Här beskriver vi CGI:s implementation av SAML i sin Identity Provider (IdP) för en normal standardanslutning. Vänligen kontakta CGI via funktionstjanster@cgi.com om ni vill göra en anslutning som inte följer den standardanslutning som beskrivs i detta dokument eller om ni har frågor av teknisk karaktär och önskar vägledning.
...
Vi rekommenderar att varje SP på sina sidor förklarar att tjänsten säker inloggning sker från CGI och att URL på inloggningssidan kommer vara på under funktionstjanster.se
Detta för att vara tydlig till användaren och undvika att användaren blir osäker.
...
Det är möjligt att använda eget domännamn på federationen om så önskas. Då ser era användare t.ex. https://idp.myndighet.se istället för domän under funktionstjanster.se i adressfältet.
8 Övriga funktioner
8.1
...
Det finns möjlighet att införa kundanpassade sidor på IdP:n med språkstöd. Vilket språk som skall visas styrs av vad som anges i requesten. Alla texter som sen skall visas behöver in i en språkfil alternativ hanteras via CSS med fördel för kundanpassade sidor. Detta är lite arbete att sätta upp, men skall man ha många olika språk är det bäst att göra rätt från början. Fördelen är att alla feltexter då också kommer på rätt språk. För att välja språk i anropet kan "?lang=en" eller "?lang=sv" läggas till på AssertionConsumerServiceUrl i AuthnRequest-anropet.
Det är även möjligt att använda sig av en ”flagga” på sidan som byter språket via länk.
```html /mg-local/setlanguage?lang=en
/mg-local/setlanguage?lang=sv ```
...
Begär en autentiseringsmetod eller LOA-klass
8.
...
1.1 Begär LOA-klass med AuthnContextClassRef
För att begära en specifik LOA-klass skicka med klassens uri i AuthnContextClassRef. För definition av LOA-klasser se DIGGs tekniska ramverk
LOA-klasser kan endast nyttjas via IdP som stödjer tekniskt ramverk, se metadata ovan.
För mer information kontakta funktionstjanster@cgi.com
8.
...
1.2 Begär autentiseringsmetod med
...
eid:names
Använd i första hand en IdP som enbart har en autentiseringsmetod
På vår Metadata sida finns fullständig information om vilken IdP som erbjuder vilken metod.
En SP kan i requesten till IdP:n direkt ange vilken autentiseringsmetod som skall användas. Alternativt anropa en IDP som bara har en inloggningsmetod. Nedan beskrivs hur man skickar med metod i AuthnRequest-anropet. Om man listar inloggningsmetoderna i den egna Discovery-tjänsten minimeras det GUI som IdP:n visar till användaren.
I requesten så kan vi ta mot och tolka strängen local.methodideid:names
IdP test har följande möjliga vanliga inloggningsmetoder:
BankID (på den här enheten) local.methodid.ccp10
Mobilt BankID (på annan enhet) local.methodid.ccp11
Telia (inloggning med Net iD) local.methodid.ccp8
övriga Steria, (dubbelriktad ssl): local.methodid.ccp2eid:names:bankid
Freja eid:names:freja
Exempel: Inloggning med BankID i test.
...
Kodblock |
---|
<saml2:AuthnContextClassRef xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">urn:local.methodid.ccp10<:eid:names:bankid</saml2:AuthnContextClassRef> |
...
IdP produktion har följande möjliga vanliga inloggningsmetoder:
BankID (på den här enheten): local.methodid.ccp10
Mobilt BankID(på annan enhet): local.methodid.ccp11
Telia e-legitimation: local.methodid.ccp8
Övriga Steria, SignGuard: local.methodid.ccp1eid:names:bankid
Freja eid:names:freja
8.3 Personnummer med BankID
Idag skall personnummer endast skickas med till BankID vid enstaka use-case gällande signering. Personnummer skall endast skickas då syftet är att låsa QR-koden så att den bara går att scanna med BankID app av personen som startat signering med rörlig QR kod. Detta för att säkerställa att samma individ som startade signeringen är den som avslutar.
8.4 Information kring respektive
...
utfärdare
8.4.1 Telia
Vid inloggning med Telia så försöker den först verifiera att det finns en NetID installation, om den ej finner någon installation av NetID så kommer den försöka med dubbelsidig SSL. Dock måste användaren manuellt som det ser ut idag göra denna bekräftelse.
...