Loading…
Tilbage

OIOSAML 3.0 profil (Final version)


Herunder findes OIOSAML 3.0 profilen opdateret på baggrund af den offentlige høring, som har fundet sted i Q4 2018. Profilen har status af endelig og publiceret version.

OIOSAML 3.0 er beskrevet som en ’to-be’ profil, som på sigt vil erstatte OIOSAML 2.0.9. Eksempelvis forventes NemLog-in3 at benytte OIOSAML 3.0 som sin primære snitflade, når den går i drift i 2020, og brugerne overgår fra NemID til MitID.

Der er ligeledes tilføjet en profil til brug mellem en broker og en lokal IdP (Local IdP Profile), der kan anvendes i føderationsscenarier, hvor en brugerorganisation udstiller sin egen IdP.

Bemærk at OIO Basic Privilege Profile også er konsekvensrettet og opdateret til version 1.2, så den følger OIOSAML 3.0. https://www.digitaliser.dk/resource/4391685

 

 

 

Vigtigste opdateringer i profilen

Nedenfor er oplistet de vigtigste ændringer i OIOSAML 3.0 i forhold til seneste 2.0.9 version – der er dog flere ændringer i profilen, så interessenter opfordres til at gennemgå den nye version i detaljer:

  • Profilen har fået en ny struktur med udgangspunkt i SAML2Int profilen fra Kantara Initiative. Herved er fokus på de normative krav fremhævet, så det bliver lettere at vurdere og teste om en implementering lever op til kravene. Yderligere forklaringer og eksempler udgives som tidligere nævnt i en separat vejledning til profilen, så krav adskilles fra forklaringer.
  • Der er defineret to nye attributprofiler for hhv. personer og professionelle (OCES-specifikke attributter udgår), RID og PID fortsætter med status som deprekerede.
  • Identifiers er baseret på UUID’er og Subject feltet bærer altid en tjenesteudbyderspecifik identifier. Herved styrkes privacy-egenskaberne.
  • Krav til kryptografiske algoritmer og nøglelængder er skærpet.
    Håndtering af ‘levels of assurance’ sker i henhold til NSIS og der er indført mulighed for at angive et ønsket sikringsniveau i forespørgsler fra tjenesteudbydere (herunder muligheden for step-up autentifikation).
  • Der er indført krav om support for multiple certifikater i metadatafiler.
  • Det er nu tilladt at anvende et kvalificeret certifikat for en juridisk person i metadata.


Bemærk, at ovenstående ikke er en udtømmende liste over ændringer og således blot kan opfattes som udvalgte eksempler.

 

Om OIOSAML Profilen

SAML 2.0 er en teknisk standard, der beskriver hvordan it-systemer kan udveksle oplysninger om en bruger. Standarden gør det muligt at koble it-systemer fra forskellige organisationer sammen på nye måder, hvilket skaber sammenhæng og mulighed for nye, digitale services. Endvidere opnås en forbedret brugeroplevelse, idet brugerne ikke konstant vil skulle logge sig på systemerne.

OIO Web SSO Profile (OIOSAML) er en dansk specialisering (profil) af SAML, som beskriver hvorledes standarden skal anvendes i dansk sammenhæng - herunder hvordan f.eks. CVR og CPR numre kan anvendes til at identificere virksomheder, borgere og medarbejdere.

OIOSAML har status af ”anbefalet” i OIO kataloget.

Filer og referencer

Titel Type
OIOSAML Web SSO profile 3.0.pdf pdf
OIOSAML Local IdP Profile 1.0.pdf pdf
OIOSAML Local IdP Profile 1.0.1.pdf pdf