Page tree
Skip to end of metadata
Go to start of metadata

Primær målgruppe

Teknisk personale


Eksterne tjenester kan blive tilsluttet Unilogin Broker såfremt de tjener et relevant formål i forhold til skoler og institutioner og forudsat at de opfylder nedenstående tekniske krav.

Unilogin understøtter SAML 2.0 til login og autentificering af brugere for web-baserede applikationer i et single sign-on miljø og følger protokolprofilen for OIOSAML 3.0. Tjenesten skal derfor også følge denne profil, herunder anvendelsen af FOCES eller VOCES certifikater. Desuden skal tjenesten understøtte Unilogin-føderationens sikringsniveauer.

SAML-standarden er et XML-baseret rammeværk til udveksling af sikkerhedsinformationer mellem forskellige online parter. Sikkerhedsinformationen udtrykkes i form af portable SAML påstande (assertions), som er digitalt signerede XML-strukturer, der udveksles mellem de kommunikerende parter.

SAML-standarden omfatter tillige en web single sign-on profil (Web SSO), som beskriver mekanismer for udvekslingen af SAML assertions i et web-miljø, således at en tjenesteudbyders web-server kan opnå autentificering af en bruger gennem omdirigering af brugerens browser via en identitetsyders web-server. Det er også i autentificeringsprocessen muligt at sende information om brugeren i form af attributter, som fx kan anvendes til autorisation. Tjenesteudbyderen kaldes i SAML-sammenhæng en SP (Service Provider) mens identitetsudbyderen kaldes en IdP (Identity Provider).

Forud for at kommunikation med SAML Web SSO kan finde sted er det nødvendigt at udveksle metadata for tjenesteudbyders SAML SP og Unilogin Broker. Metadata er beskrevet i SAML standarden og fastlægger de involverede certifikater og andre informationer nødvendige for kommunikationen, såsom end-points for SP’ens Assertion Consumer Service og IdP’ens Single Sign On Service. SAML IdP Metadata for Unilogin Broker findes her.

Aftestning kan ske ved tilslutning til Unilogins eksterne testmiljø.

For at blive oprettet på det eksterne testmiljø skal følgende være opfyldt:

  1. TEST-SAML-Metadata-filen skal navngives på formen supportsagsnummer_test_saml_metadata.xml (fx infrasup-98765_test_saml_metadata.xml)

Bemærk at før tjenesten kan komme på produktionsmiljøet skal følgende være opfyldt:

  1. Der skal indsendes en erklæring om at login i tjenesten via Unilogin alene tjener et relevant formål i forhold til skoler og institutioner. Herunder eksempler på skoler og institutioner der anvender tjenesten.
  2. PROD-SAML-Metadata-filen skal navngives på formen supportsagsnummer_saml_metadata.xml (fx infrasup-98765_saml_metadata.xml)
  3. Integrationen til Unilogin Broker skal overholde protokolprofilen  OIOSAML 3.0. Herunder at der anvendes FOCES eller VOCES certifikater.
  4. Slutteligt skal der anmodes om en tilslutning af tjenesten til "Unilogin SAML" på tilslutning.stil.dk

Kommunikation af ønsket sikringsniveau

Ønske om et givet sikringsniveau kommunikeres fra tjenestens SAML SP til Unilogin Broker i <AuthnContextClassRef> i SAML <AuthnRequest>. Værdierne skal følge specifikationen af Unilogin-føderationens sikringsniveauer. Tjenesten modtager de opnåede sikringsniveauer som attributter i <Assertion>-delen af SAML <Response> .

Data medsendt fra Unilogin Broker

Unilogin Broker sender et tjenestespecifikt pseudonym for den indloggede bruger i <NameID>, eksempelvis "G-91552a74-b560-4057-ade9-083b94da07e6".

Derudover medsendes følgende attributter i <Assertion>:

Attribut-navnVærdi
dk:unilogin:uniid

Unilogin brugernavnet af hensyn til bagudkompatibilitet (Udfases i takt med udbredelsen af pseudonymisering i Unilogin)

dk:unilogin:aktoergruppeBrugerens valgte aktørgruppe i Unilogin ud fra de registrerede tilknytninger i SkoleGrunddata.
dk:unilogin:loaSikringsniveau i Unilogin (EnFaktor, VoksenVerificeret eller ToFaktor)
dk:gov:saml:attribute:AssuranceLevelSikringsniveau i forhold til OIOSAML 2.0.9 afledt af ovenstående Unilogin sikringsniveau (2, 2 eller 3)
https://data.gov.dk/concept/core/nsis/loaSikringsniveau i NSIS 2.0.1 / OIOSAML 3.0 sikringsniveau (Low, Substantial eller High) (Indføres i takt med udbredelsen af NSIS i IdP'er)



  • No labels