Den lokale identity provider
Hvordan tilsluttes identity provideren?
Overblik Støttesystemet adgangsstyring for brugere (Context Handleren) registreres i Identity Provideren som en Service Provider / Relying Party. Metadata udtrækkes af Kommunens Identity Provider, og registreres i adgangsstyring for brugere Identity Provideren tilpasses/konfigureres til at overholde KOMBITs Attributprofil For at teste at integrationen er korrekt udført, gennemføres et login mod et demo-system opsat af KOMBIT Sådan bestiller kommunen en anmodning om tilslutning af IdP til det eksterne testmiljø
Registrering af Context Handler som RP/SP
Registrering af metadata i Identity Provider Metadata (en XML fil) for adgangsstyring for brugere kan downloades direkte fra støttesystemerne Test-miljø https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp Produktions-miljø https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp Typisk er registrering af metadata en del af oprettelses-processen når man opretter en ny Service Provider i sit Identity Provider produkt
Registrering af metadata i Identity Provider (Safewhere Identify)
Registrering af metadata i kommunal Identity Provider (Safewhere Identify)
Registrering af metadata i Identity Provider (AD FS 3.0)
Registrering af metadata i kommunal Identity Provider (AD FS 3.0)
Metadata udtrækkes og registreres hos kombit
Udtræk metadata fra Identity Provider Krav om anvendelse af OCES certifikat
Registrering af metadata hos KOMBIT
Når metadata er udvekslet
Identity provider tilpasses kombits attributprofil
Attributprofilen
KOMBIT Attributprofil Krævede attributter Standard formatering, Serial skal være unik! Lad os snakke om den her lige om lidt…
Statiske attributter (AD FS 3.0)
Jobfunktionsroller angives som OIO-BPP
Jobfunktionsroller i Attributprofilen Base64 enkodet OIO-BPP struktur <bpp:PrivilegeList xmlns:bpp="http://itst.dk/oiosaml/basic_privilege_profile"> <PrivilegeGroup Scope="urn:dk:gov:saml:cvrNumberIdentifier:19583910"> <Privilege>http://vallensbaek.dk/roles/jobrole/sagsbehandler/1</Privilege> </PrivilegeGroup> <Privilege>http://vallensbaek.dk/roles/jobrole/leder/1</Privilege> </bpp:PrivilegeList>
Hvordan enkodes én Jobfunktionsrolle <bpp:PrivilegeList xmlns:bpp="http://itst.dk/oiosaml/basic_privilege_profile"> <PrivilegeGroup Scope="urn:dk:gov:saml:cvrNumberIdentifier:19583910"> <Privilege>http://vallensbaek.dk/roles/jobrole/sagsbehandler/1</Privilege> </PrivilegeGroup> <Privilege>http://vallensbaek.dk/roles/jobrole/leder/1</Privilege> </bpp:PrivilegeList> 1 PrivilegeGroup = 1 Jobfunktionsrolle CVR nummeret på den kommune der ejer rollen (typisk egen kommune) ID på Jobfunktionsrollen (matcher ID registreret hos KOMBIT)
OIO-BPP er bare en enkelt attribut/claim Identity Provideren skal tilpasses, så den kan danne en OIO-BPP struktur, indeholdende de ID’er på Jobfunktionsroller som medarbejderen er tildelt OIO-BPP strukturen base64 enkodes, og udstedes som en SAML attribut på lige fod med de statiske attributter dk:gov:saml:attribute:Privileges_intermediate
Registrering af dataafgrænsninger
Statisk registrering af dataafgrænsninger Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler i ydelsescenter vest Fuld visning af sager, ydelser og dokumenter KLE = 32.* Org.Enhed = a26e4cdc-48c8-4b58-b8f2-6accfc1ef988 Opret Journalnotat på part Visning af adviser i overblik Registrering af konkrete værdier direkte i Administrationsmodulet
Dynamisk registrering af dataafgrænsninger Registreringen af ”pladsholdere” i Administrationsmodulet Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler Fuld visning af sager, ydelser og dokumenter KLE = http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/parametric Opret Journalnotat på part Visning af adviser i overblik
Navnestandard Når en dataafgrænsningsværdi angives med en pladsholder, så skal pladsholderen overholde en navnestandard http://<kommune>/<parameter>/<version>/parametric Fx http://vallensbaek.dk/KLE/1/parametric
Angivelse af dataafgrænsningsværdier i token
Dataafgrænsningsværdier i token Samme som før Dynamiske dataafgrænsningsværdier
Dataafgrænsninger er også attributter/claims Identity Provideren skal tilpasses, så den kan udstede attributter for hver enkelt dataafgrænsning Den konkrete værdi kunne fx aflæses direkte på bruger-objektet, eller på den afdeling/enhed som brugeren er tilknyttet Hvis en Jobfunktionsrolle anvender dynamiske dataafgrænsningsværdier, så SKAL et token der indeholder denne Jobfunktionsrolle også indeholde en konkret værdi for dataafgrænsningen
Test af identity provider
Test mod demo-system I test-miljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login https://demo-brugervendtsystem.kombit.dk/test Systemet har ingen anden funktionalitet end login Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget I produktion er der ikke et demo-system (endnu…)
Test mod demo-system
Test mod demo-system
Anmodning om føderationsaftale til testmiljø
Sådan er proceduren…. Download blanket 2. Udfyld blanket I skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø – hent den på kombit.dk/implementering 2. Udfyld blanket KMD tilbyder support i forbindelse med jeres test I skal derfor huske at angive dato for, hvornår I forventer at teste 3. Send blanketten til KMD Send den til sts-support@kmd.dk 4. KMD opretter føderationsaftale KMD orienterer jer om at aftalen er oprettet 5. I tester