SAML 2.0. Anslutning till CGI:s Identity Provider. Arbetsdokument. Konfidentiellt (31) CGI

Storlek: px
Starta visningen från sidan:

Download "SAML 2.0. Anslutning till CGI:s Identity Provider. Arbetsdokument. funktionstjanster@logica.com Konfidentiellt 1.3 2013-10-11 1 (31) CGI"

Transkript

1 SAML 2.0 Anslutning till CGI:s Identity Provider (31)

2 Ändringshistorik Version Kommentar Infört lite tips Uppdaterat metadata Några förändringar under september: KeyInfo är nu inkluderat i SAMLResponse och innehåller det certifikat som signerat responsen. Ispassive infört i profilen Nya ssl och signeringscertifikat från den 25/11. (Samma CA och samma CN) Uppdaterar bl.a. metadata information till senaste version, exempel på programvaror etc Uppdaterar attribut Uppdatera adresser IdP företag + tips Certifikatsbyte IdP Signerat metadata i IdP Språkliga justeringar Ny adress för produktionsmiljö IdP validation.response & validation.type Uppdaterat metadata. cacheduration infört Omarbetning av dokument (31)

3 Innehållsförteckning 1 CGI:S IMPLEMENTERING AV SAML I IDP INTRODUKTION ÖVERSIKT SAML 2.0 PROFILES SAML 2.0 BINDINGS SSO SINGLE SIGN-ON IDP-INITIERAD INLOGGNING (UNSOLICITED RESPONSE) SLO SINGLE LOGOUT METADATA (EXEMPEL) METADATA IDP TEST (FÖR PRIVATA E-LEGITIMATIONER) METADATA IDP TEST (FÖR E-TJÄNSTELEGITIMATIONER) METADATA IDP PRODUKTION (FÖR PRIVATA E-LEGITIMATIONER) METADATA IDP FÖRETAG PRODUKTION (FÖR E-TJÄNSTELEGITIMATIONER) SAML-ATTRIBUT E-LEGITIMATIONER FÖR PRIVATPERSONER E-TJÄNSTELEGITIMATIONER EXEMPELMEDDELANDEN IDP TEST AUTHENTICATION REQUEST AUTHENTICATION RESPONSE LOGOUT REQUEST LOGOUT RESPONSE EXEMPELMEDDELANDEN IDP PRODUKTION AUTHENTICATION REQUEST AUTHENTICATION RESPONSE LOGOUT REQUEST LOGOUT RESPONSE AUTHENTICATION RESPONSE LOGIN FAIL ANSLUTNING CERTIFIKAT FÖR ATT VERIFIERA XML-DSIG KUNDANPASSAD SIDA PÅ IDP (31)

4 7.1 FÖRKLARING MELLANSIDAN TYDLIGHET ATT INLOGGNING SKER PÅ ANNAN DOMÄN KUNDINFORMATION VID STÖRNINGAR TIPS SE VAD SOM SKICKAS/POSTAS VID TESTER FELSÖKA SAML I FIREFOX SAML TRACER UTF-8 ENCODNING PROBLEM MED WEBBLÄSARE EXEMPEL PÅ SP PROGRAMVAROR LICENSIERADE PRODUKTER SVENSKA LEVERANTÖRER LICENSIERADE PRODUKTER INTERNATIONELLA LEVERANTÖRER LICENSIERADE KOMPONENTER - TOOLKIT OPEN SOURCE ÖVRIGA FUNKTIONER (31)

5 1 CGI:s implementering av SAML i IdP 1.1 Introduktion Detta dokument beskriver CGI:s implementation av SAML i sin Identity Provider (IdP) för en normal standardanslutning. För specifikationer och generell information om SAML hänvisas till OASIS på Vänligen kontakta CGI på om ni vill göra en anslutning som inte följer den standardanslutning som beskrivs i detta dokument. 1.2 Översikt CGI:s IdP-tjänst baseras på en SAML 2.0 standard med vissa givna profiler. Kunder som litar på vår IdP kallas för Service Provider (SP) och måste kunna hantera de protokoll och profiler som IdP-tjänsten hanterar. 1.3 SAML 2.0 Profiles SAML specificerar ett antal profiler som beskriver olika användningsfall. CGI stödjer två profiler: Web browser SSO - och Single Logout SLO -profilerna. 1.4 SAML 2.0 Bindings I SAML 2.0 finns ett antal så kallade bindings, olika sätt som meddelanden mellan SP och IdP utbyts på. Vi använder normalt två av dessa sätt i en standardanslutning. I SSO-profilen används HTTP Redirect (GET) för SP och på IdP används HTTP POST. I SLO-profilen används bindningen HTTP POST både i SLO Request och Response (31)

6 1.5 SSO Single Sign-On Vid vanlig SP-initierad inloggning: 1. Klienten hämtar en sida som kräver autentisering. 2. SP kontrollerar om klienten har en inloggad session. Om ej, genereras ett SAML authentication request -meddelande och klienten riktas om till IdP med meddelandet. 3. Klienten skickar authentication request -meddelandet med GET-metoden till IdP. 4. Om klienten inte redan är inloggad mot IdP tillkommer steg för eventuellt val av autentiseringmetod samt autentisering. 5. Efter autentiseringen skickas en webbsida tillbaka till klienten. Webbsidan innehåller responsen samt kod för att klienten skall posta den till SP. 6. Responsen postas till SP. 7. SP kontrollerar att responsen stämmer. Om den stämmer loggas användaren in och den önskade sidan returneras (31)

7 1.6 IdP-initierad inloggning (Unsolicited Response) Det går även att använda så kallad IdP-initierad inloggning till en SP-tjänst. Detta kan nyttjas i vissa specialtillämpningar men det tillhör inte normal standardanslutning, så vänligen diskutera detta med CGI innan ni implementerar detta. IdP-initierad inloggning använder RelayState-parametern för enklare informationsöverföring mellan två olika SP. För att få IdP:n att skicka en unsolicited response till en SP behöver man bara skicka en GET-request till en viss sida på IdP:n med uppgift om SP-id (spid). Det vill säga, en SP behöver bara visa upp en länk till en annan SP. Exempel på hur en sådan länk för mål-sp (spid=7) i enklaste fall kan se ut: https://m00-mglocal.idptest.funktionstjanster.se/samlv2/idp/unsolresp?idpid=0&spid=7&sprelaystate=abc12 3 Parametrar spid idpid skall sättas till det id som mål-sp:n har på IdP:n. Detta fås av CGI. är i normalfallet =0 (den IdP som hanterar privata e-legitimationer). sprelaystate kan innehålla det värde som man vill skicka vidare (oförändrat) som relaystate till mål-sp:n. Vad som skall skickas som relaystate är upp till mål-sp:n att specificera. Ett förslag är att base64-encoda och sedan URL-encoda den mål-path som skall användas. För att IdP:n ska kunna skicka vidare måste relaystate vara URL-encodat, och det är så som länken ovan är utformad. I ett normalt användarfall är användaren redan inloggad i IdP:n och möjligheten till IdPinitierad inloggning används för vidare federering. Om man vill testa IdP-initierad inloggning mot en SP måste denna vara konfigurerad i IdP test så att man får ett unikt spid. AssertionURL och Audience (saml:issuer) behövs då. 1.7 SLO Single Logout Observera att en SP som skickar SLO till IdP:n samtidigt stoppar all fortsatt federering för användaren. En SP måste vara medveten om vad avsikten vid en utloggning är. En utloggning av användaren i SP:s egna system är en sak, men att även sända en SLO kan orsaka problem om användaren har för avsikt att från en federering arbeta vidare hos annan SP (31)

8 2 Metadata (exempel) Metadata-filerna beskriver IdP-funktionen mer formellt och innehåller även certifikatet som används för att signera assertions i både test och i produktion. Vi rekommenderar att ni i ert SP-system antingen har en tydlig rutin för att manuellt uppdatera med ny metadata från IdP:n eller att ni bygger in en automatisk hämtning av ny metadatafil när validuntil har gått ut. Ibland måste metadatat ändras, exempelvis när certifikatet på IdP:n går ut och måste bytas. Om någon viktig förändring kommer ske i metadatafilen går CGI ut med information till alla kunder i förväg. Ta alltid ut metadata direkt från IdP test eller IdP produktion för att vara säker på att få senaste version. Content type = XML. Exemplen nedan visar hur metadatat såg ut Metadata IdP test (för privata e-legitimationer) https://m00-mg-local.testidp.funktionstjanster.se/samlv2/idp/metadata/0/0 - <md:entitydescriptor xmlns:md="urn:oasis:names:tc:saml:2.0:metadata" ID="_010ab0d1bd96efef01de8bec62c7157d88" cacheduration="pt12h0m0.000s" entityid="https://m00-mg-local.testidp.funktionstjanster.se/samlv2/idp/metadata/0/0"> - <ds:signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:signedinfo> <ds:canonicalizationmethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> <ds:signaturemethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /> - <ds:reference URI="#_010ab0d1bd96efef01de8bec62c7157d88"> - <ds:transforms> <ds:transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> <ds:transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> </ds:transforms> <ds:digestmethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /> <ds:digestvalue>vsu8oprlzjxlogxrhlfnspnhbdq=</ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue>nkrm06ucdticy/efrvav3cawx/iyfmzssu5xdv211fcoa+on73up/fzoy3gslmfkphgeuzl2p/hafxzdyvt1wf7dw9b S5LOFSVtRwFOGzunOXGo7a0yS7GDp99hSEUkP7PjATs/IMnUElG/qbbKoWLl+9SZolAVFZms3ns3f7nSkCW0XNoHoVOS/97/M/ZvSff0CTc1dobHX/E Pt+LjUNFRnseGz1VPgKiOow+KMKvSXXR0R0KlKfEjUvUTalx9JjAppVmTJfQcFKgL77bNlikhE1kOUOh+0f/WEt/cxDUbL1ZOhUkyqNB8Cj5dmCEZ19Wb pqenfmznsrlyqlr0a0w==</ds:signaturevalue> - <ds:keyinfo> - <ds:x509data> <ds:x509certificate>miie+tcca+ggawibagidaqnema0gcsqgsib3dqebbquamdwxczajbgnvbaytalvtmrcwfqydvqqk Ew5HZW9UcnVzdCwgSW5jLjEUMBIGA1UEAxMLUmFwaWRTU0wgQ0EwHhcNMTEwODAyMjM1ODI4WhcN MTQxMDA0MDgxNjI3WjCB8zEpMCcGA1UEBRMgNzlGUGVSWVhOT0ttLWNOSmxjYm83aTdzMzVIOTNH MmQxCzAJBgNVBAYTAlNFMR8wHQYDVQQKDBYqLmZ1bmt0aW9uc3RqYW5zdGVyLnNlMRMwEQYDVQQL EwpHVDU5MzM1NzUzMTEwLwYDVQQLEyhTZWUgd3d3LnJhcGlkc3NsLmNvbS9yZXNvdXJjZXMvY3Bz IChjKTExMS8wLQYDVQQLEyZEb21haW4gQ29udHJvbCBWYWxpZGF0ZWQgLSBSYXBpZFNTTChSKTEf MB0GA1UEAwwWKi5mdW5rdGlvbnN0amFuc3Rlci5zZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC AQoCggEBAKoQY1RrIxhIElWcodEQYwNT8hcLQI9iE1mJXabEC+wjQYVjdykTUTWkaS/fV1Fwl9Cj ep7wgbrl9hduk/puafsihbqrdbiolyglkgjerzz9n/6fa7kon5kulpy3rl6kuieutpovs+30vv5h A3ENmTjA/932yb37sDK+e40qcI1JYPJDiNSgDzjNMLPyeoEXWwXE0DfgHNcWZEJl5ID3l6eFniNu ozwcrccg1pye557n9irzjtq4qffpfvth52xhfit84svelxgotmpgutnmjy1h6n2gc3b4hcukaf1a 53uAxSIUOGmr95gnP3GS36pX9Md8jec7Ff3w3dqlxpdC9Q8CAwEAAaOCAUowggFGMB8GA1UdIwQY MBaAFGtpPWoYQkrdjwJlOf01JIZ4kRYwMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEF BQcDAQYIKwYBBQUHAwIwNwYDVR0RBDAwLoIWKi5mdW5rdGlvbnN0amFuc3Rlci5zZYIUZnVua3Rp b25zdgphbnn0zxiuc2uwqwydvr0fbdwwoja4odagniyyahr0cdovl3jhcglkc3nslwnybc5nzw90 cnvzdc5jb20vy3jscy9yyxbpzhnzbc5jcmwwhqydvr0obbyefnnekfamkcpomac35b0mdv1xwybk MAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsGAQUFBzAChi1odHRwOi8vcmFwaWRz (31)

