Identity provider Klar til produktion
Baggrund De 98 kommuner i Danmark har nu etableret en lokal Identity Provider, og aftestet installation mod Støttesystemernes test-miljø. I forbindelse med at BBR går live, skal alle kommunerne tilslutte deres Identity Provider til Støttesystemernes produktionsmiljø. KOMBIT migrerer tilslutningerne fra testmiljøet, så opgaven med at tilslutte sig produktionsmiljøet blot er en lokal konfigurationsopgave i de enkelte kommuners Identity Providere
OBS!! Hvis en kommune har valgt at tilslutte en test-Identity Provider til Støttesystemernes test-miljø, og de ikke ønsker at genbruge denne tilslutning i Produktion, så skal dette meldes til KOMBIT. Kommunen melder dette i en mail til peha@kombit.dk inden d. 16. januar For de kommuner der ønsker at tilslutte en ny Identity Provider til produktion, skal de gennemføre den samme tilslutning i produktion som blev gennemført i test-miljøet
Migrerings-scenariet lokale tilpasninger
KOMBIT flytter tilslutningen KOMBIT bestiller en flytning af den eksisterende tilslutning hos KMD, og klarmelder når tilslutningen er foretaget i produktion. Herefter skal kommunen tilpasse opsætningen i deres lokale Identity Provider.
Lokale tilpasninger Da kommunen tilsluttede sig til test-miljøet, blev støttesystemerne opsat som en Service Provider (også kaldet Relying Party). Denne opsætning i kommunens Identity Provider skal gennemføres én gang til, denne gang for støttesystemernes produktionsmiljø. Metadata til produktionsmiljøet kan hentes her https://adgangsstyring.stoettesystemerne.dk/runtime/saml2auth/metadata.idp Typisk er registrering af metadata en del af oprettelses-processen når man opretter en ny Service Provider i sit Identity Provider produkt, nogle produkt-specifikke screenshots vises på næste slides.
Registrering af metadata i Identity Provider (Safewhere Identify)
Registrering af metadata i kommunal Identity Provider (Safewhere Identify)
Registrering af metadata i Identity Provider (AD FS 3.0)
Registrering af metadata i kommunal Identity Provider (AD FS 3.0)
Registrering af metadata i Identity Provider (OpenAM)
Registrering af metadata i Identity Provider (OpenAM)
Ny tilslutning kommuner der ikke ønsker at genbruge tilslutningen fra test-miljøet
Registring af ny Identity Provider i produktion For kommuner der ikke ønsker at genbruge deres eksisterende tilslutning fra test-miljøet, skal der bestilles en ny tilslutning. Dette kræver at metadata udtrækkes fra den nye Identity Provider, og sendes til KMD, der behandler bestillingen. Til formålet skal den samme word-blanket anvendes, som blev udfyldt ved bestillingen i test-miljøet. Den samme lokale konfiguration som er nævnt tidligere, skal også udføres ved ny-tilslutning.
Udtræk metadata fra Identity Provider Metadata fra kommunens egen IdP kan downloades fra den server hvor IdP’en er installeret Safewhere Identify https://<server>/runtime/saml2/metadata.idp AD FS https://<server>/FederationMetadata/2007-06/FederationMetadata.xml OpenAM https://<server>/openam/saml2/jsp/exportmetadata.jsp?entityid=<??>
Udtræk metadata fra Identity Provider
Word blanketten udfyldes
Sådan er proceduren…. Download blanket 2. Udfyld blanket I skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø – hent den på http://www.kombit.dk/sts-implementering 2. Udfyld blanket 3. Send blanketten til KOMBIT Send den til sptest@kombit.dk 4. Tilslutningen gennemføres KOMBIT orienterer jer om at aftalen er oprettet
Afprøvning i produktion
Test mod demo-system I produktionsmiljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login. Systemet har ingen anden funktionalitet end login. Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget. Demo System https://demo-brugervendtsystem.kombit.dk/prod
Test mod demo-system
Test mod demo-system