Loading…
Tilbage

Profilbillede

SAML og UNI-login

Jacob Rohde

Hej

Jeg kigger på mulighederne for at lave en integration af Google Suit app og UNI-login.

Ved studering af Googles dokumentation, kan jeg forstå at det er SAML man bruger til dette (https://support.google.com/a/answer/6262987) og jeg kan se at STIL har snitfladen dertil (https://viden.stil.dk/display/INFRA2/SAML+snitfladebeskrivelse+til+login+og+autentificering)

Jeg tænker dog at det må næsten være lavet før - er der nogle herinde der har viden/erfaring på det område?

Vi har integreret til UniLogin med OIOSAML.NET ligesåvel som til NemLogin. Det fungerer fint. Har ikke prøvet til Google Suit App. 

Hej,

Vi har haft en fungerende integration af OIOSAML.NET til NemLogin i flere år. Nu skal vi også integrere imod UniLogin. Vi har konfigureret vores løsning imod 2 IDP'er og udvekslet metadata med STIL. Vi løber dog i problemer, at SAML Assertions, som UniLogin sender tilbage (efter at man indtaster brugernavn og kodeord) er ikke valide OIOSAML assertions. Vi får den følgende fejl:

: The DK-SAML 2.0 profile requires exactly one "AuthnStatement" element and one "AttributeStatement" element.    at dk.nita.saml20.Validation.DKSaml20AssertionValidator.ValidateStatements(Assertion assertion)    at dk.nita.saml20.Validation.DKSaml20AssertionValidator.ValidateAssertion(Assertion assertion)    at dk.nita.saml20.Saml20Assertion.LoadXml(XmlElement element, IEnumerable`1 trustedSigners)    at dk.nita.saml20.protocol.Saml20SignonHandler.HandleAssertion(HttpContext context, XmlElement elem)    at dk.nita.saml20.protocol.Saml20SignonHandler.HandleResponse(HttpContext context)

Fejlen er der, pga SAML response fra UniLogin ikke indeholder nogle attributer, og ikke noget AttributeStatement, og det kan DKSaml20AssertionValidator ikke lide. Når vi spørger STIL UniLogin Support om hvorfor de ikke leverer nogle attibutter, selv om vi spørger om dem i vores SP metadata og hvorfor der mangler AttributeStatement  i deres SAML response, når der skal være AttributeStatement med i en OIOSAML besked, siger STIL at sådan er UniLogin konfigureret, at de sender kun brugernavn af UniLogin bruger med i assertion, og at de ikke understøtter OIOSAML (derfor behøver de ikke at sender AttributeStatement med) - de understøtter kun almindelig SAML.

Det under mig - hvordan kunne i så integrere til UniLogin med OIOSAML.NET, når OIOSAML.NET ifølge STIL fungerer bare ikke med UniLogin?

Mange tak for hjælpen.

mvh

Juraj

ændret af Juraj Stripaj (02.12.2019)

Jespers integration med UNI-Login var via en ældre OIOSAML 2.0.9-instans, som er lukket på grund af ændringer omkring styringsmodellen for frigivelse af data.

Den tilgængelige UNI-Login "Atlas" SAML-instans indeholder ikke data ud over identifikation af brugeren i NameID og har intet attribute statement.

Det kommende nye UNI-Login tager udgangspunkt i OIOSAML 3.0, men er først tilgængeligt i produktion fra uge 8 2020. 

Hej Steen,

mange tak for dit svar. Jeg glæder mig til at høre om hvordan den nye UniLogin kommer til at se ud - fra tekninsk synspukt på webinaret næste uge. Det ville være godt hvis den kunne understøtte minimum krav i OIOSAML 3.

Den eneste glitch er, at der er (som jeg læser det) endnu ikke lagt planer om, hvornår OIOSAML.NET 3 framework bliver releaset af Digitaliseringsstyrelsen.

 

Tak,

Juraj