Connect to NemLog-in with SAML 2.0 (Legacy standard configuration)

Este é o guia legacy para configurar o NemLog-in com as definições standard SAML 2.0. Para a UI template do NemLog-in, veja Connect to NemLog-in with SAML 2.0 (Template).

Pode ligar o FoxIDs ao NemLog-in, IdP dinamarquês, com um método de autenticação SAML 2.0 e permitir que os utilizadores se autentiquem com MitID. O NemLog-in é ligado como SAML 2.0 Identity Provider (IdP).

Ao configurar um método de autenticação SAML 2.0 e um registo de aplicação OpenID Connect, o FoxIDs torna-se uma bridge entre SAML 2.0 e OpenID Connect. O FoxIDs trata então da ligação SAML 2.0 como Relying Party (RP) / Service Provider (SP) e na sua aplicação só precisa de se preocupar com OpenID Connect. Se necessário, pode oferecer múltiplas opções de login, isto é, métodos de autenticação, a partir do mesmo registo de aplicação OpenID Connect.

Connect to NemLog-in

O FoxIDs suporta o NemLog-in e o perfil baseado em SAML 2.0 OIOSAML 3.0.3, incluindo single logout, SLO, logging, nomenclatura do issuer, os certificados OCES3 necessários, RSASSA-PSS, e suporta NSIS.

Pode testar o login NemLog-in com o sample web app online (documentação do sample) clicando em Log in e depois em Danish NemLog-in TEST para o ambiente de teste ou Danish NemLog-in para produção.
Veja a configuração sample NemLog-in no FoxIDs Control: https://control.foxids.com/test-corp
Obtenha acesso de leitura com o utilizador reader@foxids.com e a password gEh#V6kSw, depois selecione o ambiente nemlogin ou nemlogin-test.
O sample está configurado com um ambiente separado para a integração NemLog-in SAML 2.0.

Documentação NemLog-in:

Transforme o DK privilege XML claim num claim JSON.

Consider separate environment

O NemLog-in requer que a Relying Party (RP) use um certificado OCES3 e logging alargado. Por isso, considere ligar o NemLog-in num ambiente separado onde o certificado OCES3 e o nível de log possam ser configurados sem afetar mais nada.

Connect to NemLog-in and use Environment Link

Pode ligar dois ambientes no mesmo tenant com um Environment Link.

Certificate

O NemLog-in requer que todos os pedidos, authn e logout, da Relying Party (RP) sejam assinados. Além disso, o NemLog-in requer que a RP assine com um certificado OCES3. Não é possível usar um certificado emitido por outra autoridade certificadora, um certificado self-signed ou um certificado emitido pelo FoxIDs.

Os certificados OCES3 de teste são usados no ambiente de teste e os certificados OCES3 de produção são usados em produção. Um certificado OCES3 é válido durante três anos. Depois disso, tem de ser atualizado manualmente.
Vai precisar de ambientes FoxIDs separados para tratar, respetivamente, dos ambientes de teste e produção. Opcionalmente os ambientes podem ser combinados num ambiente de aplicação com environment links.

Adicione o certificado OCES3 .P12 no FoxIDs Control Client:

  1. Selecione, ou crie, o ambiente a usar para o NemLog-in
  2. Selecione o separador Certificates
  3. Clique na seta para baixo no botão Swap certificate e depois, na secção Contained certificates, clique em Change container type

Change container type

  1. Clique no certificado primário, introduza a password e carregue o certificado OCES3 .P12

Add OCES3 certificate

Posteriormente, é possível adicionar um certificado secundário e alternar entre o certificado primário e o secundário.

Configuring NemLog-in 3 as Identity Provider (IdP)

Precisa de configurar o certificado OCES3 antes de seguir este guia.

1) - Comece por criar um método de autenticação SAML 2.0 no FoxIDs Control Client

  1. Selecione o separador Authentication
  2. Clique em New authentication e depois em SAML 2.0
  3. Adicione o nome
  4. Selecione Show advanced
  5. Selecione o dot URL binding pattern

NemLog-in SAML 2.0 authentication method

  1. Desative automatic update
  2. Clique em Read metadata from file e selecione os NemLog-in IdP-metadata

NemLog-in SAML 2.0 authentication method

  1. Configure um custom SP issuer; o issuer pode opcionalmente começar com https://saml.
    • O issuer neste exemplo é https://saml.foxids.com/test-corp/nemlogin-test/
  2. Opcionalmente remova * e configure os claims; os seguintes claims são os mais usados:
    • https://data.gov.dk/concept/core/nsis/loa
    • https://data.gov.dk/model/core/eid/cprNumber
    • https://data.gov.dk/model/core/eid/cprUuid
    • https://data.gov.dk/model/core/eid/email
    • https://data.gov.dk/model/core/eid/firstName
    • https://data.gov.dk/model/core/eid/lastName
    • https://data.gov.dk/model/core/eid/professional/cvr
    • https://data.gov.dk/model/core/eid/professional/orgName
    • https://data.gov.dk/model/core/eid/professional/uuid/persistent
    • https://data.gov.dk/model/core/specVersion
    • opcionalmente inclua o privilege claim, veja o passo 3

