Målgruppe: KOMMUNER LEVERANDØRER IT-ANSVARLIG
Udskiftning af signeringscertifikat i Unilogin på Eksternt Testmiljø (ET) og i Produktion
Miljø: Ekstern testmiljø (ET)
Tidspunkt: 19. september 2023 kl. 14.00
Miljø: Produktion
Tidspunkt: 3. oktober 2023 kl. 14.00
Beskrivelse
Unilogins signeringscertifikat skal udskiftes, da vi overgår til at benytte et OCES3 certifikat. Det er i den forbindelse vigtigt, at tjenester/services som benytter certifikatet ligeledes tilføjer det nye certifikat, da det ellers ikke vil være muligt, at bruge/logge på jeres løsning efter certifikatet er skiftet. Signeringscertifikatet vil blive udskiftet på både Unilogins eksterne testmiljø og i produktion, dog ikke på samme dag.
OBS
Sådan berører skiftet SAML og OpenID-Connect protokollerne:
- Lokale IdP'er skal skifte fra det nuværende OCES2 til det nye OCES3
- Certifikatet bruges til at verificere at requestet kommer fra Unilogin Broker
- Tjenester der benytter SAML protokollen skal skifte fra det nuværende OCES2 til det nye OCES3
- Tjenester der benytter OpenID-Connect protokollen skal ikke foretage sig noget
- Tjenester der benytter SSOproxy og ATLAS protokollen skal ikke foretage sig noget, men være opmærksom på at disse to protokoller bliver lukket i det nye år.
- For nærmere information læs her: Overgang fra SSOproxy og ATLAS til SAML eller OIDC
Nyt certifikat
Eksternt Testmiljø (ET)
- Certifikat (til IdP'er): unilogin-cert-et.txt
- Metadata (til tjenester): https://et-broker.unilogin.dk/auth/realms/broker/protocol/saml-stil/descriptor
Produktion
- Certifikat (til IdP'er): unilogin-cert-prod.txt
- Metadata (til tjenester): https://broker.unilogin.dk/auth/realms/broker/protocol/saml-stil/descriptor
Hvad skal vi gøre?
Det er vigtigt, at certifikatet bliver tilføjet i jeres løsning senest den 19 september 2023 kl. 14.00 på eksternt testmiljø (ET). Samt senest den 3 oktober 2023 kl. 14.00 i produktion
Opgaven vil for nogle kræve koordinering med egen it-leverandør.
Hvornår skal vi tilføje certifikatet?
Det nuværende certifikat bliver udskiftet, men I kan allerede nu forberede skiftet ved at indlæse det nye certifikat eller opdatere metadata i jeres løsning. Derefter vil overgangen til det nye certifikat ske automatisk.
Hvad sker der, hvis certifikatet ikke er skiftet
For leverandører af lokale IdP-løsninger
Mangel på skift af certifikat kan betyde, at det ikke er muligt at logge ind med lokal IdP. Forsøg på login kan medføre en certifikatfejl ved redirect fra Unilogin Broker til IdP'en.
For tjenesteudbydere
Login på services som er tilkoblet Unilogin Broker med SAML protokollen vil, ved mangel på skift, medfører en certifikatfejl ved forsøg på login.
Login på services som er tilkoblet Unilogin Broker med OIDC, SSOproxy eller ATLAS protokollerne medfører ikke certifikatfejl ved forsøg på login efter signeringscertifikatet er skiftet.
Har du yderligere spørgsmål til ovenstående kan STIL support kontaktes skriftligt via webformular