9 c2wtywlhlmdlb3rydxn0lmnvbs9yyxbpzhnzbc5jcnqwdqyjkozihvcnaqefbqadggebafg11w31 DlRR/HlJjJnJelWi0iDcSU5LHR6rIKexugjU92CaIq6m+hHwHBTGjI5dqgpi/zkeiD/WHeRnqEWl k89n94hg+vno96t+ob61vytqozcbxggavqf/npxvhdzdy7w7pfvapy3xynfwbrczs8n8+un9fnvl x6smokwhiwgjya6eesbl/tvqabjvjnjjpi9djzepvjhp3e3wqevurgp5kefadtt8uysesxmwasvk 0K/Sh40C0wp4fTLlKlTKvsq7nAsH8UefDhjFLOuCATPpB3Ix4aMEyOnHohBLY9rV+1nQOUGEUNFV bpj5j4hshpm22vf5ndlgbf5yggbclzo=</ds:x509certificate> </ds:x509data> </ds:keyinfo> </ds:signature> - <md:idpssodescriptor WantAuthnRequestsSigned="false" protocolsupportenumeration="urn:oasis:names:tc:saml:2.0:protocol"> - <md:keydescriptor use="signing"> - <ds:keyinfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:x509data> <ds:x509certificate>miie+tcca+ggawibagidaqnema0gcsqgsib3dqebbquamdwxczajbgnvbaytalvtmrcwfqydvqqkew5hzw9uc nvzdcwgsw5jljeumbiga1ueaxmlumfwawrtu0wgq0ewhhcnmtewodaymjm1odi4whcnmtqxmda0mdgxnji3wjcb8zepmccga1uebrmgnzlgu GVSWVhOT0ttLWNOSmxjYm83aTdzMzVIOTNHMmQxCzAJBgNVBAYTAlNFMR8wHQYDVQQKDBYqLmZ1bmt0aW9uc3RqYW5zdGVyLnNlMRMwEQYD VQQLEwpHVDU5MzM1NzUzMTEwLwYDVQQLEyhTZWUgd3d3LnJhcGlkc3NsLmNvbS9yZXNvdXJjZXMvY3BzIChjKTExMS8wLQYDVQQLEyZEb21haW4 gq29udhjvbcbwywxpzgf0zwqglsbsyxbpzfnttchsktefmb0ga1ueawwwki5mdw5rdglvbnn0amfuc3rlci5zztccasiwdqyjkozihvcnaqebbq ADggEPADCCAQoCggEBAKoQY1RrIxhIElWcodEQYwNT8hcLQI9iE1mJXabEC+wjQYVjdykTUTWkaS/fV1Fwl9Cjep7wGbrl9HDUk/PUAFSiHbqrDBioLY GLkgJeRZz9N/6fA7KoN5KUlPy3Rl6kUieUTPOVS+30Vv5HA3ENmTjA/932yb37sDK+e40qcI1JYPJDiNSgDzjNMLPyeoEXWwXE0DfgHNcWZEJl5ID3l6 efninuozwcrccg1pye557n9irzjtq4qffpfvth52xhfit84svelxgotmpgutnmjy1h6n2gc3b4hcukaf1a53uaxsiuogmr95gnp3gs36px9md8jec7ff3w 3dqlxpdC9Q8CAwEAAaOCAUowggFGMB8GA1UdIwQYMBaAFGtpPWoYQkrdjwJlOf01JIZ4kRYwMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBgg rbgefbqcdaqyikwybbquhawiwnwydvr0rbdawloiwki5mdw5rdglvbnn0amfuc3rlci5zzyiuznvua3rpb25zdgphbnn0zxiuc2uwqwydvr0fbd wwoja4odagniyyahr0cdovl3jhcglkc3nslwnybc5nzw90cnvzdc5jb20vy3jscy9yyxbpzhnzbc5jcmwwhqydvr0obbyefnnekfamkcpomac35b0 Mdv1xWybKMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsGAQUFBzAChi1odHRwOi8vcmFwaWRzc2wtYWlhLmdlb3RydXN0LmN vbs9yyxbpzhnzbc5jcnqwdqyjkozihvcnaqefbqadggebafg11w31dlrr/hljjjnjelwi0idcsu5lhr6rikexugju92caiq6m+hhwhbtgji5dqgpi/zkei D/WHeRnqEWlk89n94hg+VNo96t+Ob61vYTqozCBXggavqF/npXVHdzDY7w7PFVapY3xyNfWBrCzs8N8+UN9fNvlx6sMOkWHIwGJyA6EeSBl/TVQaB JvJNjjpI9DjZePVJhP3e3WqevURGP5kEFadTT8uYSeSXmWAsvK0K/Sh40C0wp4fTLlKlTKvsq7nAsH8UefDhjFLOuCATPpB3Ix4aMEyOnHohBLY9rV+1n QOUGEUNFVbpJ5j4HShpM22vf5ndLgBf5yGgBClzo=</ds:X509Certificate> </ds:x509data> <ds:keyname>idp Funktionstjanster chain.funktionstjanster.se.crt</ds:KeyName> </ds:keyinfo> </md:keydescriptor> <md:singlelogoutservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://m00-mglocal.testidp.funktionstjanster.se/samlv2/idp/sloreq/0/0?mgvhostparam=0" ResponseLocation="https://m00-mglocal.testidp.funktionstjanster.se/samlv2/idp/sloresp/0/0?mgvhostparam=0" /> <md:singlelogoutservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://m00-mglocal.testidp.funktionstjanster.se/samlv2/idp/sloreq/0/0?mgvhostparam=0" ResponseLocation="https://m00-mglocal.testidp.funktionstjanster.se/samlv2/idp/sloresp/0/0?mgvhostparam=0" /> <md:nameidformat>urn:oasis:names:tc:saml:2.0:nameidformat:transient</md:nameidformat> <md:singlesignonservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://m00-mglocal.testidp.funktionstjanster.se/samlv2/idp/req/0/0?mgvhostparam=0" /> <md:singlesignonservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://m00-mglocal.testidp.funktionstjanster.se/samlv2/idp/req/0/0?mgvhostparam=0" /> </md:idpssodescriptor> </md:entitydescriptor> 2.2 Metadata IdP test (för e-tjänstelegitimationer) https://m00-mg-local.testidp.funktionstjanster.se/samlv2/idp/metadata/1/ (31)

10 2.3 Metadata IdP produktion (för privata e-legitimationer) https://m00-mg-local.idp.funktionstjanster.se/samlv2/idp/metadata/0/0 - <md:entitydescriptor xmlns:md="urn:oasis:names:tc:saml:2.0:metadata" ID="_0392f48c236f7b2866a0ab679ff36f456f" cacheduration="pt12h0m0.000s" entityid="https://m00-mg-local.idp.funktionstjanster.se/samlv2/idp/metadata/0/0"> - <ds:signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:signedinfo> <ds:canonicalizationmethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> <ds:signaturemethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /> - <ds:reference URI="#_0392f48c236f7b2866a0ab679ff36f456f"> - <ds:transforms> <ds:transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> <ds:transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> </ds:transforms> <ds:digestmethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /> <ds:digestvalue>34uourhvt6yd5makl5/bqao8er8=</ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue>zdwwozl81s3fw+xt/fajjharvkw+dpyh3ybr/qkqg2sbpr7jsqdvt9zxl4lxqpvjmvsanz8w6qpc7one7myehqnzx/ g6r4plrcbxu26+btdbc3qshlogpuin3hhuyf6ef0hpawnxbnsed/hb65oluy0um+sk9cfuaarwtkekpjteubitcbwwv99+zy1y28hc/eazxaltg7kt4xu EWm3C99WFk+Zj+CJJcpLqrqncCO0tGhJIJAWBCIZqpYxaQnuMHWpCCs6uHBbpSQHOuJF+sdcKuMn+6+ZuXN1031Ln9xneKhH93XHbh7G3LuUYuM2 v56nwutgnn/ikjvc3skgnvq==</ds:signaturevalue> - <ds:keyinfo> - <ds:x509data> <ds:x509certificate>miie+tcca+ggawibagidaqnema0gcsqgsib3dqebbquamdwxczajbgnvbaytalvtmrcwfqydvqqk Ew5HZW9UcnVzdCwgSW5jLjEUMBIGA1UEAxMLUmFwaWRTU0wgQ0EwHhcNMTEwODAyMjM1ODI4WhcN MTQxMDA0MDgxNjI3WjCB8zEpMCcGA1UEBRMgNzlGUGVSWVhOT0ttLWNOSmxjYm83aTdzMzVIOTNH MmQxCzAJBgNVBAYTAlNFMR8wHQYDVQQKDBYqLmZ1bmt0aW9uc3RqYW5zdGVyLnNlMRMwEQYDVQQL EwpHVDU5MzM1NzUzMTEwLwYDVQQLEyhTZWUgd3d3LnJhcGlkc3NsLmNvbS9yZXNvdXJjZXMvY3Bz IChjKTExMS8wLQYDVQQLEyZEb21haW4gQ29udHJvbCBWYWxpZGF0ZWQgLSBSYXBpZFNTTChSKTEf MB0GA1UEAwwWKi5mdW5rdGlvbnN0amFuc3Rlci5zZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC AQoCggEBAKoQY1RrIxhIElWcodEQYwNT8hcLQI9iE1mJXabEC+wjQYVjdykTUTWkaS/fV1Fwl9Cj ep7wgbrl9hduk/puafsihbqrdbiolyglkgjerzz9n/6fa7kon5kulpy3rl6kuieutpovs+30vv5h A3ENmTjA/932yb37sDK+e40qcI1JYPJDiNSgDzjNMLPyeoEXWwXE0DfgHNcWZEJl5ID3l6eFniNu ozwcrccg1pye557n9irzjtq4qffpfvth52xhfit84svelxgotmpgutnmjy1h6n2gc3b4hcukaf1a 53uAxSIUOGmr95gnP3GS36pX9Md8jec7Ff3w3dqlxpdC9Q8CAwEAAaOCAUowggFGMB8GA1UdIwQY MBaAFGtpPWoYQkrdjwJlOf01JIZ4kRYwMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEF BQcDAQYIKwYBBQUHAwIwNwYDVR0RBDAwLoIWKi5mdW5rdGlvbnN0amFuc3Rlci5zZYIUZnVua3Rp b25zdgphbnn0zxiuc2uwqwydvr0fbdwwoja4odagniyyahr0cdovl3jhcglkc3nslwnybc5nzw90 cnvzdc5jb20vy3jscy9yyxbpzhnzbc5jcmwwhqydvr0obbyefnnekfamkcpomac35b0mdv1xwybk MAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsGAQUFBzAChi1odHRwOi8vcmFwaWRz c2wtywlhlmdlb3rydxn0lmnvbs9yyxbpzhnzbc5jcnqwdqyjkozihvcnaqefbqadggebafg11w31 DlRR/HlJjJnJelWi0iDcSU5LHR6rIKexugjU92CaIq6m+hHwHBTGjI5dqgpi/zkeiD/WHeRnqEWl k89n94hg+vno96t+ob61vytqozcbxggavqf/npxvhdzdy7w7pfvapy3xynfwbrczs8n8+un9fnvl x6smokwhiwgjya6eesbl/tvqabjvjnjjpi9djzepvjhp3e3wqevurgp5kefadtt8uysesxmwasvk 0K/Sh40C0wp4fTLlKlTKvsq7nAsH8UefDhjFLOuCATPpB3Ix4aMEyOnHohBLY9rV+1nQOUGEUNFV bpj5j4hshpm22vf5ndlgbf5yggbclzo=</ds:x509certificate> </ds:x509data> </ds:keyinfo> </ds:signature> - <md:idpssodescriptor WantAuthnRequestsSigned="false" protocolsupportenumeration="urn:oasis:names:tc:saml:2.0:protocol"> - <md:keydescriptor use="signing"> - <ds:keyinfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:x509data> <ds:x509certificate>miie+tcca+ggawibagidaqnema0gcsqgsib3dqebbquamdwxczajbgnvbaytalvtmrcwfqydvqqkew5hzw9uc nvzdcwgsw5jljeumbiga1ueaxmlumfwawrtu0wgq0ewhhcnmtewodaymjm1odi4whcnmtqxmda0mdgxnji3wjcb8zepmccga1uebrmgnzlgu GVSWVhOT0ttLWNOSmxjYm83aTdzMzVIOTNHMmQxCzAJBgNVBAYTAlNFMR8wHQYDVQQKDBYqLmZ1bmt0aW9uc3RqYW5zdGVyLnNlMRMwEQYD VQQLEwpHVDU5MzM1NzUzMTEwLwYDVQQLEyhTZWUgd3d3LnJhcGlkc3NsLmNvbS9yZXNvdXJjZXMvY3BzIChjKTExMS8wLQYDVQQLEyZEb21haW4 gq29udhjvbcbwywxpzgf0zwqglsbsyxbpzfnttchsktefmb0ga1ueawwwki5mdw5rdglvbnn0amfuc3rlci5zztccasiwdqyjkozihvcnaqebbq ADggEPADCCAQoCggEBAKoQY1RrIxhIElWcodEQYwNT8hcLQI9iE1mJXabEC+wjQYVjdykTUTWkaS/fV1Fwl9Cjep7wGbrl9HDUk/PUAFSiHbqrDBioLY GLkgJeRZz9N/6fA7KoN5KUlPy3Rl6kUieUTPOVS+30Vv5HA3ENmTjA/932yb37sDK+e40qcI1JYPJDiNSgDzjNMLPyeoEXWwXE0DfgHNcWZEJl5ID3l6 efninuozwcrccg1pye557n9irzjtq4qffpfvth52xhfit84svelxgotmpgutnmjy1h6n2gc3b4hcukaf1a53uaxsiuogmr95gnp3gs36px9md8jec7ff3w 3dqlxpdC9Q8CAwEAAaOCAUowggFGMB8GA1UdIwQYMBaAFGtpPWoYQkrdjwJlOf01JIZ4kRYwMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBgg (31)

