...

Initierad inloggning (Unsolicited Response) stöds ej i eID Verify.

1.5 SLO – Single Logout

Observera att en SP som skickar SLO till IdP:n samtidigt stoppar all fortsatt federering för användaren. En SP måste vara medveten om vad avsikten vid en utloggning är. En utloggning av användaren i SP:s egna system är en sak, men att även sända en SLO kan orsaka problem om användaren har för avsikt att från en federering arbeta vidare hos annan SPSLO skall alltid tillämpas för att säkerställa att sessioner inte lever vidare. Av den anledningen bör alltid kunder som har flera SP där SSO nyttjas skicka SLO.

2 Metadata

Metadata-filer beskriver IdP-funktionen mer formellt och innehåller även certifikatet som används för att signera assertions i både test och i produktion.

...

Metadata för test och produktion finns här: LÄNK Metadata

3 SAML-attribut

Som utgångspunkt och grundkonfiguration följer vi DIGG Tekniskt Ramverk 1.1.4 ( Tekniska anslutningsregler för Sweden Connect-federationen ) samt 1.3.3 ( Tekniska anslutningsregler för Sweden Connect-federationen ) 

...

...

4 e-tjänstelegitimationer

Vi har tagit hänsyn till den information som finns i de e-tjänstelegitimationer som idag har en spridning i Sverige, utgivna av SITHS och Freja OrgID.

eID -tjänsten Verify har en IdP speciellt för e-tjänstelegitimationer, IdP företag. Se 2.2 Tjänstelegitimationer ovan.

BEHÖVS NEDAN TABELL SPECIFIKT FÖR ATT BESKRIVA ATTRIBUT FÖR TJÄNSTELEG? NEJ!

...

NAME

...

FRIENDLY NAME

...

DESCRIPTION

...

XX

...

YY

...

ZZ

...

ÅÅ

...

ÄÄ

...

Metadata

5 Certifikat för att verifiera XML-DSig

SP måste verifiera att signaturen på IdP:ns svar är korrekt (XML-C14N). För detta behövs CGI:s publika nyckel för IdP-tjänsten. Certifikatet återfinns i metadatat.Varför finns detta här? Passar det bättre under annat avsnitt eller i FAQ? Är det relevant på en översikt kring SAML/IdP?

6 Tydlighet att inloggning sker på annan domän

Vi rekommenderar att varje SP på sina sidor förklarar att tjänsten säker inloggning sker från CGI och att URL på inloggningssidan kommer vara på under funktionstjanster.se

Detta för att vara tydlig till användaren och undvika att användaren blir osäker.Varför finns detta här? Passar det bättre under annat avsnitt eller i FAQ? Är det relevant på en översikt kring SAML/IdP?

7 Eget domännamn

Det är möjligt att använda eget domännamn på federationen om så önskas. Då ser era användare t.ex. httphttps://m0x-mg-local.idp.myndighet.se istället för m0x-mg-local.idp.domän under funktionstjanster.se i adressfältet. Kunden behöver delegera en subdomän till funktionstjänsters DNS för att detta ska fungera.

Varför finns detta här? Passar det bättre under annat avsnitt eller i FAQ? Är det relevant på en översikt kring SAML/IdP?

8 Övriga funktioner

8.1

...

Det finns möjlighet att införa kundanpassade sidor på IdP:n med språkstöd. Vilket språk som skall visas styrs av vad som anges i requesten. Alla texter som sen skall visas behöver in i en språkfil alternativ hanteras via CSS med fördel för kundanpassade sidor. Detta är lite arbete att sätta upp, men skall man ha många olika språk är det bäst att göra rätt från början. Fördelen är att alla feltexter då också kommer på rätt språk. För att välja språk i anropet kan "?lang=en" eller "?lang=sv" läggas till på AssertionConsumerServiceUrl i AuthnRequest-anropet.

