...
Initierad inloggning (Unsolicited Response) stöds ej i eID Verify.
1.5 SLO – Single Logout
Observera att en SP som skickar SLO till IdP:n samtidigt stoppar all fortsatt federering för användaren. En SP måste vara medveten om vad avsikten vid en utloggning är. En utloggning av användaren i SP:s egna system är en sak, men att även sända en SLO kan orsaka problem om användaren har för avsikt att från en federering arbeta vidare hos annan SPSLO skall alltid tillämpas för att säkerställa att sessioner inte lever vidare. Av den anledningen bör alltid kunder som har flera SP där SSO nyttjas skicka SLO.
2 Metadata
Metadata-filer beskriver IdP-funktionen mer formellt och innehåller även certifikatet som används för att signera assertions i både test och i produktion.
...
Vi rekommenderar att varje SP på sina sidor förklarar att tjänsten säker inloggning sker från CGI och att URL på inloggningssidan kommer vara på under funktionstjanster.se
Detta för att vara tydlig till användaren och undvika att användaren blir osäker.
...
Det är möjligt att använda eget domännamn på federationen om så önskas. Då ser era användare t.ex. httphttps://m0x-mg-local.idp.myndighet.se istället för m0x-mg-local.idp.domän under funktionstjanster.se i adressfältet. Kunden behöver delegera en subdomän till funktionstjänsters DNS för att detta ska fungera.
8 Övriga funktioner
8.1
...
Det finns möjlighet att införa kundanpassade sidor på IdP:n med språkstöd. Vilket språk som skall visas styrs av vad som anges i requesten. Alla texter som sen skall visas behöver in i en språkfil alternativ hanteras via CSS med fördel för kundanpassade sidor. Detta är lite arbete att sätta upp, men skall man ha många olika språk är det bäst att göra rätt från början. Fördelen är att alla feltexter då också kommer på rätt språk. För att välja språk i anropet kan "?lang=en" eller "?lang=sv" läggas till på AssertionConsumerServiceUrl i AuthnRequest-anropet.
Det är även möjligt att använda sig av en ”flagga” på sidan som byter språket via länk.
```html /mg-local/setlanguage?lang=en
/mg-local/setlanguage?lang=sv ```
...
Begär en autentiseringsmetod eller LOA-klass
8.
...
1.1 Begär LOA-klass med AuthnContextClassRef
För att begära en specifik LOA-klass skicka med klassens uri i AuthnContextClassRef. För definition av LOA-klasser se DIGGs tekniska ramverk
LOA-klasser kan endast nyttjas via IdP som stödjer tekniskt ramverk, se metadata ovan.
För mer information kontakta funktionstjanster@cgi.com
8.
...
1.2 Begär autentiseringsmetod med
...
eid:names
Använd i första hand en IdP som enbart har en autentiseringsmetod
På vår Metadata sida finns fullständig information om vilken IdP som erbjuder vilken metod.
En SP kan i requesten till IdP:n direkt ange vilken autentiseringsmetod som skall användas. Alternativt anropa en IDP som bara har en inloggningsmetod. Nedan beskrivs hur man skickar med metod i AuthnRequest-anropet. Om man listar inloggningsmetoderna i den egna Discovery-tjänsten minimeras det GUI som IdP:n visar till användaren.
I requesten så kan vi ta mot och tolka strängen local.methodideid:names
IdP test har följande möjliga vanliga inloggningsmetoder:
BankID (på den här enheten) local.methodid.ccp10
Mobilt BankID (på annan enhet) local.methodid.ccp11
Telia (inloggning med Net iD) local.methodid.ccp8
övriga Steria, SignGuard (dubbelriktad ssl): local.methodid.ccp2eid:names:bankid
Freja eid:names:freja
Exempel: Inloggning med BankID i test.
...
| Kodblock |
|---|
<saml2:AuthnContextClassRef xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">urn:local.methodid.ccp10<:eid:names:bankid</saml2:AuthnContextClassRef> |
...
IdP produktion har följande möjliga vanliga inloggningsmetoder:
BankID (på den här enheten): local.methodid.ccp10
Mobilt BankID(på annan enhet): local.methodid.ccp11
Telia e-legitimation: local.methodid.ccp8
Övriga Steria, SignGuard: local.methodid.ccp1eid:names:bankid
Freja eid:names:freja
8.3
...
Personnummer med BankID
Idag skall personnummer
...
Det är även möjligt att skicka med personnummer om man har valt att använda sig av BankID på annan enhet.
```xml https://my.sp/191212121212
```
8.4 Information kring respektive certifikatsutgivare
Varför finns detta här? Passar det bättre under annat avsnitt eller i FAQ? Är det relevant på en översikt kring SAML/IdP? Ska det flyttas till tidigare avsnitt? Gäller hela 10.5 avsnittet.endast skickas med till BankID vid enstaka use-case gällande signering. Personnummer skall endast skickas då syftet är att låsa QR-koden så att den bara går att scanna med BankID app av personen som startat signering med rörlig QR kod. Detta för att säkerställa att samma individ som startade signeringen är den som avslutar.
8.4 Information kring respektive utfärdare
8.4.1 Telia
Vid inloggning med Telia så försöker den först verifiera att det finns en NetID installation, om den ej finner någon installation av NetID så kommer den försöka med dubbelsidig SSL. Dock måste användaren manuellt som det ser ut idag göra denna bekräftelse.
8.4.2 BankID
BankID hanteras som BankID på samma enhet och BankID på annan enhet.
...
8.
...
4.2.1 BankID på samma enhet
Denna metod använder sig av BankID funktionen autostart.
...
8.
...
4.2.2 BankID på annan enhet
Denna metod kräver att personnumer matas in. Detta kan ske på SP sidan om så önskas. Personnummer måste även skickas med QR kod scannas. QR kod måste också användas vid signering om inloggning skett med BankID på annan enhet.
8.4.3 Freja eID
Freja eID hanteras som en metod som kan användas både på samma enhet med autostart eller på annan enhet med QR-kod
10.5.3 Mobilt BankID, BankID på kort, BankID på fil
Idag accepteras alla typer av BankID, det är dock möjligt att separera dessa om så önskas. Då blir det fler alternativ för användaren som visas på discoverytjänsten.
9 ipv4/ipv6
Vår IdP hanterar både ipv4 och ipv6. Om användaren har dualstack så är det operativsystemet som avgör vilket som kommer användas. Oftast är det ipv6.
...