11 rbgefbqcdaqyikwybbquhawiwnwydvr0rbdawloiwki5mdw5rdglvbnn0amfuc3rlci5zzyiuznvua3rpb25zdgphbnn0zxiuc2uwqwydvr0fbd wwoja4odagniyyahr0cdovl3jhcglkc3nslwnybc5nzw90cnvzdc5jb20vy3jscy9yyxbpzhnzbc5jcmwwhqydvr0obbyefnnekfamkcpomac35b0 Mdv1xWybKMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsGAQUFBzAChi1odHRwOi8vcmFwaWRzc2wtYWlhLmdlb3RydXN0LmN vbs9yyxbpzhnzbc5jcnqwdqyjkozihvcnaqefbqadggebafg11w31dlrr/hljjjnjelwi0idcsu5lhr6rikexugju92caiq6m+hhwhbtgji5dqgpi/zkei D/WHeRnqEWlk89n94hg+VNo96t+Ob61vYTqozCBXggavqF/npXVHdzDY7w7PFVapY3xyNfWBrCzs8N8+UN9fNvlx6sMOkWHIwGJyA6EeSBl/TVQaB JvJNjjpI9DjZePVJhP3e3WqevURGP5kEFadTT8uYSeSXmWAsvK0K/Sh40C0wp4fTLlKlTKvsq7nAsH8UefDhjFLOuCATPpB3Ix4aMEyOnHohBLY9rV+1n QOUGEUNFVbpJ5j4HShpM22vf5ndLgBf5yGgBClzo=</ds:X509Certificate> </ds:x509data> <ds:keyname>idp Funktionstjanster chain.funktionstjanster.se.crt</ds:KeyName> </ds:keyinfo> </md:keydescriptor> <md:singlelogoutservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://m00-mglocal.idp.funktionstjanster.se/samlv2/idp/sloreq/0/0?mgvhostparam=0" ResponseLocation="https://m00-mglocal.idp.funktionstjanster.se/samlv2/idp/sloresp/0/0?mgvhostparam=0" /> <md:singlelogoutservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://m00-mglocal.idp.funktionstjanster.se/samlv2/idp/sloreq/0/0?mgvhostparam=0" ResponseLocation="https://m00-mglocal.idp.funktionstjanster.se/samlv2/idp/sloresp/0/0?mgvhostparam=0" /> <md:nameidformat>urn:oasis:names:tc:saml:2.0:nameidformat:transient</md:nameidformat> <md:singlesignonservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://m00-mglocal.idp.funktionstjanster.se/samlv2/idp/req/0/0?mgvhostparam=0" /> <md:singlesignonservice Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://m00-mglocal.idp.funktionstjanster.se/samlv2/idp/req/0/0?mgvhostparam=0" /> </md:idpssodescriptor> </md:entitydescriptor> 2.4 Metadata IdP företag produktion (för e- tjänstelegitimationer) https://m00-mg-local.idp.funktionstjanster.se/samlv2/idp/metadata/ (31)

12 3 SAML-attribut 3.1 e-legitimationer för privatpersoner CGI har tagit hänsyn till den information som finns i privata e-legitimationer med statlig legitimitet i Sverige samt även arbetet inom EU kring federeringslösningar. Nya SAMLattribut kan komma att tillkomma. Alla attribut i SAML-biljetten kommer direkt från certifikatet, och i vissa fall är det delar av datat i certifikatet som är utmappat. Attribut från externa datakällor kan framöver också komma att läggas in som tilläggstjänst. (Värdet OSIF: motsvarar samma parameter enligt OSIF 2.1 standarden.) saml:attribute Name Beskrivning Subject_SerialNumber Svenskt personnummer med 12 siffror. OSIF: Subject.SerialNumber Subject_GivenName Förnamn. Ett eller flera, beror på olika CA. OSIF: Subject.GivenName Subject_Surname Efternamn. OSIF: Subject.Surname Subject_CommonName För- och efternamn. OSIF: Subject.commonName (if included) Subject_CountryName Landskod, SE=Sverige OSIF: Subject.CountryName Gender F (female)/m (male) Använd näst sista siffran i personnumret: Jämn siffra F, udda siffra M. dateofbirth YYYYMMDD (ISO 8601). 8 första siffrorna i Subject_SerialNumber age Ålder i år. Räknas fram från 8 första siffrorna i Subject_SerialNumber Issuer_CommonName Namn på CA. OSIF: Issuer.CommonName Issuer_OrganizationName Organisationsnamn på CA (Utgivaren av e- legitimationen). OSIF: Issuer.OrganizationName SecurityLevelDescription Inloggningsmetodens läsbara namn. Text beskrivning av autentiseringsmetod. OSIF: securitylevel.description SecurityLevel 3 för e-legitimation på fil och 4 för e-legitimation på kort. OSIF: security.level ValidationOcspResponce Skall tas bort. Ersatt med ValidationType och ValidationResponse (31)

13 sn_id Personnummer med 10 siffror istället för 12 (position 3-12 i OSIF:Subject.SerialNumber). sn_type Skall tas bort använd ej CertificateSerialNumber e-legitimationen/klientcertifikatets unika serienummer. Kan användas främst i forensic syfte. OSIF: SerialNumber Förväxla ej med personnummer i Subject_SerialNumber Subject_OrganisationName Skall tas bort använd ej ValidationType Om revokeringskontroll skett med OCSP eller CRL. OSIF:validation.type ValidationResponse Signerat kvitto från CA om spärrkontroll skett med OCSP, eller information om vilken CRL som använts. OSIF:validation.response 3.2 e-tjänstelegitimationer Vi har tagit hänsyn till den information som finns i de e-tjänstelegitimationer som idag har en spridning i Sverige, utgivna av Steria och SITHS. eid-tjänsten har en IdP speciellt för e-tjänstelegitimationer, IdP företag. saml:attribute Name Subject_SerialNumber Subject_GivenName Subject_Surname Subject_CommonName Subject_OrganisationName Subject_LocalityName Subject_CountryName Subject_EmployeeID Subject_ Adress Subject_Title Beskrivning Kan se lite olika ut för respektive CA, men innehåller bl.a. organisationsnummer. Hela strängen är dock unik för den användaren i den organisationen. OSIF: Subject.SerialNumber Förnamn. Ett eller flera, beror på olika CA. OSIF: Subject.GivenName Efternamn OSIF: Subject.Surname Kan se olika ut beroende på CA. Normalt namn, titel och firmanamn. Bygg ingen logik kring detta. OSIF: Subject.commonName (if included) Juridiskt firmanamn. OSIF: Subject.OrganizationName Geografisk ort. OSIF: usercert.subject.localityname (if included) Landskod, SE=Sverige. OSIF: Subject.CountryName Ett unikt id för individen i den organisationen. Kan vara ett anställningsnummer. position 13- slut i OSIF: Subject.SerialNumber e-postaddress. OSIF:Subject. (if included) Titel. Kan vara både text på en satt titel, eller en titelkod enligt SSYK (31)

14 OSIF: usercert.subject.title (if included) Issuer_CommonName Namn på CA.. OSIF: Issuer.CommonName Issuer_OrganisationName Organisationsnamn på CA (Utgivaren av e- legitimationen). OSIF: Issuer.OrganizationName SecurityLevelDescription Inloggningsmetodens läsbara namn. Text beskrivning av autentiseringsmetod. OSIF: securitylevel.description SecurityLevel 3 för e-legitimation på fil och 4 för e-legitimation på kort. OSIF: security.level ValidationOcspResponse Skall tas bort. Ersatt med ValidationType och ValidationResponse. CertificateSerialNumber e-tjänstelegitimationens unika serienummer. Kan användas främst i forensic syfte. OSIF: SerialNumber Subject_OrganisationNumber Organisationsnummer, 10-siffror. ValidationType Om revokeringskontroll skett med OCSP eller CRL. OSIF:validation.type ValidationResponse Signerat kvitto från CA om spärrkontroll skett med OCSP, eller information om vilken CRL som använts. OSIF:validation.response (31)

15 4 Exempelmeddelanden IdP test Exempel på meddelanden från testmiljön: Authentication Request, Authentication Response, Logout Request och Logout Response. Observera att exemplen är uttagna vid en viss tidpunkt och att mindre uppdateringar kan ha skett. 4.1 Authentication Request I produktion har CGI:s IdP kontroll på vilka SP som det är tillåtet att skicka svar till. Vi behöver alltså ha adressen AssertionConsumerServiceURL som skall användas. Vi kan godkänna alla URL:er under en adress, som: https://sp.exempel.com/* Antingen kopplas AssertionConsumerServiceURL till en SP och ett unikt ServiceID i eidtjänsten. Om flera olika kunder i samma e-tjänst använder samma AssertionConsumerServiceURL måste även saml:issuer även användas och detta måste då vara unikt för varje SP. Men IdP test godkänner *.* som URL, så för testmiljön kan ni ange vilken adress ni vill. <?xml version="1.0" encoding="utf-8"?> - <saml2p:authnrequest xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" AssertionConsumerServiceURL="https://m88-mglocal.peso.mobilityguard.net/samlv2/sp/resp" ID="_8838f97c132fabb1380ea017a18da1ec7e" IssueInstant=" T08:54:18.052Z" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion">https://m88-mglocal.peso.mobilityguard.net/samlv2/sp/metadata/6</saml2:issuer> <saml2p:nameidpolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameidformat:transient" /> </saml2p:authnrequest> 4.2 Authentication Response En lyckad inloggning med e-legitimation (test) från BankID, från Agda Andersson <?xml version="1.0" encoding="utf-8"?> - <saml2p:response xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" Destination="https://m01-mglocal.me.funktionstjanster.se/samlv2/sp/resp?mgvhostparam=4" ID="_10bc2dd3b5fb9dbc1931d2df082fafac60" InResponseTo="_01501e7118ca8ba392438eeab538e3f0d2" IssueInstant=" T11:21:38.269Z" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion">https://m10-mglocal.funktionstjanster.se/samlv2/idp/metadata/0</saml2:issuer> - <saml2p:status> <saml2p:statuscode Value="urn:oasis:names:tc:SAML:2.0:status:Success" /> </saml2p:status> - <saml2:assertion xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion" ID="_1087a dff4fbec3ff91adf24aa" IssueInstant=" T11:21:38.269Z" Version="2.0"> (31)

