Loading…
Tilbage

Profilbillede

Metadatafil: ID under EntityDescriptor

Martin Christiansen

i NemLogins IDP fil for OIOSAML 3 ligger der som en af de første felter under EntityDescriptor et ID felt - ID="_5495b16a-7b17-4411-bba2-832fb12b8fa0" (dvs. i oio_saml_3_test-devtest4-idp-metadata-xml.txt).

Jeg kan se i vores egen metadata fil, for et eksisterende system, at vi også har dette ID felt (med anden værdi). Men jeg kan ikke finde en beskrivelse af hvor denne værdi kommer fra, eller hvad den betyder. Jeg har kigget i OIOSAML Web SSO profile 3.0.3.pdf og OIOSAML Local IdP Profile 1.0.2.pdf.

I forbindelse med oprettelse af et nyt system, er jeg i tvivl om man kan genbruge ID værdien fra vores andet system.

Edit:

Jeg har fundet dk.nita.saml20\Schema\Metadata\EntityDescriptor.cs, hvor ID bliver beskrevet som "A document-unique identifier for the element, typically used as a reference point when signing" og i referencerne sættes den til "id" + Guid.NewGuid().ToString("N");

Dette passer ikke med hvordan idp filen er defineret, men i vores metadatafil starter ID med "id" + noget. NewGuid() lader dog ikke til at være anbefalet til kryptografi.

Når man skal upload en metadatafil på administrations portalen, for flere systemer og både betatest, integration og produktions miljøet, hvornår skal denne ID værdi ændres? 

 

ændret af Martin Christiansen (05.05.2022)

Hej Martin,

ID-element benyttes i forbindelse med signering (XMLDSig) af metadata, som reference til hvilket element der er underskrevet. Da NemLog-in ikke accepterer metadata elementer der er signeret kan denne ignoreres og evt. fjernes. Værdien skal overholde xs:ID, hvorfor man normalt tilføjer et prefiks, f.eks. id eller _, fordi et GUID kan starte med et tal og det må et xs:ID ikke jf. https://www.w3.org/TR/2012/REC-xmlschema11-2-20120405/datatypes.html#ID.

Med venlig hilsen
Morten D. Bech