Det är även möjligt att använda sig av en ”flagga” på sidan som byter språket via länk.

```html /mg-local/setlanguage?lang=en

/mg-local/setlanguage?lang=sv ```

Länkar behöver uppdateras om länkar ska presenteras/exemplifieras.

...

Begär en autentiseringsmetod eller LOA-klass

8.

...

1.1 Begär LOA-klass med AuthnContextClassRef

För att begära en specifik LOA-klass skicka med klassens uri i AuthnContextClassRef. För definition av LOA-klasser se DIGGs tekniska ramverk

LOA-klasser kan endast nyttjas via IdP som stödjer tekniskt ramverk, se metadata ovan.

För mer information kontakta funktionstjanster@cgi.comVarför finns detta här? Passar det bättre under annat avsnitt eller i FAQ? Är det relevant på en översikt kring SAML/IdP? Ska det flyttas till tidigare avsnitt?

8.

...

1.2 Begär autentiseringsmetod med

...

eid:names

Använd i första hand en IdP som enbart har en autentiseringsmetod

På vår Metadata sida finns fullständig information om vilken IdP som erbjuder vilken metod.

En SP kan i requesten till IdP:n direkt ange vilken autentiseringsmetod som skall användas. Alternativt anropa en IDP som bara har en inloggningsmetod. Nedan beskrivs hur man skickar med metod i AuthnRequest-anropet. Om man listar inloggningsmetoderna i den egna Discovery-tjänsten minimeras det GUI som IdP:n visar till användaren.

I requesten så kan vi ta mot och tolka strängen local.methodideid:names

IdP test har följande möjliga vanliga inloggningsmetoder:

• BankID (på den här enheten) local.methodid.ccp10

• Mobilt BankID (på annan enhet) local.methodid.ccp11

• Telia (inloggning med Net iD) local.methodid.ccp8

• övriga Steria, SignGuard (dubbelriktad ssl): local.methodid.ccp2eid:names:bankid

• Freja eid:names:freja

Exempel: Inloggning med BankID i test.

```xml

   <saml2:AuthnContextClassRef xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">urn:local.methodid.ccp10<:eid:names:bankid</saml2:AuthnContextClassRef>

```

IdP produktion har följande möjliga vanliga inloggningsmetoder:

• BankID (på den här enheten): local.methodid.ccp10

• Mobilt BankID(på annan enhet): local.methodid.ccp11

• Telia e-legitimation: local.methodid.ccp8

• Övriga Steria, SignGuard: local.methodid.ccp1

...

• eid:names:bankid

• Freja eid:names:freja

8.3

...

Personnummer med BankID

Idag skall personnummer

...

Det är även möjligt att skicka med personnummer om man har valt att använda sig av BankID på annan enhet.

```xml https://my.sp/191212121212

```

Varför finns detta här? Passar det bättre under annat avsnitt eller i FAQ? Är det relevant på en översikt kring SAML/IdP? Ska det flyttas till tidigare avsnitt?

8.4 Information kring respektive certifikatsutgivare

Varför finns detta här? Passar det bättre under annat avsnitt eller i FAQ? Är det relevant på en översikt kring SAML/IdP? Ska det flyttas till tidigare avsnitt? Gäller hela 10.5 avsnittet.endast skickas med till BankID vid enstaka use-case gällande signering. Personnummer skall endast skickas då syftet är att låsa QR-koden så att den bara går att scanna med BankID app av personen som startat signering med rörlig QR kod. Detta för att säkerställa att samma individ som startade signeringen är den som avslutar.

8.4 Information kring respektive utfärdare

8.4.1 Telia

Vid inloggning med Telia så försöker den först verifiera att det finns en NetID installation, om den ej finner någon installation av NetID så kommer den försöka med dubbelsidig SSL. Dock måste användaren manuellt som det ser ut idag göra denna bekräftelse.

8.4.2 BankID

BankID hanteras som BankID på samma enhet och BankID på annan enhet.

...

8.

...

4.2.1 BankID på samma enhet

Denna metod använder sig av BankID funktionen autostart.

...

8.

...

4.2.2 BankID på annan enhet

Denna metod kräver att personnumer matas in. Detta kan ske på SP sidan om så önskas. Personnummer måste även skickas med QR kod scannas. QR kod måste också användas vid signering om inloggning skett med BankID på annan enhet.

8.4.3 Freja eID

Freja eID hanteras som en metod som kan användas både på samma enhet med autostart eller på annan enhet med QR-kod

10.5.3 Mobilt BankID, BankID på kort, BankID på fil

Idag accepteras alla typer av BankID, det är dock möjligt att separera dessa om så önskas. Då blir det fler alternativ för användaren som visas på discoverytjänsten.

9 ipv4/ipv6

Vår IdP hanterar både ipv4 och ipv6. Om användaren har dualstack så är det operativsystemet som avgör vilket som kommer användas. Oftast är det ipv6.

...