Den lokale identity provider

Hvordan tilsluttes identity provideren?

Overblik Støttesystemet adgangsstyring for brugere (Context Handleren) registreres i Identity Provideren som en Service Provider / Relying Party. Metadata udtrækkes af Kommunens Identity Provider, og registreres i adgangsstyring for brugere Identity Provideren tilpasses/konfigureres til at overholde KOMBITs Attributprofil For at teste at integrationen er korrekt udført, gennemføres et login mod et demo-system opsat af KOMBIT Sådan bestiller kommunen en anmodning om tilslutning af IdP til det eksterne testmiljø

Registrering af Context Handler som RP/SP

Registrering af metadata i Identity Provider Metadata (en XML fil) for adgangsstyring for brugere kan downloades direkte fra støttesystemerne Test-miljø https://adgangsstyring.eksterntest-stoettesystemerne.dk/runtime/saml2auth/metadata.idp Produktions-miljø https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp Typisk er registrering af metadata en del af oprettelses-processen når man opretter en ny Service Provider i sit Identity Provider produkt

Registrering af metadata i Identity Provider (Safewhere Identify)

Registrering af metadata i kommunal Identity Provider (Safewhere Identify)

Registrering af metadata i Identity Provider (AD FS 3.0)

Registrering af metadata i kommunal Identity Provider (AD FS 3.0)

Metadata udtrækkes og registreres hos kombit

Udtræk metadata fra Identity Provider Krav om anvendelse af OCES certifikat

Registrering af metadata hos KOMBIT

Når metadata er udvekslet

Identity provider tilpasses kombits attributprofil

Attributprofilen

KOMBIT Attributprofil Krævede attributter Standard formatering, Serial skal være unik! Lad os snakke om den her lige om lidt…

Statiske attributter (AD FS 3.0)

Jobfunktionsroller angives som OIO-BPP

Jobfunktionsroller i Attributprofilen Base64 enkodet OIO-BPP struktur <bpp:PrivilegeList xmlns:bpp="http://itst.dk/oiosaml/basic_privilege_profile"> <PrivilegeGroup Scope="urn:dk:gov:saml:cvrNumberIdentifier:19583910"> <Privilege>http://vallensbaek.dk/roles/jobrole/sagsbehandler/1</Privilege> </PrivilegeGroup> <Privilege>http://vallensbaek.dk/roles/jobrole/leder/1</Privilege> </bpp:PrivilegeList>

Hvordan enkodes én Jobfunktionsrolle <bpp:PrivilegeList xmlns:bpp="http://itst.dk/oiosaml/basic_privilege_profile"> <PrivilegeGroup Scope="urn:dk:gov:saml:cvrNumberIdentifier:19583910"> <Privilege>http://vallensbaek.dk/roles/jobrole/sagsbehandler/1</Privilege> </PrivilegeGroup> <Privilege>http://vallensbaek.dk/roles/jobrole/leder/1</Privilege> </bpp:PrivilegeList> 1 PrivilegeGroup = 1 Jobfunktionsrolle CVR nummeret på den kommune der ejer rollen (typisk egen kommune) ID på Jobfunktionsrollen (matcher ID registreret hos KOMBIT)

OIO-BPP er bare en enkelt attribut/claim Identity Provideren skal tilpasses, så den kan danne en OIO-BPP struktur, indeholdende de ID’er på Jobfunktionsroller som medarbejderen er tildelt OIO-BPP strukturen base64 enkodes, og udstedes som en SAML attribut på lige fod med de statiske attributter dk:gov:saml:attribute:Privileges_intermediate

Registrering af dataafgrænsninger

Statisk registrering af dataafgrænsninger Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler i ydelsescenter vest Fuld visning af sager, ydelser og dokumenter KLE = 32.* Org.Enhed = a26e4cdc-48c8-4b58-b8f2-6accfc1ef988 Opret Journalnotat på part Visning af adviser i overblik Registrering af konkrete værdier direkte i Administrationsmodulet

Dynamisk registrering af dataafgrænsninger Registreringen af ”pladsholdere” i Administrationsmodulet Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler Fuld visning af sager, ydelser og dokumenter KLE = http://vallensbaek.dk/KLE/1/parametric Org.Enhed = http://vallensbaek.dk/organizationUnit/1/parametric Opret Journalnotat på part Visning af adviser i overblik

Navnestandard Når en dataafgrænsningsværdi angives med en pladsholder, så skal pladsholderen overholde en navnestandard http://<kommune>/<parameter>/<version>/parametric Fx http://vallensbaek.dk/KLE/1/parametric

Angivelse af dataafgrænsningsværdier i token

Dataafgrænsningsværdier i token Samme som før Dynamiske dataafgrænsningsværdier

Dataafgrænsninger er også attributter/claims Identity Provideren skal tilpasses, så den kan udstede attributter for hver enkelt dataafgrænsning Den konkrete værdi kunne fx aflæses direkte på bruger-objektet, eller på den afdeling/enhed som brugeren er tilknyttet Hvis en Jobfunktionsrolle anvender dynamiske dataafgrænsningsværdier, så SKAL et token der indeholder denne Jobfunktionsrolle også indeholde en konkret værdi for dataafgrænsningen

Test af identity provider

Test mod demo-system I test-miljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login https://demo-brugervendtsystem.kombit.dk/test Systemet har ingen anden funktionalitet end login Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget I produktion er der ikke et demo-system (endnu…)

Test mod demo-system

Test mod demo-system

Anmodning om føderationsaftale til testmiljø

Sådan er proceduren…. Download blanket 2. Udfyld blanket I skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø – hent den på kombit.dk/implementering 2. Udfyld blanket KMD tilbyder support i forbindelse med jeres test I skal derfor huske at angive dato for, hvornår I forventer at teste 3. Send blanketten til KMD Send den til sts-support@kmd.dk 4. KMD opretter føderationsaftale KMD orienterer jer om at aftalen er oprettet 5. I tester