Info

Der findes en nyere version af resourcen her

OIOSAML 3.0 profil (Final version)

31-01-2019 09:36:54

Herunder findes OIOSAML 3.0 profilen opdateret på baggrund af den offentlige høring, som har fundet sted i Q4 2018. Profilen har status af endelig og publiceret version.

OIOSAML 3.0 er beskrevet som en ’to-be’ profil, som på sigt vil erstatte OIOSAML 2.0.9. Eksempelvis forventes NemLog-in3 at benytte OIOSAML 3.0 som sin primære snitflade, når den går i drift i 2020, og brugerne overgår fra NemID til MitID.

Der er ligeledes tilføjet en profil til brug mellem en broker og en lokal IdP (Local IdP Profile), der kan anvendes i føderationsscenarier, hvor en brugerorganisation udstiller sin egen IdP.

Endelig er OIO Basic Privilege Profile konsekvensrettet og opdateret til version 1.2, så den følger OIOSAML 3.0.

Vigtigste opdateringer i profilen

Nedenfor er oplistet de vigtigste ændringer i OIOSAML 3.0 i forhold til seneste 2.0.9 version – der er dog flere ændringer i profilen, så interessenter opfordres til at gennemgå den nye version i detaljer:

Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives som tidligere nævnt i en separat vejledning til profilen, så krav adskilles fra forklaringer.
Der er defineret to nye attributprofiler for hhv. personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
Identifiers er baseret på UUID’er og Subject feltet bærer altid en tjenesteudbyderspecifik identifier. Herved styrkes privacy-egenskaberne.
Krav til kryptografiske algoritmer og nøglelængder er skærpet.
Håndtering af ‘levels of assurance’ sker i henhold til NSIS og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
Der er indført krav om support for multiple certifikater i metadatafiler.
Det er nu tilladt at anvende et kvalificeret certifikat for en juridisk person i metadata.

Bemærk, at ovenstående ikke er en udtømmende liste over ændringer og således blot kan opfattes som udvalgte eksempler.

Om OIOSAML Profilen

SAML 2.0 er en teknisk standard, der beskriver hvordan it-systemer kan udveksle oplysninger om en bruger. Standarden gør det muligt at koble it-systemer fra forskellige organisationer sammen på nye måder, hvilket skaber sammenhæng og mulighed for nye, digitale services. Endvidere opnås en forbedret brugeroplevelse, idet brugerne ikke konstant vil skulle logge sig på systemerne.

OIO Web SSO Profile (OIOSAML) 2.0 er en dansk specialisering (profil) af SAML, som beskriver hvorledes standarden skal anvendes i dansk sammenhæng - herunder hvordan f.eks. CVR og CPR numre kan anvendes til at identificere virksomheder, borgere og medarbejdere.

OIOSAML 2.0 har status af ”anbefalet” i OIO kataloget.

Filer og referencer

Titel	Type
OIOSAML Web SSO profile 3.0.pdf	pdf
OIOSAML Local IdP Profile 1.0.pdf	pdf
OIOSAML Basic Privilege Profile 1_2.pdf	pdf

OIOSAML.NET og OIOSAML 3 ?

Jesper Niedermann

25. september 2019, 10:51

Spørgsmål vedr. OIOSAML.NET

- Bliver den opdateret i henhold til tidsplanen så man fortsat kan bruge den i forhold til MitId ?

- Er i klar over at UniLogin (ved STIL) også skifter til OIOSAML 3 ? Tager i hensyn til deres tidsplan i forhold til at få en ny OIOSAML.NET ?

- UniLogin vil implementere NSIS 2 - er det også den version i implementerer ? Hvis ikke har det så nogen negativ indflydelse i forhold til brug af OIOSAML.NET ?

- Hvornår kan vi forvente en version af OIOSAML.NET der kan bruges til OIOSAML 3 ?

Log ind for at besvare

Thomas Gundel

29. oktober 2019, 14:47

Hej Jesper, det forventes at referenceimplementeringerne bliver opdateret til den nye 3.0 profil, men tidsplanen herfor er endnu ikke fastlagt.

Log ind for at besvare