Nemlog-in

OIOSAML 3.0.1

SAML er en teknisk standard, der beskriver, hvordan IT systemer kan udveksle oplysninger om en bruger.
OIO Web SSO Profile (OIOSAML) er en dansk specialisering (profil) af SAML, som beskriver hvordan standarden skal anvendes i dansk sammenhæng - herunder hvordan fx CVR- og CPR-numre kan anvendes til at identificere virksomheder, borgere og medarbejdere.
OIOSAML er en vigtig brik i samspillet mellem de selvbetjeningsløsninger, som er tilsluttet NemLog-in. Profilen bruges til fødereret log-in og single sign-on (SSO).
I dag anvendes OIOSAML 2.0.9 i NemLog-in.

OIOSAML 3.0.1 profilen

I forbindelse med overgangen til det nye NemLog-in og MitID sker der en række ændringer, som har medført behov for opdatering af OIOSAML 2.0.9 profilen.

Den nye OIOSAML 3.0.1 profil er offentliggjort, og du finder opdaterede referenceimplementeringer længere nede på denne side.  

De gældende standarder for OIOSAML ses nedenfor:

OIOSAML Web SSO profile 3.0.1

OIOSAML Basic Privilege Profile 1_2

Play
8:23

Se infovideo om OIOSAML

Download præsentationen fra infovideoen om OIOSAML.

De vigtigste ændringer i version 3.0

  • Der er defineret to nye attributprofiler for henholdsvis personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
  • Identifiers er baseret på UUID’er, og Subject feltet bærer altid en tjenesteudbyderspecifik identifier.
  • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
  • Håndtering af ‘levels of assurance’ sker i henhold til NSIS, og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
  • Der er indført krav om support for multiple certifikater i metadatafiler.
  • Det er nu tilladt at anvende et kvalificeret certifikat for en juridisk person i metadata.
  • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives i en separat vejledning til profilen, så krav adskilles fra forklaringer.

Ovenstående er ikke en udtømmende liste over ændringer.

Opdaterede referenceimplementeringer

Der er udarbejdet referenceimplementering til OIOSAML.Java og OIOSAML.net i en betaversion. De endelige versioner forventes klar i juni 2020.

Find OIOSAML.Java her

FIND OIOSAML.net her

OIOSAML til Lokal IdP

Der er ligeledes tilføjet en profil til brug mellem en broker og en lokal IdP (Local IdP Profile), der kan anvendes i føderationsscenarier, hvor en brugerorganisation udstiller sin egen IdP. Denne profil kan ses nedenfor:

OIOSAML Local IdP Profile 1.0.2

Følgende ændringer er medtaget i OIOSAML Local IdP Profile 1.0.2 og i OIOSAML Web SSO profile 3.0.1:

  • Krav [OIO-GE-01]: tidsperioden for ’clock skew’ er præciseret til et interval på 3-5 minutter.
  • Krav [OIO-SP-07]: det er præciseret, at sammenligningsattributten kun gælder NSIS niveauet.
  • Krav [OIO-SP-19]: kravet vedr. HTTP Redirect binding er præciseret til ’MUST’ fra et ’SHOULD’.
  • I referencelisten er henvisningen til SAML2 Int profilen fra Kantara Initiative opdateret til seneste version.
  • Der er indført diverse mindre sproglige rettelser.