16 <saml2:issuer>https://m10-mglocal.funktionstjanster.se/samlv2/idp/metadata/0</saml2:issuer> - <ds:signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:signedinfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:canonicalizationmethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" <ds:signaturemethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" - <ds:reference URI="#_1087a dff4fbec3ff91adf24aa" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:transforms xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" - <ds:transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ec:inclusivenamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="ds saml2 xs xsi" /> </ds:transform> </ds:transforms> <ds:digestmethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" <ds:digestvalue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">49l27ynqzqskrrbcip8mclshiba=</ ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">a67yrtocuddggze/7tvsdsa3ilbe3eqaw /4Yd9+meZL0fD84iIcutqShMICgO8qndKPab7sNL4Uasw4hyPemBp/zSvKqvhCsHcSCPzD598HuZljNCZmD 25KZwtbtSlJTA6ui4V1ZAaYrsz4I5IFafpujkyUjDYKNhLIzGoKOH8f04b6ESrh0I7kjxtmrxs+x3BM9mS1dDk C65aAa+daUB9usBanTDaj5BPLIVRjf2gvdLYXgIxBBZTmIz0l9M16YCy7QAT6hLY26FnsM5JTS2BfawJMRlZ HnKxMBqPUCJ0UTOEI3JlMkeR90ZHtASzCSa6rM4lEN9Oc5FGN8R65Atw==</ds:SignatureValue> - <ds:keyinfo> - <ds:x509data> <ds:x509certificate>miid7tcca1agawibagiddfnjma0gcsqgsib3dqebbquame4xczajbgnvbaytalvtmra wdgydvqqkewdfcxvpzmf4ms0wkwydvqqleyrfcxvpzmf4ifnly3vyzsbdzxj0awzpy2f0zsbbdxrob 3JpdHkwHhcNMDkxMTE4MjMyNDA2WhcNMTEwOTEyMTIzMDI4WjCB8zEpMCcGA1UEBRMgMEpIckZwYUx xtc9kbgwvehhqd0evvuhjmu9zduexnmoxczajbgnvbaytalnfmr8whqydvqqkfbyqlmz1bmt0aw9uc 3RqYW5zdGVyLnNlMRMwEQYDVQQLEwpHVDU5MzM1NzUzMTEwLwYDVQQLEyhTZWUgd3d3LnJhcGlkc3N slmnvbs9yzxnvdxjjzxmvy3bzichjkta4ms8wlqydvqqleyzeb21haw4gq29udhjvbcbwywxpzgf0zw QgLSBSYXBpZFNTTChSKTEfMB0GA1UEAxQWKi5mdW5rdGlvbnN0amFuc3Rlci5zZTCCASIwDQYJKoZIhvcN AQEBBQADggEPADCCAQoCggEBALf2y0wlF3B1dYLwY0m43OR4ODlh4bSn2RFEg5hU0hC7wGQO6MW+bU Rxr2Xc5rpz8KW76RWFtIL0pHjRV0hXroUV6r/1UWCWQUskgnUVytC0Qk3Nv5OTTrr8/SxDQ72tJgsKCigsL VxsxA62Rrqb/dPPP1v2gLUJoFVFFjBaaJuVBuVvO/m7lIwpRrjVoljnDdm6zmRs2PMq1Z4yXixYLb6vUN7U mqvvik0uomantcantvhxr1wnbmnawgwq3nnhynf0osd3fmt5/daljdsvlzozewln8t8rjj9zwx3q9kxwz WhVVI1hCdKbRs/BzvQVWMpDa/e5h77m/JgBf2z/af8CAwEAAaOBrjCBqzAOBgNVHQ8BAf8EBAMCBPAw HQYDVR0OBBYEFM+/aVEn6/uSsMyn+RXuTG5qMie/MDoGA1UdHwQzMDEwL6AtoCuGKWh0dHA6Ly9jcm wuz2vvdhj1c3quy29tl2nybhmvc2vjdxjly2euy3jsmb8ga1udiwqymbaafejmapkr0rkv10fyiyaqtzoyk J/UMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjANBgkqhkiG9w0BAQUFAAOBgQB3QXXylHv aep/f3f4eqy5bfdmgm8kpsvfg8jlt2r4/ aqbggm7uxnwmubfzdykk956dctloam0rawsyxon2q6qpypljwsqgtb4oweue0aaomhrklyieoayz IEbtiekyTZyVi2XmPdpowWROht2xdeZTT16fGCDc/jNJmRAzqW4CnA==</ds:X509Certificate> </ds:x509data> </ds:keyinfo> </ds:signature> - <saml2:subject> <saml2:nameid Format="urn:oasis:names:tc:SAML:2.0:nameidformat:transient">_1087a dff4fbec3ff91adf24aa</saml2:NameID> - <saml2:subjectconfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> (31)

17 <saml2:subjectconfirmationdata Address=" " InResponseTo="_01501e7118ca8ba392438eeab538e3f0d2" NotOnOrAfter=" T11:26:38.270Z" Recipient="https://m01-mglocal.me.funktionstjanster.se/samlv2/sp/resp?mgvhostparam=4" /> </saml2:subjectconfirmation> </saml2:subject> - <saml2:conditions NotBefore=" T11:16:38.270Z" NotOnOrAfter=" T11:26:38.270Z"> - <saml2:audiencerestriction> <saml2:audience>https://m01-mglocal.me.funktionstjanster.se/samlv2/sp/metadata/4</saml2:audience> </saml2:audiencerestriction> </saml2:conditions> - <saml2:authnstatement AuthnInstant=" T11:21:38.269Z" SessionIndex="_106e3e43f9054e656f4d3ee74fc0deead5"> <saml2:subjectlocality Address=" " /> - <saml2:authncontext> <saml2:authncontextclassref>urn:oasis:names:tc:saml:2.0:ac:classes:softwarepki</saml2: AuthnContextClassRef> <saml2:authenticatingauthority>ldap:///cn=testbank%20a%20e- Customer%20CA1%20for%20BankID,SERIALNUMBER= ,O=Testbank%20A %20AB%20(publ),C=SE</saml2:AuthenticatingAuthority> </saml2:authncontext> </saml2:authnstatement> - <saml2:attributestatement xmlns:xs="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> - <saml2:attribute Name="sn_id"> <saml2:attributevalue xsi:type="xs:string"> </saml2:attributevalue> - <saml2:attribute Name="SecurityLevelDescription"> <saml2:attributevalue xsi:type="xs:string">softwarepki</saml2:attributevalue> - <saml2:attribute Name="Subject_CountryName"> <saml2:attributevalue xsi:type="xs:string">se</saml2:attributevalue> - <saml2:attribute Name="Subject_CommonName"> <saml2:attributevalue xsi:type="xs:string">agda Andersson</saml2:AttributeValue> - <saml2:attribute Name="Subject_GivenName"> <saml2:attributevalue xsi:type="xs:string">agda</saml2:attributevalue> - <saml2:attribute Name="CertificateSerialNumber"> <saml2:attributevalue xsi:type="xs:string"> fcfd7b088d60e5e1322b575c</saml2:attributevalue> - <saml2:attribute Name="dateOfBirth"> <saml2:attributevalue xsi:type="xs:string"> </saml2:attributevalue> - <saml2:attribute Name="Subject_OrganisationName"> /* använd ej, skall tas bort */ <saml2:attributevalue xsi:type="xs:string">testbank A AB (publ)</saml2:attributevalue> - <saml2:attribute Name="Issuer_OrganisationName"> <saml2:attributevalue xsi:type="xs:string">testbank A AB (publ)</saml2:attributevalue> (31)

18 - <saml2:attribute Name="sn_type"> /* använd ej, skall tas bort */ <saml2:attributevalue xsi:type="xs:string">18</saml2:attributevalue> - <saml2:attribute Name="Subject_Surname"> <saml2:attributevalue xsi:type="xs:string">andersson</saml2:attributevalue> - <saml2:attribute Name="Subject_SerialNumber"> <saml2:attributevalue xsi:type="xs:string"> </saml2:attributevalue> - <saml2:attribute Name="Gender"> <saml2:attributevalue xsi:type="xs:string">f</saml2:attributevalue> - <saml2:attribute Name="ValidationOcspResponse"> <saml2:attributevalue xsi:type="xs:string">miifuwobakccbuwwggvibgkrbgefbqcwaqeeggu5miifntccar6hdjb0mqswc QYDVQQGEwJTRTEdMBsGA1UECgwUVGVzdGJhbmsgQSBBQiAocHVibCkxFTATBgNVBAUTDDExMTExMTEx MTExMTEvMC0GA1UEAwwmVGVzdGJhbmsgQSBlLUN1c3RvbWVyIENBMSBPQ1NQIFNpZ25pbmcYDzIwM TEwNTI1MTEyMTM4WjBgMF4wSTAJBgUrDgMCGgUABBS2f4x56ZSCjdlMaiND2K+spx/afQQUKtf/ZyhdkGE J1fuSyrzaCRAJc7oCEFYFc2P8/XsIjWDl4TIrV1yAABgPMjAxMTA1MjUxMTIxMzhaoTEwLzAtBgkrBgEFBQc waqieig5y4yywazdqg1u1zxaw/frxyibjyl0bymahbcno7l47ma0gcsqgsib3dqebbquaa4gbag0fcao 16nwiqWzi5XmegjnWc1Kx3wAQT4NXIuxyfrw38A2Mu2F45KzXDq8bngxfuEnQKndJiEE8E1uhUPvX7qDl5 Ml9ZiVqe34goXabzr8IyGQlLI4cZettLFO6GRE8T3sQDkIOEK553AwDBBRnjmMbo6CtX6WTu2N8dWrUWvM boiidfdcca3gwggn0miicxkadagecaggfvalyhk/rbtanbgkqhkig9w0baqufadbymqswcqydvqqgew JTRTEdMBsGA1UECgwUVGVzdGJhbmsgQSBBQiAocHVibCkxFTATBgNVBAUTDDExMTExMTExMTExMTEtMC sga1ueawwkvgvzdgjhbmsgqsbllun1c3rvbwvyienbmsbmb3igqmfua0lemb4xdtewmdgxmdiymda wmfoxdtexmdkwmtixntk1ovowddelmakga1uebhmcu0uxhtabbgnvbaomffrlc3riyw5rieegquigk HB1YmwpMRUwEwYDVQQFEwwxMTExMTExMTExMTExLzAtBgNVBAMMJlRlc3RiYW5rIEEgZS1DdXN0b21l cibdqtegt0ntucbtawduaw5nmigfma0gcsqgsib3dqebaquaa4gnadcbiqkbgqc27qj4a4mzo4v9xlb 9Uv0IB1o82UgjJa04URowRW6KPwIqNgPZ6EJAPfxtSY/dYiDgbRenWiD8t9c9Bdu0DcA1gDS6gaZFuF+CgF P3tjEhCGSE0OwApSH/0/nOpUzJzpNdQp0lEr7JH38fcagob+3IpeYNmTMpTlf5bsasbJi8TwIDAQABo4GPMI GMMBEGA1UdIAQKMAgwBgYEKgMEBTAWBgNVHSUBAf8EDDAKBggrBgEFBQcDCTAOBgNVHQ8BAf8EBAM CBkAwDwYJKwYBBQUHMAEFBAIFADAdBgNVHQ4EFgQUD3cLH49dzey2FrTPcyLc1hQFtVcwHwYDVR0jBB gwfoauktf/zyhdkgej1fusyrzacrajc7owdqyjkozihvcnaqefbqadggebamf7t5k4y8xqhbemrkbswhty7 tmqdsgfrcyhw8rmy8teji+n5qcp1ne3zrhl+mj2u61r7furxgpke56eekygjvrhgrlouookm8ddmficcqe vovhl8lkwc0806mjgozcuyvlohvjlfucfwjtijbfg4zxdvqgm5mbwxryyrn5repmor0sa0dohtpsanbuzz Pb8YHUVuz6zyWYCLVtqpMerVIwHNq8r8zKrGX9kSuY5n8+UBTFTR0hIWTKHiO2qyY3NxCVKe0fm0xHB44 gyj+fjzkt1mdizvp66epijl47tqemhiz6lhrp+fzgcdailq08nci9nbwsu/ndj9tj1dm/n/3s=</saml2:attr ibutevalue> - <saml2:attribute Name="SecurityLevel"> <saml2:attributevalue xsi:type="xs:string">3</saml2:attributevalue> - <saml2:attribute Name="Issuer_CommonName"> <saml2:attributevalue xsi:type="xs:string">testbank A e-customer CA1 for BankID</saml2:AttributeValue> - <saml2:attribute Name="age"> <saml2:attributevalue xsi:type="xs:string">123</saml2:attributevalue> </saml2:attributestatement> </saml2:assertion> </saml2p:response> (31)

19 4.3 Logout Request Observera att Logout Request inte per automatik fungerar hela vägen ut i IdP test. IdP:n vet inte var SLO-responsen skall skickas, men användaren blir ändå utloggad ur IdP:n. Skall hela SLO-flödet testas i IdP test måste test-sp konfigureras in speciellt i IdP test vilket normalt inte görs/ingår. I produktion konfigureras SLO normalt för varje SP. <?xml version="1.0" encoding="utf-8"?> - <saml2p:logoutrequest xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" ID="_8838f97c132fabb1380ea017a18da1ec7e" IssueInstant=" T08:54:47.464Z" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion">https://m88-mglocal.peso.mobilityguard.net/samlv2/sp/metadata/6</saml2:issuer> <saml2:nameid xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion" Format="urn:oasis:names:tc:SAML:2.0:nameidformat:transient">_10ebf5c dd842ad20f8bbfb1f5</saml2:NameID> <saml2p:sessionindex>_1004c6a48dc3f03a94c9b98c23e53b06aa</saml2p:sessionindex> </saml2p:logoutrequest> 4.4 Logout Response <?xml version="1.0" encoding="utf-8"?> - <saml2p:logoutresponse xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" ID="_1045d64e0fd5824e5cea4e " InResponseTo="_8838f97c132fabb1380ea017a18da1ec7e" IssueInstant=" T08:54:47.514Z" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion">https://m10-mglocal.funktionstjanster.se/samlv2/idp/metadata/0</saml2:issuer> - <ds:signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:signedinfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:canonicalizationmethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" <ds:signaturemethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" - <ds:reference URI="#_1045d64e0fd5824e5cea4e " xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:transforms xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" - <ds:transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ec:inclusivenamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="ds saml2 saml2p" /> </ds:transform> </ds:transforms> <ds:digestmethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" <ds:digestvalue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">3cldphaid6ktygwqc31ggzfpojg=</ ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">tnzmpbehrvyrynlrpcd8jbwomb8eqpcfboby (31)

