Versioner sammenlignet

Gammel version 1

changes.mady.by.user Ulrik Schrøder Esmann

Gemt på

sammenlignet med

Ny version 2

changes.mady.by.user Steen Linden

Gemt på

Nøgle

  • Linjen blev tilføjet.
  • Denne linje blev fjernet.
  • Formatering blev ændret.
Uddrag
Overordnede tekniske

Tekniske krav til IdP'er i Unilogin-føderationen

  • Protokoller:
    • SAML v2
    • OIOSAML Web SSO profile 3.0
    • Understøttelse af forudfyldt brugernavn ("Subject" i SAML's AuthnRequest)
  • Understøttelse af supplerende profil til NSIS med sikringsniveauer for børn og undervisningsformål
  • Håndtering af login-faktorer i forhold til understøttede sikringsniveauer
  • Krav til signering af billetter svarende til understøttede sikringsniveauer
  • Tilslutning via udveksling af SAML metadata
    • URL'er for login og (backchannel) logout
    • Certifikat-information med offentlige nøgler til signering og kryptering
    • Krav vedrørende livscycklus for metadata og certifikater

    • Unilogin understøtter SAML 2.0 til login og autentificering af brugere for web-baserede applikationer i et single sign-on miljø. Lokale IdP'er som skal tilsluttes skal derfor kunne fungere i et sådant miljø. Desuden skal IdP'en understøtte Unilogin-føderationens sikringsniveauer og håndtere login-faktorer og -kommunikation i overensstemmelse med disse.

    En IdP tilsluttes ved at der udveksles metadata mellem IdP'en og Unilogin Broker. Metadata er beskrevet i SAML standarden og fastlægger de involverede certifikater og andre informationer nødvendige for kommunikationen, såsom end-points for IdP’ens Single Sign On Service og Single Logout Service.

    Tilslutning sker i praksis tilslutning til Unilogins eksterne testmiljø. Det er en forudsætning at IdP'en er blevet tilsluttet og godkendt her inden den kan sættes i drift i Unilogins produktionsmiljø.

    Kommunikation af brugers identitet

    Unilogin Broker medsender brugernavn til IdP'en i <Subject> i SAML's AuthnRequest, hvis det er blevet indtastet i forbindelse med discovery processen i Unilogin Broker. F.eks. kan dette være "bruger@domain".

    IdP'en skal sende information om den indloggede brugers identitet til Unilogin Broker i SAML's <NameID>. Identifikationen skal være kendt i Unilogin Broker, så gyldige værdier er på nuværende tidspunkt brugerens UNI-ID eller CPR-nummer.

    Kommunikation af ønsket sikringsniveau

    Mapning fra lokalt ID til kendt nøgle i Unilogin-føderationen
  • UNI-ID, CPR eller wsaIMPORT-nøgle
  • Attributter fra IdP'er. I første version skal kun ID sendes til Unilogin-brokeren
    • Mulighed for scoping / forvalg af IdP

    Sikringsniveauer kommunikeres mellem Unilogin Broker og IdP i <AuthnContextClassRef>. Værdierne skal følge specifikationen af Unilogin-føderationens sikringsniveauer.