DEN LOKALE IDENTITY PROVIDER HVORDAN TILSLUTTES IDENTITY PROVIDEREN

DEN LOKALE IDENTITY PROVIDER

HVORDAN TILSLUTTES IDENTITY PROVIDEREN?

Overblik 1. Støttesystemet adgangsstyring for brugere (Context Handleren) registreres i Identity Provideren som en Service Provider / Relying Party. 2. Metadata udtrækkes af Kommunens Identity Provider, og registreres i adgangsstyring for brugere 3. Identity Provideren tilpasses/konfigureres til at overholde KOMBITs Attributprofil 4. For at teste at integrationen er korrekt udført, gennemføres et login mod et demosystem opsat af KOMBIT 5. Sådan bestiller kommunen en anmodning om tilslutning af Id. P til det eksterne testmiljø

REGISTRERING AF CONTEXT HANDLER SOM RP/SP

Registrering af metadata i Identity Provider Metadata (en XML fil) for adgangsstyring for brugere kan downloades direkte fra støttesystemerne Test-miljø https: //adgangsstyring. eksterntest-stoettesystemerne. dk/runtime/saml 2 auth/metadata. idp Produktions-miljø https: //adgangsstyring. stoettesystemerne. dk/runtime/saml 2 auth/metadata. idp Typisk er registrering af metadata en del af oprettelsesprocessen når man opretter en ny Service Provider i sit Identity Provider produkt

Registrering af metadata i Identity Provider (Safewhere Identify)

Registrering af metadata i kommunal Identity Provider (Safewhere Identify)

Registrering af metadata i Identity Provider (AD FS 3. 0)

Registrering af metadata i kommunal Identity Provider (AD FS 3. 0)

METADATA UDTRÆKKES OG REGISTRERES HOS KOMBIT

Udtræk metadata fra Identity Provider Krav om anvendelse af OCES certifikat

Registrering af metadata hos KOMBIT

Når metadata er udvekslet

IDENTITY PROVIDER TILPASSES KOMBITS ATTRIBUTPROFIL

ATTRIBUTPROFILEN

KOMBIT Attributprofil Krævede attributter Lad os snakke om den her lige om lidt… Standard formatering, Serial skal være unik!

Statiske attributter (AD FS 3. 0)

JOBFUNKTIONSROLLER ANGIVES SOM OIO-BPP

Jobfunktionsroller i Attributprofilen Base 64 enkodet OIO-BPP struktur <bpp: Privilege. List xmlns: bpp="http: //itst. dk/oiosaml/basic_privilege_profile"> <Privilege. Group Scope="urn: dk: gov: saml: cvr. Number. Identifier: 19583910"> <Privilege>http: //vallensbaek. dk/roles/jobrole/sagsbehandler/1</Privilege> </Privilege. Group> <Privilege. Group Scope="urn: dk: gov: saml: cvr. Number. Identifier: 19583910"> <Privilege>http: //vallensbaek. dk/roles/jobrole/leder/1</Privilege> </Privilege. Group> </bpp: Privilege. List>

Hvordan enkodes én Jobfunktionsrolle CVR nummeret på den kommune der 1 Privilege. Group = 1 Jobfunktionsrolle ejer rollen (typisk egen kommune) <bpp: Privilege. List xmlns: bpp="http: //itst. dk/oiosaml/basic_privilege_profile "> <Privilege. Group Scope="urn: dk: gov: saml: cvr. Number. Identifier: 19583910" > <Privilege>http: //vallensbaek. dk/roles/jobrole/sagsbehandler/1 </Privilege> </Privilege. Group> <Privilege. Group Scope="urn: dk: gov: saml: cvr. Number. Identifier: 19583910" > <Privilege>http: //vallensbaek. dk/roles/jobrole/leder/1 </Privilege> </Privilege. Group> </bpp: Privilege. List> ID på Jobfunktionsrollen (matcher ID registreret hos KOMBIT)

OIO-BPP er bare en enkelt attribut/claim • Identity Provideren skal tilpasses, så den kan danne en OIOBPP struktur, indeholdende de ID’er på Jobfunktionsroller som medarbejderen er tildelt • OIO-BPP strukturen base 64 enkodes, og udstedes som en SAML attribut på lige fod med de statiske attributter dk: gov: saml: attribute: Privileges_intermediate

REGISTRERING AF DATAAFGRÆNSNINGER

Statisk registrering af dataafgrænsninger Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler i ydelsescenter vest Fuld visning af sager, ydelser og dokumenter KLE = 32. * Org. Enhed = a 26 e 4 cdc 48 c 8 -4 b 58 -b 8 f 26 accfc 1 ef 988 Opret Journalnotat på part KLE = 32. * Visning af adviser i overblik KLE = 32. * Registrering af konkrete værdier direkte i Administrationsmodulet Org. Enhed = a 26 e 4 cdc 48 c 8 -4 b 58 -b 8 f 26 accfc 1 ef 988

Dynamisk registrering af dataafgrænsninger Jobfunktionsrolle Brugersystemrolle Dataafgrænsning Sagsbehandler Fuld visning af sager, ydelser og dokumenter KLE = http: //vallensbaek. dk/KLE/1/parametric Org. Enhed = http: //vallensbaek. dk/organization. Unit/1/p arametric Opret Journalnotat på part KLE = http: //vallensbaek. dk/KLE/1/parametric Visning af adviser i overblik KLE = http: //vallensbaek. dk/KLE/1/parametric Registreringen af ”pladsholdere” i Administrationsmodulet Org. Enhed = http: //vallensbaek. dk/organization. Unit/1/p arametric

Navnestandard Når en dataafgrænsningsværdi angives med en pladsholder, så skal pladsholderen overholde en navnestandard http: //<kommune>/<parameter>/<version>/parametric Fx http: //vallensbaek. dk/KLE/1/parametric

ANGIVELSE AF DATAAFGRÆNSNINGSVÆRDIER I TOKEN

Dataafgrænsningsværdier i token Dynamiske dataafgrænsningsværdier Samme som før

Dataafgrænsninger er også attributter/claims • Identity Provideren skal tilpasses, så den kan udstede attributter for hver enkelt dataafgrænsning • Den konkrete værdi kunne fx aflæses direkte på brugerobjektet, eller på den afdeling/enhed som brugeren er tilknyttet • Hvis en Jobfunktionsrolle anvender dynamiske dataafgrænsningsværdier, så SKAL et token der indeholder denne Jobfunktionsrolle også indeholde en konkret værdi for dataafgrænsningen

TEST AF IDENTITY PROVIDER

Test mod demo-system I test-miljøet stiller KOMBIT et demo system til rådighed, hvor man kan foretage et login https: //demo-brugervendtsystem. kombit. dk/test • Systemet har ingen anden funktionalitet end login • Efter succesfuld login, vises et skærmbillede der viser det token som demo systemet har modtaget • I produktion er der ikke et demo-system (endnu…)

Test mod demo-system

Test mod demo-system

ANMODNING OM FØDERATIONSAFTALE TIL TESTMILJØ

Sådan er proceduren…. 1. Download blanket I skal udfylde en anmodning om føderationsaftale til det eksterne testmiljø – hent den på kombit. dk/implementering 2. Udfyld blanket KMD tilbyder support i forbindelse med jeres test - I skal derfor huske at angive dato for, hvornår I forventer at teste 3. Send blanketten til KMD - Send den til sts-support@kmd. dk 4. KMD opretter føderationsaftale - KMD orienterer jer om at aftalen er oprettet 5. I tester