20 wpvud0artqaq+fx89cb5tcih7dwy9vohr7tb/bqq DROl1rhs6RTTukcNuIrudz1f9t8kyEE69NZfDpY25Vw8VbizbYRx8hyT658550eKekerjFIlhdNL n4x2l2+iimpjncp+5mhq6ffumybuxxpbgoqwundsdudvasnmcwggoqbx9lul2aslgncg8pcyrpli q/m4vozjg1sgspceuprzpe9orr0kkgpwtwvnzgsbb53j/ceytln9bpxwmyxnvap0a1dtirw7q7pr qawzrujsthnamtirz2jof12frrpsx25s1l24rq==</ds:signaturevalue> - <ds:keyinfo> - <ds:x509data> <ds:x509certificate>miid7tcca1agawibagiddfnjma0gcsqgsib3dqebbquame4xczajbgnvbaytalvtmrawd gydvqqk EwdFcXVpZmF4MS0wKwYDVQQLEyRFcXVpZmF4IFNlY3VyZSBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkw HhcNMDkxMTE4MjMyNDA2WhcNMTEwOTEyMTIzMDI4WjCB8zEpMCcGA1UEBRMgMEpIckZwYUxxTC9k bgwvehhqd0evvuhjmu9zduexnmoxczajbgnvbaytalnfmr8whqydvqqkfbyqlmz1bmt0aw9uc3rq YW5zdGVyLnNlMRMwEQYDVQQLEwpHVDU5MzM1NzUzMTEwLwYDVQQLEyhTZWUgd3d3LnJhcGlkc3Ns LmNvbS9yZXNvdXJjZXMvY3BzIChjKTA4MS8wLQYDVQQLEyZEb21haW4gQ29udHJvbCBWYWxpZGF0 ZWQgLSBSYXBpZFNTTChSKTEfMB0GA1UEAxQWKi5mdW5rdGlvbnN0amFuc3Rlci5zZTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBALf2y0wlF3B1dYLwY0m43OR4ODlh4bSn2RFEg5hU0hC7 wgqo6mw+burxr2xc5rpz8kw76rwftil0phjrv0hxrouv6r/1uwcwquskgnuvytc0qk3nv5ottrr8 /SxDQ72tJgsKCigsLVxsxA62Rrqb/dPPP1v2gLUJoFVFFjBaaJuVBuVvO/m7lIwpRrjVoljnDdm6 zmrs2pmq1z4yxixylb6vun7umqvvik0uomantcantvhxr1wnbmnawgwq3nnhynf0osd3fmt5/dal jdsvlzozewln8t8rjj9zwx3q9kxwzwhvvi1hcdkbrs/bzvqvwmpda/e5h77m/jgbf2z/af8cawea AaOBrjCBqzAOBgNVHQ8BAf8EBAMCBPAwHQYDVR0OBBYEFM+/aVEn6/uSsMyn+RXuTG5qMie/MDoG A1UdHwQzMDEwL6AtoCuGKWh0dHA6Ly9jcmwuZ2VvdHJ1c3QuY29tL2NybHMvc2VjdXJlY2EuY3Js MB8GA1UdIwQYMBaAFEjmaPkr0rKV10fYIyAQTzOYkJ/UMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggr BgEFBQcDAjANBgkqhkiG9w0BAQUFAAOBgQB3QXXylHvaEp/f3f4EQy5BfdmGm8KpSVfg8JLt2r4/ aqbggm7uxnwmubfzdykk956dctloam0rawsyxon2q6qpypljwsqgtb4oweue0aaomhrklyieoayz IEbtiekyTZyVi2XmPdpowWROht2xdeZTT16fGCDc/jNJmRAzqW4CnA==</ds:X509Certificate> </ds:x509data> </ds:keyinfo> </ds:signature> - <saml2p:status> <saml2p:statuscode Value="urn:oasis:names:tc:SAML:2.0:status:Success" /> <saml2p:statusmessage>logout successful</saml2p:statusmessage> </saml2p:status> </saml2p:logoutresponse> (31)

21 5 Exempelmeddelanden IdP produktion Exempel på meddelanden från produktionsmiljön: Authentication Request, Authentication Response, Logout Request, Logout Response samt hur Authentication Response Login Fail hanteras. Observera att signaturerna i dessa produktionsexempel ej går att verifiera då personuppgifterna är förändrade. Förändringar i biljetten kan ha skett sedan detta exempel skapades. 5.1 Authentication Request I produktion har CGI:s IdP kontroll på vilka SP som det är tillåtet att skicka svar till. Vi behöver alltså ha adressen AssertionConsumerServiceURL som skall användas. Vi kan godkänna alla URL:er under en adress, som: https://sp.exempel.com/*. AssertionConsumerServiceURL kopplas till en SP och ett unikt ServiceID i eid-tjänsten. Om flera olika kunder i samma e-tjänst använder samma AssertionConsumerServiceURL måste även saml:issuer även användas och detta måste då vara unikt för varje SP. <?xml version="1.0" encoding="utf-8"?> - <saml2p:authnrequest xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" AssertionConsumerServiceURL="https://m01-mglocal.me.funktionstjanster.se/samlv2/sp/resp" ID="_0159a71f6fa82ef c1123f7417ca" IssueInstant=" T07:23:14.669Z" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion">https://m01-mglocal.me.funktionstjanster.se/samlv2/sp/metadata/9</saml2:issuer> <saml2p:nameidpolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameidformat:transient" /> </saml2p:authnrequest> 5.2 Authentication Response <?xml version="1.0" encoding="utf-8"?> - <saml2p:response xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" Destination="https://m01-mg-local.me.funktionstjanster.se/samlv2/sp/resp" ID="_11800af3defa112a750ddd4a8fbe238cdc" InResponseTo="_01b80a98243bb037b8b11e2695b39137a4" IssueInstant=" T13:16:23.321Z" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion">https://m11-mglocal.funktionstjanster.se/samlv2/idp/metadata/0</saml2:issuer> - <saml2p:status> <saml2p:statuscode Value="urn:oasis:names:tc:SAML:2.0:status:Success" /> </saml2p:status> - <saml2:assertion xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion" ID="_11640d2ccda3efc353fcf47362b378227a" IssueInstant=" T13:16:23.321Z" Version="2.0"> <saml2:issuer>https://m11-mglocal.funktionstjanster.se/samlv2/idp/metadata/0</saml2:issuer> - <ds:signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:signedinfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> (31)

22 <ds:canonicalizationmethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" <ds:signaturemethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" - <ds:reference URI="#_11640d2ccda3efc353fcf47362b378227a" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:transforms xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" - <ds:transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ec:inclusivenamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="ds saml2 xs xsi" /> </ds:transform> </ds:transforms> <ds:digestmethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" <ds:digestvalue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">zisydvps1dkxlo+11tsywrhrnui=< /ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">hz3a4mdaki8r6sdi4ptdp1/o6fwzb2dcbalctfv2skewo60ujkrr wv8iepnqusfxjsvpq3wpdtfm kppwtnrwy2cpnqsl+fzergu4srjj9pzmovsend0ivzgujoyvh73sn9k5lskds7feo2xv4cb8nyht tqro4nfpzhes+wxxijn38qh+v3u0o3vlcrowrnmbpm4giynlbclftjernmqfetkwl4srq7aw/vz4 L+OCifFIn0I6SdOulXX5jYByrfSy2oOgWI83axe/XNJsJvvwVxVp82YerPOnpiBiTVcSDooVLhYF hucfkk4l+uqrs9k6av1rsredufni/fgjob0xga==</ds:signaturevalue> - <ds:keyinfo> - <ds:x509data> <ds:x509certificate>miid7tcca1agawibagiddfnjma0gcsqgsib3dqebbquame4xczajbgnvbaytalvtmrawdgydvqqk EwdFcXVpZmF4MS0wKwYDVQQLEyRFcXVpZmF4IFNlY3VyZSBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkw HhcNMDkxMTE4MjMyNDA2WhcNMTEwOTEyMTIzMDI4WjCB8zEpMCcGA1UEBRMgMEpIckZwYUxxTC9k bgwvehhqd0evvuhjmu9zduexnmoxczajbgnvbaytalnfmr8whqydvqqkfbyqlmz1bmt0aw9uc3rq YW5zdGVyLnNlMRMwEQYDVQQLEwpHVDU5MzM1NzUzMTEwLwYDVQQLEyhTZWUgd3d3LnJhcGlkc3Ns LmNvbS9yZXNvdXJjZXMvY3BzIChjKTA4MS8wLQYDVQQLEyZEb21haW4gQ29udHJvbCBWYWxpZGF0 ZWQgLSBSYXBpZFNTTChSKTEfMB0GA1UEAxQWKi5mdW5rdGlvbnN0amFuc3Rlci5zZTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBALf2y0wlF3B1dYLwY0m43OR4ODlh4bSn2RFEg5hU0hC7 wgqo6mw+burxr2xc5rpz8kw76rwftil0phjrv0hxrouv6r/1uwcwquskgnuvytc0qk3nv5ottrr8 /SxDQ72tJgsKCigsLVxsxA62Rrqb/dPPP1v2gLUJoFVFFjBaaJuVBuVvO/m7lIwpRrjVoljnDdm6 zmrs2pmq1z4yxixylb6vun7umqvvik0uomantcantvhxr1wnbmnawgwq3nnhynf0osd3fmt5/dal jdsvlzozewln8t8rjj9zwx3q9kxwzwhvvi1hcdkbrs/bzvqvwmpda/e5h77m/jgbf2z/af8cawea AaOBrjCBqzAOBgNVHQ8BAf8EBAMCBPAwHQYDVR0OBBYEFM+/aVEn6/uSsMyn+RXuTG5qMie/MDoG A1UdHwQzMDEwL6AtoCuGKWh0dHA6Ly9jcmwuZ2VvdHJ1c3QuY29tL2NybHMvc2VjdXJlY2EuY3Js MB8GA1UdIwQYMBaAFEjmaPkr0rKV10fYIyAQTzOYkJ/UMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggr BgEFBQcDAjANBgkqhkiG9w0BAQUFAAOBgQB3QXXylHvaEp/f3f4EQy5BfdmGm8KpSVfg8JLt2r4/ aqbggm7uxnwmubfzdykk956dctloam0rawsyxon2q6qpypljwsqgtb4oweue0aaomhrklyieoayz IEbtiekyTZyVi2XmPdpowWROht2xdeZTT16fGCDc/jNJmRAzqW4CnA==</ds:X509Certificate> </ds:x509data> </ds:keyinfo> </ds:signature> - <saml2:subject> <saml2:nameid Format="urn:oasis:names:tc:SAML:2.0:nameidformat:transient">_11640d2ccda3efc353fcf47362b378227a</saml2:NameID> - <saml2:subjectconfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml2:subjectconfirmationdata InResponseTo="_01b80a98243bb037b8b11e2695b39137a4" NotOnOrAfter=" T13:21:23.321Z" Recipient="https://m01-mglocal.me.funktionstjanster.se/samlv2/sp/resp" /> </saml2:subjectconfirmation> </saml2:subject> - <saml2:conditions NotBefore=" T13:11:23.321Z" NotOnOrAfter=" T13:21:23.321Z"> (31)

23 - <saml2:audiencerestriction> <saml2:audience>https://m01-mglocal.me.funktionstjanster.se/samlv2/sp/metadata/9</saml2:audience> </saml2:audiencerestriction> </saml2:conditions> - <saml2:authnstatement AuthnInstant=" T13:16:23.321Z" SessionIndex="_ dabf2ef90fdc1871fb2537cf02"> - <saml2:authncontext> <saml2:authncontextclassref>urn:oasis:names:tc:saml:2.0:ac:classes:tlsclient</saml2:aut hncontextclassref> </saml2:authncontext> </saml2:authnstatement> - <saml2:attributestatement xmlns:xs="http://www.w3.org/2001/xmlschema" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance"> - <saml2:attribute Name="sn_id"> <saml2:attributevalue xsi:type="xs:string"> </saml2:attributevalue> - <saml2:attribute Name="Subject_CountryName"> <saml2:attributevalue xsi:type="xs:string">se</saml2:attributevalue> - <saml2:attribute Name="Subject_CommonName"> <saml2:attributevalue xsi:type="xs:string">nils Nilsson</saml2:AttributeValue> - <saml2:attribute Name="sn_employee_id"> <saml2:attributevalue xsi:type="xs:string" /> - <saml2:attribute Name="Subject_GivenName"> <saml2:attributevalue xsi:type="xs:string">nils</saml2:attributevalue> - <saml2:attribute Name="Subject_OrganisationName"> <saml2:attributevalue xsi:type="xs:string" /> - <saml2:attribute Name="Subject_Surname"> <saml2:attributevalue xsi:type="xs:string">nilsson</saml2:attributevalue> - <saml2:attribute Name="sn_type"> <saml2:attributevalue xsi:type="xs:string">19</saml2:attributevalue> - <saml2:attribute Name="auth_method"> <saml2:attributevalue xsi:type="xs:string">telia, Nordea, Steria, SignGuard</saml2:AttributeValue> - <saml2:attribute Name="Subject_SerialNumber"> <saml2:attributevalue xsi:type="xs:string"> </saml2:attributevalue> </saml2:attributestatement> </saml2:assertion> </saml2p:response> (31)

