Herunder findes OIOSAML 3.0 profilen opdateret på baggrund af den
offentlige høring, som har fundet sted i Q4 2018. Profilen har status
af endelig og publiceret version.
OIOSAML 3.0 er beskrevet som en ’to-be’ profil, som på sigt vil
erstatte OIOSAML 2.0.9. Eksempelvis forventes NemLog-in3 at benytte
OIOSAML 3.0 som sin primære snitflade, når den går i drift i 2020, og
brugerne overgår fra NemID til MitID.
Der er ligeledes tilføjet en profil til brug mellem en broker og en
lokal IdP (Local IdP Profile), der kan anvendes i
føderationsscenarier, hvor en brugerorganisation udstiller sin egen IdP.
Endelig er OIO Basic Privilege Profile konsekvensrettet og opdateret
til version 1.2, så den følger OIOSAML 3.0.
Vigtigste opdateringer i profilen
Nedenfor er oplistet de vigtigste ændringer i OIOSAML 3.0 i forhold
til seneste 2.0.9 version – der er dog flere ændringer i profilen, så
interessenter opfordres til at gennemgå den nye version i detaljer:
- Profilen har fået en ny struktur med udgangspunkt i SAML2Int
profilen fra Kantara Initiative. Herved er fokus på de normative
krav fremhævet, så det bliver lettere at vurdere og teste om en
implementering lever op til kravene. Yderligere forklaringer og
eksempler udgives som tidligere nævnt i en separat vejledning til
profilen, så krav adskilles fra forklaringer.
- Der er defineret to nye attributprofiler for hhv. personer og
professionelle (OCES-specifikke attributter udgår), RID og PID
fortsætter med status som deprekerede.
- Identifiers er baseret på UUID’er og Subject feltet bærer altid en
tjenesteudbyderspecifik identifier. Herved styrkes privacy-egenskaberne.
- Krav til kryptografiske algoritmer og nøglelængder er
skærpet.
Håndtering af ‘levels of assurance’ sker i henhold til
NSIS og der er indført mulighed for at angive et ønsket
sikringsniveau i forespørgsler fra tjenesteudbydere (herunder
muligheden for step-up autentifikation).
- Der er indført krav om support for multiple certifikater i metadatafiler.
- Det er nu tilladt at anvende et kvalificeret certifikat for en
juridisk person i metadata.
Bemærk, at ovenstående ikke er en udtømmende liste over
ændringer og således blot kan opfattes som udvalgte eksempler.
Om OIOSAML Profilen
SAML 2.0 er en teknisk standard, der beskriver hvordan it-systemer
kan udveksle oplysninger om en bruger. Standarden gør det muligt at
koble it-systemer fra forskellige organisationer sammen på nye måder,
hvilket skaber sammenhæng og mulighed for nye, digitale services.
Endvidere opnås en forbedret brugeroplevelse, idet brugerne ikke
konstant vil skulle logge sig på systemerne.
OIO Web SSO Profile (OIOSAML) 2.0 er en dansk specialisering (profil)
af SAML, som beskriver hvorledes standarden skal anvendes i dansk
sammenhæng - herunder hvordan f.eks. CVR og CPR numre kan anvendes til
at identificere virksomheder, borgere og medarbejdere.
OIOSAML 2.0 har status af ”anbefalet” i OIO kataloget.
Filer og referencer