Loading…
Tilbage

OIOSAML Web SSO Profile 2.1.0


02-12-2020 14:48:22

Her kommer OIOSAML Web SSO Profile 2.1.0 som erstatter OIOSAML 2.0.9.

Ændringerne skyldes at en række attributter vedr. OCES certifikater udfases. Dette er tidligere meldt ud af DIGST til alle nuværende tjenesteudbydere på NemLog-in.

 

Tjenesteudbydere, som er koblet på nuværende OIOSAML 2.0.9 IdP i NemLog-in, bedes forberede sig på, at de med go-live for NemLog-in’s broker (pt. planlagt til i april 2021) ikke længere kan få disse attributter fra NemLog-in.

Dette gælder både for brugere, som logger ind med MitID og NemID.

Hvis tjenesteudbyderes løsninger i dag anvender de pågældende attributter, er der således behov for opdatering af disse løsninger.

 

Fg. attributter udfases:

  • UserCertificate  (urn:oid:1.3.6.1.4.1.1466.115.121.1.8)
  • Certificate issuer               (urn:oid:2.5.29.29)
  • (Certificate) serial number            (urn:oid:2.5.4.5)
  • IsYouthCert         (dk:gov:saml:attribute:IsYouthCert)
  • UniqueAccountKey          (dk:gov:saml:attribute:UniqueAccountKey)
  • Postal address   (urn:oid:2.5.4.16)
  • Title       (urn:oid:2.5.4.12)
  • Organization unit             (urn:oid:2.5.4.11)
  • UserAdministratorIndicator         (dk:gov:saml:attribute:UserAdministratorIndicator)

 Bemærk at NemLog-in3 i en overgangsperiode vil have to aktive SAML IdP’er – én baseret på OIOSAML 2.1.0 og én baseret på OIOSAML 3.0.2.

Filer og referencer

Titel Type
OIO Web SSO Profile V2.1.0.pdf pdf
Profilbillede

Er "OCES Pseudonym" udfaset eller ej?

Anders Aaberg

I vedhæftede pdf står "OCES Pseudonym" som værende udfaset i sektion 8.1.8, men det gør den hverken i dokumentets changelog, i ovenstående liste eller i guiden: https://digst.dk/media/23597/trin-for-trin-guide-test-af-udfasning-af-oces-attributter.pdf

Jeg har tjekket at "OCES Pseudonym" ikke allerede var udfaset i OIO SAML 2.0.9 sektion 8.1.8 jf. https://www.digitaliser.dk/resource/2377872/artefact/OIOWebSSOProfileV209.pdf?artefact=true&PID=2377881


Er "OCES Pseudonym" udfaset eller ej med OIO SAML 2.1.0?

Hej Anders

Der var oprindeligt lagt op til, at OCES Pseudonym attributten skulle udfases grundet den tætte forbindelse til OCES certifikatet beskrevet i OIOSAML 2.0.9 profilen, men attributten vil faktisk overleve med en mindre ændring af semantik (svarende til implementeringen i OIOSAML 3.0.2).  Så når NemLog-in's nuværende OIOSAML 2.0.9 skifter til OIOSAML 2.1.0 snitfladen (august efter seneste tidsplan), kan denne attribut altså fortsat leveres.