24 5.3 Logout Request Sänd enbart en SLO om ni vet att användaren inte via federering nyttjar någon annan e-tjänst hos annan SP. I så fall tvingar ni användaren att åter identifiera sig med sin e-legitimation. Annars är en inloggning giltig under 60 minuter. Om man fått användare till sig via federering, eller länkar vidare en användare till en annan SP, bör man vara försiktig med SLO så att man inte förstör för användaren om hon fortfarande är aktiv i annan SP. Har man en e-tjänst där man vet att man inte federerar vidare till annan organisation är rekommendationen att använda SLO. Även om SLO inte används så skall utloggning ur den egna e-tjänsten alltid kunna göras samt att man efter en sådan operation uppmanar användaren att stänga ner alla webbläsarfönster. <?xml version="1.0" encoding="utf-8"?> - <saml2p:logoutrequest xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" ID="_0127a086d4779f2c92c876a6e94bfa39a7" IssueInstant=" T07:24:04.605Z" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion">https://m01-mglocal.me.funktionstjanster.se/samlv2/sp/metadata/9</saml2:issuer> <saml2:nameid xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" SPNameQualifier="https://m01-mg-local.me.funktionstjanster.se/samlv2/sp/metadata/9" /> </saml2p:logoutrequest> Sessionindex är samma sessionindex som i den assertion som skickades från IdP n vid inloggningen. 5.4 Logout Response <?xml version="1.0" encoding="utf-8"?> - <saml2p:logoutresponse xmlns:saml2p="urn:oasis:names:tc:saml:2.0:protocol" ID="_111cfb79d8bec79d54a11954ba8fe12044" InResponseTo="_0127a086d4779f2c92c876a6e94bfa39a7" IssueInstant=" T07:24:04.727Z" Version="2.0"> <saml2:issuer xmlns:saml2="urn:oasis:names:tc:saml:2.0:assertion">https://m11-mglocal.funktionstjanster.se/samlv2/idp/metadata/0</saml2:issuer> - <ds:signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:signedinfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:canonicalizationmethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" <ds:signaturemethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" - <ds:reference URI="#_111cfb79d8bec79d54a11954ba8fe12044" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> - <ds:transforms xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" - <ds:transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ec:inclusivenamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="ds saml2 saml2p" /> (31)

25 </ds:transform> </ds:transforms> <ds:digestmethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" <ds:digestvalue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">egr65i4jhvuik7l9j9kcmikd7k8=</d s:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue xmlns:ds="http://www.w3.org/2000/09/xmldsig#">tmenn39ajv9ugnqwku3pkvptxxey/t9bfl09h87rvipssxhoxmos C3PkT49TFxvVngsK8v1xE68i 9qzg4PIDj+d8+HORxaBHE7jY+k/FLI+H266Cret92AHot2r6l4w+HBWNIHPUfumLsHBpvT1mbLCr L65d6md/K0KOO8JBtynnLwu3/IQLFtS6uJnu6IGIoUxt0JDtS1+ORC4uJtoXuyMZ2xo3BknjdKto gipkigcou/+nzywthassc6kncdu8uyqlb+dyx3za1oeakrld5tauhlaouex+s/+1mjlhbztvlyty Q5MIseL+j79b0lVoQe65+fJnb+NTQlnk6mMnTQ==</ds:SignatureValue> - <ds:keyinfo> - <ds:x509data> <ds:x509certificate>miid7tcca1agawibagiddfnjma0gcsqgsib3dqebbquame4xczajbgnvbaytalvtmrawdgydvqqk EwdFcXVpZmF4MS0wKwYDVQQLEyRFcXVpZmF4IFNlY3VyZSBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkw HhcNMDkxMTE4MjMyNDA2WhcNMTEwOTEyMTIzMDI4WjCB8zEpMCcGA1UEBRMgMEpIckZwYUxxTC9k bgwvehhqd0evvuhjmu9zduexnmoxczajbgnvbaytalnfmr8whqydvqqkfbyqlmz1bmt0aw9uc3rq YW5zdGVyLnNlMRMwEQYDVQQLEwpHVDU5MzM1NzUzMTEwLwYDVQQLEyhTZWUgd3d3LnJhcGlkc3Ns LmNvbS9yZXNvdXJjZXMvY3BzIChjKTA4MS8wLQYDVQQLEyZEb21haW4gQ29udHJvbCBWYWxpZGF0 ZWQgLSBSYXBpZFNTTChSKTEfMB0GA1UEAxQWKi5mdW5rdGlvbnN0amFuc3Rlci5zZTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBALf2y0wlF3B1dYLwY0m43OR4ODlh4bSn2RFEg5hU0hC7 wgqo6mw+burxr2xc5rpz8kw76rwftil0phjrv0hxrouv6r/1uwcwquskgnuvytc0qk3nv5ottrr8 /SxDQ72tJgsKCigsLVxsxA62Rrqb/dPPP1v2gLUJoFVFFjBaaJuVBuVvO/m7lIwpRrjVoljnDdm6 zmrs2pmq1z4yxixylb6vun7umqvvik0uomantcantvhxr1wnbmnawgwq3nnhynf0osd3fmt5/dal jdsvlzozewln8t8rjj9zwx3q9kxwzwhvvi1hcdkbrs/bzvqvwmpda/e5h77m/jgbf2z/af8cawea AaOBrjCBqzAOBgNVHQ8BAf8EBAMCBPAwHQYDVR0OBBYEFM+/aVEn6/uSsMyn+RXuTG5qMie/MDoG A1UdHwQzMDEwL6AtoCuGKWh0dHA6Ly9jcmwuZ2VvdHJ1c3QuY29tL2NybHMvc2VjdXJlY2EuY3Js MB8GA1UdIwQYMBaAFEjmaPkr0rKV10fYIyAQTzOYkJ/UMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggr BgEFBQcDAjANBgkqhkiG9w0BAQUFAAOBgQB3QXXylHvaEp/f3f4EQy5BfdmGm8KpSVfg8JLt2r4/ aqbggm7uxnwmubfzdykk956dctloam0rawsyxon2q6qpypljwsqgtb4oweue0aaomhrklyieoayz IEbtiekyTZyVi2XmPdpowWROht2xdeZTT16fGCDc/jNJmRAzqW4CnA==</ds:X509Certificate> </ds:x509data> </ds:keyinfo> </ds:signature> - <saml2p:status> <saml2p:statuscode Value="urn:oasis:names:tc:SAML:2.0:status:Success" /> <saml2p:statusmessage>logout successful</saml2p:statusmessage> </saml2p:status> </saml2p:logoutresponse> 5.5 Authentication Response Login Fail Om användaren misslyckas med inloggningen med sin e-legitimation hos IdP visar IdP:n direkt upp felmeddelanden till användaren. Några Login Fail-meddelanden skickas således ej till SP, men det är en typ av meddelanden som bör kunna hanteras av SP (31)

26 6 Anslutning När en SP ska ansluta sig till IdP produktion behöver en del uppgifter utbytas. I produktion är det givetvis krav på att https används. Nedan är uppgifter som ska anges för varje SP i produktion: Parametrar för att konfigurera SP Login page URL En länk till sida hos kund där man loggar in. Assertion Consumer URL En URL som matchas mot strängen i Assertion Consumer URL-taggen i SAMLrequesten. Saml2:Issuer Avsändarens EntityID Om man vill använda olika förlitande parter från samma Assertion Consumer. Behövs även för att kunna uppnå full SLOfunktionalitet. Logout URL (valfri) Adress till SAML-logout-service om det finns och är önskvärt. Kontaktperson från kund för SPanslutningen. Observera att alla URL:er är skiftlägeskänsliga. Ange era uppgifter: URL till SP. Ger bättre felhantering vid sparade länkar om den finns med. https:// OBS. att det är krav på https i produktion. Bra om ni har en unik EntityID för er SP. Om IdP initierad inloggning används så behövs istället Audience. Får ej innehålla mellanslag. 6.1 Certifikat för att verifiera XML-DSig Vid utloggning så bryts möjlighet till fortsatt Federering för användaren. Det är inte alltid avsikten. Används enbart då man verkligen avser detta! SP måste verifiera att signaturen på IdP:ns svar är korrekt (XML-C14N). För detta behövs CGI:s publika nyckel för IdP-tjänsten. Signeringen görs av samma SSL-certifikat som skyddar själva inloggningssidan. Certifikatet kan laddas ner därifrån men det finns även under Metadata i detta dokument. Följande gäller från : Certifikatet är utställt av GlobalSign rootcertifikat och Alpha SSL CA-G2 som mellanliggande utfärdarcertifikat för wildcard-certifikatet *.idp.funktionstjanster.se som används både för SSL och SAML-signeringen. (Motsvarande på IdP test är *.idptest.funktionstjanster.se.) Observera att vissa SP-programvaror kan vara konfigurerade att ge en varning på wildcardcertifikat. Certifikatet finns i metadatat för IdP:n, men det går också att hämta hem via webbläsaren då det även används för SSL (31)

27 7 Kundanpassad sida på IdP I produktion kan anpassning av inloggningssidan göras för varje SP. Om Kund ej önskar detta får man en defaultsida med bild/logotype. I eid-portalen finns en mall att utgå från så att Kund själv kan göra sidor som är anpassade till Kunds grafiska profil. Defaultsida: En bild i lämplig storlek i png-format för kunden läggs till centrerat över inloggningsrutan. Exempel på kundanpassad sida: (31)

28 Exempel på kundanpassad sida Exempel på GUI till IdP företag (e-tjänstelegitimationer) (31)

SAMBI SAML Profil. Samverkan för Behörighet och Identitet inom hälsa, vård och omsorg

SAMBI SAML Profil. Samverkan för Behörighet och Identitet inom hälsa, vård och omsorg SAMBI SAML Profil Samverkan för Behörighet och Identitet inom hälsa, vård och omsorg Innehållsförteckning 1. Introduktion... 4 1.1. Specifikation... 4 1.2. Notation... 4 1.3. XML namnrymd... 4 2. Metadata

Läs mer

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24. Copyright (c) 2014 IIS

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24. Copyright (c) 2014 IIS Testning av Sambi Testplan Version PA12 Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24 Copyright (c) 2014 IIS Dokument kontroll Dokument information och säkerhet Skapad av Faktaansvarig Dokumentansvarig

Läs mer

Införande av Skolfederation. Erfarenheter i Sundsvalls kommun

Införande av Skolfederation. Erfarenheter i Sundsvalls kommun Införande av Erfarenheter i Sundsvalls kommun Innehåll 1. OM DOKUMENTET... 3 2. OM SKOLFEDERATION... 3 3. INFÖRANDE AV SKOLFEDERATION... 3 3.1 FASTSLÅ VERKSAMHETENS MÅLBILD FÖR SKOLFEDERATION... 3 3.1.1

Läs mer

Smarta sätt att modernisera din webbplats för SiteVision Cloud!

