OIOSAML 3

OIOSAML er nu opdateret til version 3.0.3

Sidste nyt: referenceimplementeringer

Der er udarbejdet referenceimplementering til OIOSAML.Java og OIOSAML.net i en betaversion. 

Find referenceimplementering til OIOSAML.Java og OIOSAML.net på digitaliser.dk

OIOSAML profiler

OIOSAML er en vigtig brik i samspillet mellem de 300 offentlige selvbetjeningsløsninger, som er tilsluttet NemLog-in, herunder borger.dk og virk.dk. Profilen bruges til fødereret log-in og single sign-on (SSO) og sikrer interoperabilitet i implementeringen af SAML2-standarden.

I næste generation af den fællesoffentlige infrastruktur til håndtering af digitale identiteter sker der en række ændringer, som har medført behov for en række opdateringer.

Ved go-live på NemLog-in’s broker i juni 2021 vil der være to aktive SAML IdP’er, som kan håndtere brugerautentifikation:

  • Den nuværende OIOSAML 2.0.9 IdP skifter til OIOSAML 2.1.0 snitfladen
  • Der tilføjes en ny OIOSAML 3.0.3 IdP

Begge IdP’er vil være aktive indtil NemID udfases, og NemLog-in vil kunne håndtere brugere med både NemID og MitID på begge IdP’er. NemLog-in oversætter til den version af OIOSAML, som tjenesteudbyderen kan håndtere og fungerer dermed som en ”bro”. Der er endvidere single sign-on mellem de to IdP’er. Dette sikrer en smidig indfasning både for slutbrugere og tjenesteudbydere.

OIOSAML 3.0.3 profilen

Herunder findes OIOSAML 3.0.3 profilen, som er den snitflade NemLog-in3 vil benytte.

OIOSAML 3.0.3 profilen indeholder en mindre opdatering i forhold til den tidligere publicerede OIOSAML 3.0.2:

  • Krav [OIO-SP-09] er opdateret, så ProviderName skal angives af Proxy IdP'er (i stedet for RequesterID)
  • Krav [OIO-IDP-41] er opdateret, så IdP'er ikke længere kræves at angive et krypteringscertifikat
  • I 6.4.1. er det præciseret, at persistente identifiers kan deles på tværs af alle SP'er (ikke kun offentlige)

De gældende versioner af OIOSAML ses nedenfor:

Hent OIOSAML Web SSO profile 3.0.3

Hent OIOSAML Basic Privilege Profile 1_2 

Der er ligeledes tilføjet en profil til brug mellem en broker og en lokal IdP (Local IdP Profile), der kan anvendes i føderationsscenarier, hvor en brugerorganisation udstiller sin egen IdP. Denne profil kan ses nedenfor:

Hent OIOSAML Local IdP Profile 1.0.2

OIOSAML 2.1.0 profilen

OIOSAML 2.1.0 profilen erstatter OIOSAML 2.0.9 profilen, idet en række attributter vedr. OCES certifikater udfases. Dette er tidligere meldt ud af DIGST til alle nuværende tjenesteudbydere.

Tjenesteudbydere, som er koblet på nuværende OIOSAML 2.0.9 IdP i NemLog-in, bedes forberede sig på, at de med go-live for NemLog-in’s broker (i juni 2021) ikke længere kan få disse attributter fra NemLog-in.

Dette gælder både for brugere, som logger ind med MitID og NemID.

Hvis tjenesteudbyderes løsninger i dag anvender de pågældende attributter, er der således behov for opdatering af disse løsninger.

Det drejer sig om følgende attributter:

  • UserCertificate (urn:oid:1.3.6.1.4.1.1466.115.121.1.8)
  • Certificate issuer (urn:oid:2.5.29.29)
  • (Certificate) serial number (urn:oid:2.5.4.5)
  • IsYouthCert (dk:gov:saml:attribute:IsYouthCert)
  • UniqueAccountKey (dk:gov:saml:attribute:UniqueAccountKey)
  • Postal address (urn:oid:2.5.4.16)
  • Title (urn:oid:2.5.4.12)
  • Organization unit (urn:oid:2.5.4.11)
  • UserAdministratorIndicator (dk:gov:saml:attribute:UserAdministratorIndicator)
  • OCES pseudonym (urn:oid:2.5.4.65) 

Hent vejledning for OIOSAML Web SSO Profile v2.1.0

Tjenesteudbydere kan anvende følgende trin-for-trin guide til at teste, hvorledes deres it-systemer reagerer, når attributterne ikke længere leveres af NemLog-in:

Trin-for-trin guide til test af udfasning af OCES attributter.pdf

Offentlig høring

Digitaliseringsstyrelsen har haft OIOSAML 3.0 profilen i offentlig høring. Høringen blev afsluttet i december 2018.

Hent Høringsnotat for OIOSAML 3.0.1 profilen

Gå til materialet på høringsportalen