody uwierzytelniania. Następnie obsłużysz wiele platform mobilnych w profilach.

Obecnie iOS nie wymaga URL powrotu do app-switch. Może się to jednak zmienić w czasie! Dlatego obecnie potrzebujesz tylko dwóch metod uwierzytelniania: jednej dla witryny i aplikacji iOS bez URL przekierowania oraz jednej dla aplikacji Android z URL przekierowania.

4) - Opcjonalnie - dodaj transformację roszczenia privilege w FoxIDs Control Client

Opcjonalnie, jeśli używasz roszczenia privilege.

FoxIDs może przekształcić DK privilege XML claim do roszczenia JSON. Zaleca się dodanie transformacji, aby uzyskać mniejsze roszczenia i tokeny. Ponadto sprawia to, że tokeny są czytelne.

1. Dodaj transformator roszczenia DK privilege.
2. Usuń oryginalne roszczenie privilege z potoku roszczeń.

FoxIDs wewnętrznie konwertuje roszczenia SAML 2.0 do roszczeń JWT. Mapowanie między roszczeniami SAML 2.0 i JWT jest domyślnie tworzone automatycznie. Możesz je znaleźć i zmienić na karcie Settings.

Metoda uwierzytelniania SAML 2.0 może być teraz używana jako metoda uwierzytelniania dla rejestracji aplikacji w tym środowisku.

Logowanie

NemLog-in wymaga, aby żądania i odpowiedzi (w tym dowód podpisu) były logowane i przechowywane przez pół roku (180 dni). Wymagane jest również logowanie, która tożsamość zalogowała się i wylogowała z danej sesji, o której godzinie i z jakiego adresu IP. Domyślny log FoxIDs zapisuje błędy i zdarzenia, w tym czas i adres IP.

W planie Pro lub Enterprise na FoxIDs.com dane logów są przechowywane przez 180 dni.

Poziom logowania wymagany przez NemLog-in jest konfigurowany w ustawieniach logów FoxIDs:

1. Włącz log info trace
2. Włącz log claims trace
3. Włącz log message trace
4. Kliknij update

Żądaj kontekstu uwierzytelniania

Możesz zażądać pożądanego poziomu pewności NSIS jako authn context class reference.

Możliwe poziomy pewności NSIS:

• https://data.gov.dk/concept/core/nsis/loa/Low
• https://data.gov.dk/concept/core/nsis/loa/Substantial
• https://data.gov.dk/concept/core/nsis/loa/High

Podobnie możesz określić typ identyfikatora jako authn context class reference.

Możliwe typy identyfikatora:

• https://data.gov.dk/eid/Person
• https://data.gov.dk/eid/Professional

Możliwe typy poświadczeń:

• https://nemlogin.dk/internal/credential/type/nemidkeycard
• https://nemlogin.dk/internal/credential/type/nemidkeyfile
• https://nemlogin.dk/internal/credential/type/mitid
• https://nemlogin.dk/internal/credential/type/local
• https://nemlogin.dk/internal/credential/type/test

Możesz skonfigurować authn context class references w profilach metody uwierzytelniania, jeśli potrzebujesz różnych zestawów. Na przykład, aby obsłużyć uwierzytelnianie step-up, utwórz jeden profil z authn context class reference https://data.gov.dk/concept/core/nsis/loa/Substantial i drugi profil z authn context class reference https://data.gov.dk/concept/core/nsis/loa/High.