Nemlog-in

OIOSAML 3.0.2

OIOSAML er en vigtig brik i samspillet mellem de offentlige selvbetjeningsløsninger, som er tilsluttet NemLog-in. I næste generation af den fællesoffentlige infrastruktur til håndtering af digitale identiteter sker der en række ændringer, som har medført behov for en række opdateringer.
Play
8:23

Se infovideo om OIOSAML

Download præsentationen fra infovideoen om OIOSAML (PDF)

Overgang til OIOSAML 3 

OIOSAML 2 bliver erstattet af OIOSAML 3 ved overgangen til NemLog-in broker. Overgangen til den nye OIOSAML profil betyder, at I skal tilpasse jeres tjeneste, så den kan bruge den nye profil. Alle tjenesteudbydere, der ønsker at integrere til NemLog-in, skal anvende OIOSAML 3 profilen.  

Der er udviklet opdaterede referenceimplementeringer til OIOSAML.Java og OIOSAML.net i beta-version samt beta-dokumenation til OIOSAML 3, som er tilgængeligt nu. Fra 22. marts 2021 er det muligt at teste OIOSAML 3 snitfladen i det nye beta-testmiljø. 

Læs mere om OIOSAML 3 profilen her på siden.  

Gå til side for dokumentation, test og referenceimplementeringer

Parallel understøttelse i migreringsperioden

Ved go-live for NemLog-in broker vil der være to aktive SAML IdP’er, som kan håndtere brugerautentifikation:

  • Den nuværende OIOSAML 2.0.9 IdP, som skifter til OIOSAML 2.1.0 snitfladen
  • Den nye OIOSAML 3.0.2 IdP

Begge IdP’er vil være aktive i en længere overgangsperiode, og NemLog-in vil kunne håndtere både brugere med NemID og MitID på begge IdP’er. NemLog-in oversætter til den version af OIOSAML, som tjenesteudbyderen kan håndtere og fungerer dermed som en ”bro”. Der er endvidere single sign-on mellem de to IdP’er. Dette sikrer en smidig indfasning både for slutbrugere og tjenesteudbydere.

Vigtigt om OIOSAML 2

Forud for overgangen til OIOSAML 3, bliver OIOSAML 2.0.9 profilen erstattet af OIOSAML 2.1.0, idet en række attributter vedr. OCES certifikater udfases. Tjenesteudbydere, som er koblet på nuværende OIOSAML 2.0.9 IdP i NemLog-in, skal derfor forberede sig på, at de med go-live for NemLog-in broker i ikke længere kan få disse attributter fra NemLog-in. Ændringer i attributter gælder både for brugere, som logger ind med MitID og NemID. 

Herudover vil Security Token Service (STS) ikke levere de udfasede OCES attributter fra go-live af NemLog-in broker, når OIOSAML opdateres fra 2.0.9 til 2.1.0. Hvis man som tjenesteudbyder agerer i rollen som Web Service Provider, skal man derfor sikre sig, at der ikke længere er en afhængighed til de attributter, der udfases.

Digitaliseringsstyrelsen har udviklet en guide til at teste, hvordan jeres it-systemer reagerer, når attributterne ikke længere leveres af NemLog-in.  

Hent guide til test af udfasning af OCES attributter (PDF)

Følgende attributter bliver udfaset:

  • UserCertificate (urn:oid:1.3.6.1.4.1.1466.115.121.1.8)
  • Certificate issuer (urn:oid:2.5.29.29)
  • (Certificate) serial number (urn:oid:2.5.4.5)
  • IsYouthCert (dk:gov:saml:attribute:IsYouthCert)
  • UniqueAccountKey (dk:gov:saml:attribute:UniqueAccountKey)
  • Postal address  (urn:oid:2.5.4.16)
  • Title (urn:oid:2.5.4.12)
  • Organization unit (urn:oid:2.5.4.11)
  • UserAdministratorIndicator (dk:gov:saml:attribute:UserAdministratorIndicator)
  • OCES pseudonym (urn:oid:2.5.4.65) 

Hent OIOSAML Web SSO Profile v2.1.0 (PDF)

De vigtigste ændringer i OIOSAML 3.0

  • Der er defineret to nye attributprofiler for henholdsvis personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
  • Identifiers er baseret på UUID’er, og Subject feltet bærer altid en tjenesteudbyderspecifik identifier.
  • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
  • Håndtering af ‘levels of assurance’ sker i henhold til NSIS, og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
  • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives i en separat vejledning til profilen, så krav adskilles fra forklaringer.

Ovenstående er ikke en udtømmende liste over ændringer.

Bruger i FBRS-privilegier?

Offentlige tjenesteudbydere, der anvender FBRS-privilegier, skal anvende en særlig proces ved overgangen til OIOSAML 3. Denne proces sikrer, at eksisterende privilegier undgår en versionsændring.
Der er udarbejdet en guide, der beskriver processen for privilegiemigrering. Guiden er en del af OIOSAML 3 dokumentationen, som kan findes via siden for test og dokumentation.

Gå til siden for test og dokumentation