Smarta sätt att modernisera din webbplats för SiteVision Cloud! Smarta sätt att modernisera din webbplats för SiteVision Cloud! Tomas Ericsson, CISSP-ISSAP IT- och informationssäkerhetsarkitekt. Arbetat mer än 20 år med IT- och informationssäkerhetsarkitektur. Har

Läs mer

Identitetsfederering etapp II Höga och låga observationer

Identitetsfederering etapp II Höga och låga observationer Identitetsfederering etapp II Höga och låga observationer Thomas Nilsson thomas@certezza.net 2011-09-23 Smidigt och kontrollerat https://exempel.idp.domain.tld/

Läs mer

RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED. Beställare: RF Kalmar. Version: 0.5.0 2010-02-11

RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED. Beställare: RF Kalmar. Version: 0.5.0 2010-02-11 RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED Beställare: RF Kalmar Version: 0.5.0 2010-02-11 INNEHÅLLSFÖRTECKNING 1 DOKUMENTINFORMATION... 4 1.1 DOKUMENTETS SYFTE... 4 1.2 DOKUMENTETS MÅLGRUPP... 4 1.3

Läs mer

Apotekens Service. federationsmodell

Apotekens Service. federationsmodell Apotekens Service Federationsmodell Detta dokument beskriver hur Apotekens Service samverkar inom identitetsfederationer Datum: 2011-12-12 Version: Författare: Stefan Larsson Senast ändrad: Dokumentnamn:

Läs mer

Tekniskt ramverk för Svensk e- legitimation

Tekniskt ramverk för Svensk e- legitimation Tekniskt ramverk för Svensk e- legitimation ELN-0600-v1.4 Version: 1.4 2015-08-14 1 (10) 1 INTRODUKTION 3 1.1 IDENTITETSFEDERATIONER FÖR SVENSK E- LEGITIMATION 3 1.2 TILLITSRAMVERK OCH SÄKERHETSNIVÅER

Läs mer

Regionförbundet i Kalmar Län. Barnhälsodatapiloten - Slutrapport Bilaga 1-15 2010-03-01

Regionförbundet i Kalmar Län. Barnhälsodatapiloten - Slutrapport Bilaga 1-15 2010-03-01 Regionförbundet i Kalmar Län Barnhälsodatapiloten - Slutrapport Bilaga 1-15 2010-03-01 Innehållsförteckning 1. Bilaga 1 Avtal...5 2. Bilaga 2 - Testprotokoll BHDP Hultsfred SSK mot edos...8 2.1 Inloggning

Läs mer

eid Support Version 0.1 2011-02-08

eid Support Version 0.1 2011-02-08 eid Support Version 0.1 2011-02-08 INNEHÅLLSFÖRTECKNING 1 VERSIONSHANTERING... 3 2 INLEDNING... 3 3 VAD ÄR EN E-LEGITIMATION?... 3 4 OLIKA TYPER AV E-LEGITIMATION?... 3 4.1 BANKID... 3 4.2 NORDEA... 4

Läs mer

till Säkerhetstjänster 2.0 2.x

till Säkerhetstjänster 2.0 2.x Liftarens Guide till Säkerhetstjänster 2.0 2.x Sid 1/29 Innehållsförteckning 1. Dokumentinformation... 4 1.1 Inledning... 4 1.2 Målgrupp... 4 1.3 Revisionshistorik... 4 2. Inledning... 6 3. Översikt...

Läs mer

Kundverifiering av SPs digitala signaturer

Kundverifiering av SPs digitala signaturer 2014-08-28 Utgåva 8.0 1 (12) Kundverifiering av SPs digitala signaturer SP Sveriges Tekniska Forskningsinstitut SP IT 2014-08-28 Utgåva 8.0 2 (12) Versionshistorik Författare Utgåva Datum Kommentar Fredrik

Läs mer

BILAGA 1 Tekniska krav

BILAGA 1 Tekniska krav 1 av 8 BILAGA 1 Tekniska krav Version 2.4.7 Tekniska krav för anslutning till Skolfederation Skolfederationen har likt många andra Federativa initiativ som mål att använda följande SAML 1 - profiler: egov

Läs mer

Användarhandledning. Man trycker på Visa certifikat

Användarhandledning. Man trycker på Visa certifikat Användarhandledning Inloggning sker så här. En webbläsare startas, för Windows-användare Internet Explorer och för Mac-användare Safari (OBS! Ej Firefox. Firefox kan inte hantera den javafil som skickas

Läs mer

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam) Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam) Vad finns idag? Landstingen har SITHS, HSA, Säkerhetstjänster,

Läs mer

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt -

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt - 20130619 1 (12)? 1.0 Godkänd Secure Manager Guide Hantera användarprofiler i tjänsten Telia Secure Manager Dokumentet beskriver hur du som administratör beställer och hanterar användarprofiler i administrationsportalen

Läs mer

Hantering av tillitsnivåer

Hantering av tillitsnivåer Hantering av tillitsnivåer Version 1.2 Innehåll Hantering av tillitsnivåer för Skolfederation... 1 1 Inledning... 2 2 Tillitsnivåer... 2 3 Profiler och referenser... 2 3.1 Förtydligande gällande deploymentprofil...

Läs mer

Systemkrav. Åtkomst till Pascal

Systemkrav. Åtkomst till Pascal Systemkrav Åtkomst till Pascal Innehållsförteckning 1. Inledning... 3 2. Operativsystem, webbläsare och Net id... 3 3. Net id (Gäller enbart för SITHS-kort)... 6 4. Brandväggar (Gäller enbart för SITHS-kort)...

Läs mer

Innehåll. Dokumentet gäller från och med version 2014.3 1

Innehåll. Dokumentet gäller från och med version 2014.3 1 Innehåll Introduktion... 2 Före installation... 2 Beroenden... 2 Syftet med programmet... 2 Installation av IIS... 2 Windows Server 2008... 2 Windows Server 2012... 6 Installation av webbapplikationen

Läs mer

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation. Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation. Datum: 2011-02-28 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn:

Läs mer

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare 1.2 110908 (1)18 TjänsteID+, Privata vårdgivare 1.2 110908 (2)18 1.2 110908 (3)18 Innehåll Dokumentstruktur... 4 Bakgrund... 5 Organisation... 5 Extern information... 6 Certifikaten... 6 E-legitimation...

Läs mer

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Certifikatbaserad inloggning via SITHS, tillämpningsexempel Certifikatbaserad inloggning via SITHS, tillämpningsexempel För att logga in i en webbapplikation med hjälp av SITHS-kort och certifikat behöver webservern och applikationen konfigureras för hantering

Läs mer

tisdag 8 november 11

tisdag 8 november 11 Hur bygger vi SSO-lösningar utan att påverka IT-infrastrukturen? 2011-11-07 Tommy Almström Product Manager www.nordicedge.se/talmstrom Dagens mest aktuella fråga: Hur många konton samt lösenord har

Läs mer

Tjänstespecifikation

Tjänstespecifikation TJÄNSTESPECIFIKATION 1(24) Tjänstespecifikation Underskriftstjänst som del av Svensk e-legitimation TJÄNSTESPECIFIKATION 2(24) INNEHÅLLSFÖRTECKNING 1 INLEDNING... 4 1.1 Tjänsten i sitt sammanhang... 4

Läs mer

Användarhandledning. edwise Webbläsarinställningar 2013-10-24

Användarhandledning. edwise Webbläsarinställningar 2013-10-24 Användarhandledning edwise Webbläsarinställningar 2013-10-24 Sida 2/22 Innehållsförteckning 1 Webbläsarinställningar... 3 1.1 Internet Explorer Kompabilitetsläge... 3 1.1.1 Inställningar för kompabilitetsvyn...

Läs mer

SOLHEMSSKOLAN. Vårdnadshavare inloggning i Stockholms Skolwebb

SOLHEMSSKOLAN. Vårdnadshavare inloggning i Stockholms Skolwebb Vårdnadshavare inloggning i Stockholms Skolwebb Du som vårdnadshavare på Solhemsskolan kan logga in i Stockholms Skolwebb och få information om ditt barns skolgång. Stockholm Skolwebb är en e-tjänst som

Läs mer

Modul 3 Föreläsningsinnehåll

Modul 3 Föreläsningsinnehåll 2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben

Läs mer

torsdag 17 oktober 13 IT's a promise

torsdag 17 oktober 13 IT's a promise IT's a promise 2 Enkelt att komma igång med skolfederation och så här olika kan det bli! Nexus Group Patrick Zangaro Pulsen 3 Skolfederation 4 Skolfederation - Är det något att satsa på? Följa med eller

Läs mer

SITHS inloggning i AD

SITHS inloggning i AD SITHS inloggning i AD Inloggning med grafiskt gränssnitt kräver Windows 7 eller Vista Med PassThrough Gina for Windows och NetID version 5.5.0.27 För att logga in i en Windows domän med hjälp av SITHS-kort

Läs mer

Installationsguide Junos Pulse för MAC OS X

Installationsguide Junos Pulse för MAC OS X 1 (14) Installationsguide Junos Pulse för MAC OS X 1 Inledning Denna guide beskriver hur du installerar programmet Junos Pulse på MAC OS X Junos Pulse är en klientprogramvara som används i tjänsten Telia

Läs mer

Lathund. Uppsökande verksamhet i Tandvårdsfönster

Lathund. Uppsökande verksamhet i Tandvårdsfönster 1 (21) Lathund Uppsökande verksamhet i Tandvårdsfönster Sida 1/21 2 (21) Versionshistorik Version Datum Ändrat av Kommentar 0.1 2012 11 09 Lars Wennerholm Första version 0.2 2012 11 26 Lars Wennerholm

Läs mer

Visma Proceedo. Att logga in - Manual. Version 1.3 / 140414 1

Visma Proceedo. Att logga in - Manual. Version 1.3 / 140414 1 Visma Proceedo Att logga in - Manual Version 1.3 / 140414 1 Innehållsförteckning 1) INLOGGNING VIA VERKTYG OCH SYSTEM... 3 2) INTERNET EXPLORER... 6 2.1 Java... 6 2.2 Popup-fönster... 8 2.3 Browser, 32-

Läs mer

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet Gunnel Frogedal 2014-07-17 6 32753 1 of 5 Quick Start CABAS Generella systemkrav CABAS / CAB Plan Applikationen stöds av följande operativsystem: Windows Vista SP2 Windows 7 SP1 Windows 8 (inte RT) Windows

Läs mer

Det här dokumentet går kortfattat igenom registrerings- och ansökningsprocessen.

Det här dokumentet går kortfattat igenom registrerings- och ansökningsprocessen. Det här dokumentet går kortfattat igenom registrerings- och ansökningsprocessen. 1. Webbläsare Följande versioner av webbläsare stöds: Netscape från version 7.x Firefox från version 1.x Internet Explorer

Läs mer

lokalnytt.se Manual kundadministration

lokalnytt.se Manual kundadministration lokalnytt.se Manual kundadministration version 2.0 2012-08-23 Innehåll Inledning... sidan 2 Rekommendationer... sidan 2 Gemensamma funktioner... sidan 3 Inloggning... sidan 4 Startsida... sidan 5 Objekt...

Läs mer

Användarhandledning. edwise Webbläsarinställningar 2013-01-11

Användarhandledning. edwise Webbläsarinställningar 2013-01-11 Användarhandledning edwise Webbläsarinställningar 2013-01-11 Sida 2/14 Innehållsförteckning 1 Webbläsarinställningar... 3 1.1 Internet Explorer Kompatibilitetsläge... 3 1.1.1 Inställningar för kompatibilitetsvyn...

Läs mer

nexus Hybrid Access Gateway

nexus Hybrid Access Gateway Hybrid Access Gateway från nexus är en användarvänlig, innovativ virtuell appliance som ökar säkerheten vid inloggning med enheter som surfplattor och mobiler till företagsnät eller molnapplikationer.

Läs mer

Dokumentation POST-API version 1.0

Dokumentation POST-API version 1.0 Dokumentation POST-API version 1.0 1/10 Innehåll Innehåll...2 Detta dokument... 3 Revision... 3 Allmänt...3 Om POST-API lösningen...4 Allmänt...4 Beskrivning av POST-API från köparens perspektiv...4 Beskrivning

Läs mer

Skicka och hämta filer med automatik till och från Försäkringskassan

Skicka och hämta filer med automatik till och från Försäkringskassan Skicka och hämta filer med automatik till och från Försäkringskassan 1 (25) Innehållsförteckning Revisionshistorik... 3 Inledning... 4 1 Förutsättningar... 4 1.1 Registrera... 4 1.2 Certifikat... 4 2 Skicka

Läs mer

Alfa e-recept: Ny anva ndare

Alfa e-recept: Ny anva ndare Ny förskrivare Registrera ny användare av Alfa e-recept Klicka på [Ny användare] Kontrollera att du har din e-legitimation tillgänglig innan du börjar fylla i formuläret. Det går bra att använda BankID,

Läs mer

Sammanfattning och specifikationer för POT

Sammanfattning och specifikationer för POT 0.2 Sammanfattning och specifikationer för POT Kornhamnstorg 61 SE-111 27 Stockholm Sweden 00 00 Telefon: +46 (0)8 791 92 Telefax: +46 (0)8 791 95 www.certezza.net Innehållsförteckning 1 SAMMANFATTNING...