NemLog-in SAML 2.0 authentication method

  1. Defina Login hint in Authn request in Subject NameID como Disabled
  2. Apenas em produção, opcionalmente defina Certificate validation mode como Chain trust se o certificado root OCES3 for trusted na sua plataforma e defina Certificate revocation mode como Online
  3. Selecione incluir o certificado de encriptação nos metadata
  4. Defina NameID format in metadata como urn:oasis:names:tc:SAML:2.0:nameid-format:persistent

NemLog-in SAML 2.0 authentication method

  1. Adicione um attribute consuming service nos metadata e adicione o service name.
  2. Adicione todos os claims configurados no passo 11 como requested attributes com o formato urn:oasis:names:tc:SAML:2.0:attrname-format:uri. Opcionalmente defina cada atributo como required.

NemLog-in SAML 2.0 authentication method

  1. Adicione pelo menos uma pessoa de contacto technical

NemLog-in SAML 2.0 authentication method

  1. Clique em create
  2. Vá ao topo do método de autenticação SAML 2.0
  3. Descarregue os SP-metadata do método de autenticação SAML 2.0, neste caso https://foxids.com/test-corp/nemlogin-test/.nemlogin./saml/spmetadata.
  4. O ficheiro SP-metadata é usado para configurar o IT system NemLog-in.

2) - Depois vá ao portal de administração do NemLog-in

Primeiro precisa de criar um IT-system NemLog-in ou pedir a outra pessoa que crie um IT-system NemLog-in e lhe atribua acesso.

  1. Selecione o IT-system
  2. Clique em upload metadata file e carregue o ficheiro SP-metadata do método de autenticação SAML 2.0
  3. Volte ao IT-system
  4. Clique no botão Save the technical details
  5. Clique em Provision to integrationtest e depois em Apply for integration test

Para configurar produção tem de carregar um test report, obter aprovação e depois repetir a configuração FoxIDs e NemLog-in.

3) - Opcional - Configure MitID app-switch para aplicação móvel no FoxIDs Control Client

Opcionalmente, configure o MitID app-switch se estiver a usar NemLog-in / MitID numa aplicação móvel.

O NemLog-in suporta mobile app-switch usando Universal Links no iOS ou App Links no Android, com base num return URL que é enviado ao NemLog-in numa extensão SAML 2.0 como parte do pedido de authn, login.

O return URL é o URL da sua aplicação móvel e é usado para voltar à sua aplicação a partir da app MitID após a autenticação.

Se o return URL da sua aplicação Android for https://myapp.page.link/zyx, configure a extensão XML do pedido SAML 2.0 authn como:

<nl:AppSwitch xmlns:nl="https://data.gov.dk/eid/saml/extensions">
  <nl:Platform>Android</nl:Platform>
  <nl:ReturnURL>https://myapp.page.link/zyx</nl:ReturnURL>
</nl:AppSwitch>

Selecione show advanced settings e adicione a extensão XML em Authn request extensions XML e clique em Update

NemLog-in SAML 2.0 authn request extension XM

Pode configurar authn request extensions XML em perfis do método de autenticação. E assim suportar várias plataformas móveis nos perfis.

Neste momento o iOS não requer um return URL para fazer app-switch. Mas isto pode mudar ao longo do tempo!
Por isso, atualmente só precisa de dois métodos de autenticação; um para o seu site e app iOS sem redirect URL e um para a sua app Android com redirect URL.

4) - Opcional - adicione a transformação do claim privilege no FoxIDs Control Client

Opcionalmente, se estiver a usar o claim privilege.

O FoxIDs pode transformar o DK privilege XML claim num claim JSON. Recomenda-se adicionar a transformação para obter claims e tokens mais pequenos. Além disso, torna os tokens legíveis.

  1. Adicione o transformador DK privilege claim.
  2. Remova o claim privilege original do pipeline de claims.

NemLog-in SAML 2.0 authentication method privilege claim transformation

O FoxIDs converte internamente claims SAML 2.0 em claims JWT. O mapeamento entre claims SAML 2.0 e JWT é criado automaticamente por predefinição. Pode encontrar e alterar o mapeamento no separador Settings.

O método de autenticação SAML 2.0 pode agora ser usado como método de autenticação para registos de aplicação no ambiente.

Test users in integration test environment

Pode criar tanto utilizadores privados MitID como utilizadores MitID Business, colaboradores, para o ambiente NemLog-in integration test.

MitID private test users

Existem duas formas de criar um utilizador de teste MitID privado:

  • Criar um utilizador que inicia sessão com username, User ID, e password no separador Test login da página NemLog-in.
  • Criar um utilizador que pode tanto iniciar sessão com username, User ID, e password como simular a app MitID no separador MitID.

Para criar um utilizador de teste MitID privado com username e password:

  1. Vá ao MitID simulator
  2. Opcionalmente clique em Autofill
  3. Introduza um número CPR fictício. Cada número CPR de teste só pode ser usado uma vez.
  4. Selecione Private MitID
  5. Introduza o seu endereço de email como email do administrador
  6. Clique em Create Identity

Create MitID private test user

Recebe um email com um access token que pode usar para editar o utilizador de teste mais tarde. Depois pode iniciar sessão com o utilizador de teste na página de test login do NemLog-in.

Para criar um utilizador de teste MitID privado que também funcione com o simulador da app MitID:

  1. Vá ao MitID simulator
  2. Opcionalmente clique em Autofill
  3. Introduza um número CPR fictício. Cada número CPR de teste só pode ser usado uma vez.
  4. Selecione Private MitID
  5. Selecione Create in MitID testtool
  6. Introduza o seu endereço de email como email do administrador
  7. Clique em Create Identity

Create MitID private test user with MitID simulator

Encontre o utilizador de teste na MitID Test Tool por número CPR ou username. Na secção App, clique em Open simulator para abrir o simulador da app MitID no browser.

View MitID private test user in MitID Test Tool

MitID Business test users

Precisa de uma organização de teste no ambiente integration test antes de poder criar utilizadores de teste MitID Business. Crie uma organização de teste por cada número CVR que pretenda usar.

Quando concluiu o onboarding do NemLog-in, obtém uma organização de teste que pode gerir em MitID Business integration test, onde pode criar utilizadores de teste MitID Business.

Em alternativa, ou adicionalmente, pode criar uma organização de teste na página Create test-user-organisation. Preencha estes campos e clique em Create (Opret):

  • Endereço de email do administrador: usado se precisar de repor a password
  • Password: usada para iniciar sessão
  • API access key: se fornecer uma, outros não podem alterar a organização de teste
  • Approve qualified certificates: ative se precisar de testar certificados qualificados
  • Organisation type: selecione Privat virksomhed para uma empresa privada ou Offentlig virksomhed para uma organização pública
  • Assurance level for the identification process: defina o nível NSIS de assurance para Betydelig

Depois de a organização ser criada, inicie sessão em MitID Business integration test e crie utilizadores de teste MitID Business.

Logging

O NemLog-in requer que pedidos e respostas, incluindo prova de assinatura, sejam registados e guardados durante meio ano, 180 dias. Também é obrigatório registar que identidade iniciou sessão e terminou sessão em que sessão, a que horas e a partir de que endereço IP.
O log predefinido do FoxIDs regista erros e eventos incluindo a hora e o endereço IP.

Com um plano Pro ou Enterprise em FoxIDs.com, os dados de log são armazenados durante 180 dias.

O nível de log exigido pelo NemLog-in é configurado nas definições de log do FoxIDs:

  1. Ative log info trace
  2. Ative log claims trace
  3. Ative log message trace
  4. Clique em update

NemLog-in SAML 2.0 authentication method

Request authentication context

Pode pedir um nível NSIS de assurance desejado como authn context class reference.

NSIS assurance level in SAML 2.0 authentication method

Possíveis níveis NSIS de assurance:

  • https://data.gov.dk/concept/core/nsis/loa/Low
  • https://data.gov.dk/concept/core/nsis/loa/Substantial
  • https://data.gov.dk/concept/core/nsis/loa/High

Da mesma forma, pode especificar o tipo de ID como authn context class reference.

ID type in SAML 2.0 authentication method

Possíveis tipos de ID:

  • https://data.gov.dk/eid/Person
  • https://data.gov.dk/eid/Professional

E os possíveis tipos de credencial:

  • https://nemlogin.dk/internal/credential/type/nemidkeycard
  • https://nemlogin.dk/internal/credential/type/nemidkeyfile
  • https://nemlogin.dk/internal/credential/type/mitid
  • https://nemlogin.dk/internal/credential/type/local
  • https://nemlogin.dk/internal/credential/type/test

Pode configurar authn context class references em perfis do método de autenticação se precisar de disponibilizar conjuntos diferentes.
Por exemplo, para suportar step-up authentication, crie um perfil com authn context class reference https://data.gov.dk/concept/core/nsis/loa/Substantial e outro perfil com authn context class reference https://data.gov.dk/concept/core/nsis/loa/High.

A sua privacidade

A sua privacidade

Usamos cookies para melhorar a sua experiência nos nossos sites. Clique no botão 'Aceitar todos os cookies' para concordar com a utilização de cookies. Para recusar cookies não essenciais, clique em 'Apenas cookies necessários'.

Visite a nossa página de Política de Privacidade para saber mais