Läs mer

Tjänstespecifikation

Tjänstespecifikation 1(47) Tjänstespecifikation för Anvisningstjänst som del av Svensk e-legitimation 2(47) INNEHÅLLSFÖRTECKNING 1 INLEDNING... 4 1.1 Tjänsten i sitt sammanhang... 4 1.2 Syfte... 4 1.3 Mål... 4 1.4 Förväntade

Läs mer

Modul 6 Webbsäkerhet

Modul 6 Webbsäkerhet Modul 6 Webbsäkerhet Serverskript & Säkerhet Webbservrar & serverskript exponerar möjlighet för fjärranvändare att skicka data och köra kod vilket medför risker. Man ska aldrig lita på att alla vill göra

Läs mer

Svensk e-legitimation 2014-11-04

Svensk e-legitimation 2014-11-04 Svensk e-legitimation 2014-11-04 Varför byta e-legitimationssystem? Nuvarande ramavtal eid2008 gick ut 2012-06-30 - T.ex. nya ehälsomyndigheten, bildad 2013, kan inte avropa e- legitimationer. Efter ändring

Läs mer

RemoteX Applications Manual för Resurs Login

RemoteX Applications Manual för Resurs Login RemoteX Applications Manual för Resurs Login RemoteX Technologies Innehållsförteckning Introduktion... 3 Resurs Login... 4 Förberedelser i RemoteX Applications... 5 Registrera användare för Resurs Login...

Läs mer

Innehållsförteckning:

Innehållsförteckning: Dokumenttitel Datum Godkänd av Sid SIT24 Manual E-post 2007-03-09 Sign 1(14) Utgivare/Handläggare Dokumentbeteckning Version Info Klass Björn Carlsson SIT24 mailmanual.doc 1.0.2 Öppen SIT24 Manual E-Post

Läs mer

Information från Löne- och Pensionsservice

Information från Löne- och Pensionsservice Information från Löne- och Pensionsservice Information om bankbyte och övergång till e-lönebesked Den 1 juni 2011 byter Östersunds kommun bank till Swedbank. Det innebär att lön kommer att betalas ut via

Läs mer

2 Pappersfullmakter/Skannade fullmakter

2 Pappersfullmakter/Skannade fullmakter 2014-12-18 2015-01-14 2015-01-16 2015-01-20 Frågor och svar 1 Fullmaktstyper 1.1 Vilka fullmaktstyper ska Fullmaktskollen hantera? Fullmaktskollen kommer initialt att utgå ifrån sex standardiserade fullmakter.

Läs mer

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Instruktion: Trådlöst utbildningsnät orebro-utbildning Instruktion: Trådlöst utbildningsnät orebro-utbildning Sida 2 av 19 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-utbildning... 4 2.1 Allmän information:... 4 2.2 Enkel anslutning

Läs mer

Hur kan medborgaren få bättre vård?

Hur kan medborgaren få bättre vård? Hur kan medborgaren få bättre vård? Säkert informationsutbyte med federationslösning för utökad vårdkvalitet över organisationsgränser Presentatörer Stefan Wittlock, Hultsfreds kommun Tommy Almström, Nordic

Läs mer

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS? Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS? SITHS nationella RA-dag Ulf Palmgren 2014-05-13 Bakgrund: Landskapet Privatpersoner och Medarbetare Inloggning Inloggning

Läs mer

Viktigt! Läs igenom hela anvisningen innan du påbörjar inloggningen för första gången.

Viktigt! Läs igenom hela anvisningen innan du påbörjar inloggningen för första gången. Inloggning för COINS och COINS Analys Genom inloggningsportalen på http://start.coins.se får du som användare tillgång till alla våra system och tjänster som du är behörig till med ditt SSL-användarcertifikat,

Läs mer

Policy Underskriftstjänst Svensk e-legitimation

Policy Underskriftstjänst Svensk e-legitimation Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION

Läs mer

Process anslutning kvalitetsregister till Mina Vårdkontakter. Dokumentansvarig: Gösta Hiller Datum: 2015-05- 28 Version: 1.0

Process anslutning kvalitetsregister till Mina Vårdkontakter. Dokumentansvarig: Gösta Hiller Datum: 2015-05- 28 Version: 1.0 Process anslutning kvalitetsregister till Mina Vårdkontakter Dokumentansvarig: Gösta Hiller Datum: 2015-05- 28 Version: 1.0 Anslutning kvalitetsregister till Mina Vårdkontakter 2 (13) Innehåll Inledning...

Läs mer

Shibboleth IDP och ADFS + Sharepoint integration

Shibboleth IDP och ADFS + Sharepoint integration Shibboleth IDP och ADFS + Sharepoint integration Terminologi Shibboleth Identity Provider Attribut Release Attribute map Service Provider Sharepoint ADFS Claims Provider Claims Provider Trust Claim Rules

Läs mer

Identitetsfederationer

Identitetsfederationer Identitetsfederationer Internetdagarna 2007 Leif Johansson Stockholms universitet Que? En [identitets]federation är en klubb av klubbar där medlemmarna kommit överens om hur man ska lita på varandras medlemmar.

Läs mer

RemoteX Applications Manual för Partner Login

RemoteX Applications Manual för Partner Login RemoteX Applications Manual för Partner Login RemoteX Technologies Innehållsförteckning Introduktion... 3 Partner Login... 4 Förberedelser i RemoteX Applications... 5 Registrera användare för Partner Login...

Läs mer

2 Pappersfullmakter/Skannade fullmakter

2 Pappersfullmakter/Skannade fullmakter 2014-12-18 2015-01-14 Frågor och svar 1 Fullmaktstyper 1.1 Vilka fullmaktstyper ska Fullmaktskollen hantera? Fullmaktskollen kommer initialt att utgå ifrån sex standardiserade fullmakter. Pappersfullmakter

Läs mer

Välkommen till Min Ansökan

Välkommen till Min Ansökan Välkommen till Min Ansökan Min ansökan är en e-tjänst för företag och offentliga aktörer som ansöker om medel i följande stöd: Europeiska regionala utvecklingsfonden, projektmedel, regionalt investeringsstöd,

Läs mer

Slide 4 PKCS#7. XMLDsig

Slide 4 PKCS#7. XMLDsig Slide 1 Slide 3 Slide 4 PKCS#7 XMLDsig Slide 5 Slide 6 Slide 7 Portable Document Format (PDF), är ett digitalt dokumentformat utvecklat av Adobe Systems och introducerat 1993. Filerna visas på skärm i

Läs mer

Installationsguide fo r CRM-certifikat

Installationsguide fo r CRM-certifikat Installationsguide fo r CRM-certifikat För att säkerställa en säker inloggning till CRM Finance webb så behöver alla kunder installera ett kund-unikt klientcertifikat innan man kan försöka logga in i systemet.

Läs mer

2-faktor autentisering

2-faktor autentisering 2-faktor autentisering Ladok-Inkubatordagar 23-24/10 KTH Joakim Nyberg ITS Umeå universitet Projektet 2-faktor autentiserings projektet är ett fortsatt arbetet från Swamids tidigare arbete inom 2-faktor.

Läs mer

Kerberos baserad Single Sign On, tillämpningsexempel

Kerberos baserad Single Sign On, tillämpningsexempel Kerberos baserad Single Sign On, tillämpningsexempel För att logga in i en webbapplikation med hjälp av en AD baserad autentisering behöver alla komponenter anpassas för detta. Denna instruktion skall

Läs mer

Manual inloggning Svevac

Manual inloggning Svevac 1. Dokumentinformation 1.1 Versionshistorik Version Datum Beskrivning av ändringar Författare 0.1 2014-06-09 Skapad Ingela Linered 0.2 Uppdaterad Ingela Linered 0.3 2014-09-22 Uppdaterad med nya sätt för

Läs mer

Åtkomst Du kommer till ditt system via en webblänk som erhålles från oss. Via denna länk ges tillgång till sökning i bibliotekets katalog.

Åtkomst Du kommer till ditt system via en webblänk som erhålles från oss. Via denna länk ges tillgång till sökning i bibliotekets katalog. Handledning för BIBBLAN bibliotekssystem BIBBLAN är ett svensktutvecklat biblioteksprogram helt webbaserat, som innebär att man endast behöver en uppkopplad dator mot nätet. Man slipper dessutom tänka

Läs mer

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01 Dokument: Attest-signatur Version 0.1 Författare Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01 Innehåll 1 Inledning... 2 1.1 Syfte... 2 2 Informationsflöde... 3 2.1 Begrepp... 3 3 Grundprincip... 5 4

Läs mer

2014-2015 Alla rättigheter till materialet reserverade Easec

2014-2015 Alla rättigheter till materialet reserverade Easec 1 2 Innehåll Introduktion... 3 Azure Client SDK Libraries... 4 Översikt: Azure Client Libraries... 5 Azure SDK... 6 Azure SDK (forts.)... 7 Azure SDK (forts.)... 8 Cloud Services... 10 Cloud Services...

Läs mer

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt PROMEMORIA Datum 2007-04-13 Författare Ruth Yosef Ny funktionalitet för Finansinspektionens offentliggörande av prospekt Finansinspektionen P.O. Box 6750 SE-113 85 Stockholm [Sveavägen 167] Tel +46 8 787

Läs mer

Handledning för applikationsägare

Handledning för applikationsägare Tjänstebeskrivning Handledning för applikationsägare Version 2.25 2006-10-24 Revisionshantering Vernr Datum Notering Ansvarig 2.0 061004 Något modifierat dokument Arne Fredholm 2.1 061016 Korrigeringar

Läs mer

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm Åtgärdsplan CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm Innehåll 1 Bakgrund... 3 1.1 Syfte... 3 1.2 Funktionen CRL... 3 1.3 Funktionen OCSP... 3 1.4 Rekommendationer... 3 1.5 Förkortningar

Läs mer

BILAGA 2 Tekniska krav Version 1.3

BILAGA 2 Tekniska krav Version 1.3 BILAGA 2 Tekniska krav Version 1.3 Innehåll Revisionshistorik... 2 Tekniska krav för anslutning till Sambi... 2 Aktörskrav... 2 Tjänsteleverantör (SP, Service Provider)... 2 Intygsutgivare (IdP, Identity

Läs mer

Teknisk guide för brevlådeoperatörer. Annika Melin 2015-03-10 Version: 1.1

Teknisk guide för brevlådeoperatörer. Annika Melin 2015-03-10 Version: 1.1 Teknisk guide för brevlådeoperatörer Annika Melin 2015-03-10 Sida 1 av 21 Innehållsförteckning Inledning... 2 1 Dokumentinformation... 3 Syfte... 3 1.2 Avgränsningar... 3 1.3 Målgrupp... 3 1.4 Begrepp

Läs mer

Mötesanteckningar - Sambidemo

Mötesanteckningar - Sambidemo Mötesanteckningar - Sambidemo Datum: 26 aug 2014, 14.30 16.30 Plats: SE, Ringvägen 100, plan 9, Stockholm och via telefonkonferens tel. 08-999212, kod 322134 Närvarande Agneta Wistrand,.SE Gunnar Johansson,

Läs mer

Lathund. Beställa tandvårdsintyg i Tandvårdsfönster

Lathund. Beställa tandvårdsintyg i Tandvårdsfönster 1 (9) Lathund Sida 1/9 2 (9) Innehållsförteckning 1 Allmänt... 3 2 Logga in i... 4 3 Beställ tandvårdsintyg... 6 4. Makulera tandvårdsintyg... 8 5. Visa tandvårdsintyg... 9 Sida 2/9 3 (9) 1 Allmänt Dokumentet

Läs mer

Elektronisk tullräkning Sid 1(9) Samverkansspecifikation. Version: 1.0 SAMVERKANSSPECIFIKATION. för. e-tullräkning

Elektronisk tullräkning Sid 1(9) Samverkansspecifikation. Version: 1.0 SAMVERKANSSPECIFIKATION. för. e-tullräkning Elektronisk tullräkning Sid 1(9) SAMVERKANSSPECIFIKATION för e-tullräkning Elektronisk tullräkning Sid 2(9) Innehållsförteckning 1 Inledning...3 1.1 Introduktion...3 2 Identifikation av parterna...4 2.1

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

Lathund Automatisk inloggning

Lathund Automatisk inloggning Lathund Automatisk inloggning Automatisk inloggning möjliggör för användaren själv att bestämma om han vill spara undan sin inloggning. Väljer man att spara undan sin inloggning så slipper man att logga

Läs mer

Collector sparkonto Inloggning

Collector sparkonto Inloggning Collector sparkonto Inloggning Innehållsförteckning Sparkonto Privat... 2 LOGGA IN... 2 LOGGA IN MED E-LEGITIMATION... 2 LOGGA IN MED MOBILT BANKID... 4 LOGGA IN MED ENGÅNGSKOD... 4 Registrera PIN... 6

Läs mer

Instruktion: Trådlöst nätverk för privata enheter

Instruktion: Trådlöst nätverk för privata enheter Instruktion: Trådlöst nätverk för privata enheter orebro-byod Sida 2 av 21 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-byod... 4 2.1 Allmän information:... 4 2.2 Enkel

Läs mer

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se S Stockholm Skolwebb Information kring säkerhet och e-legitimation för Stockholm Skolwebb Innehållsförteckning Säkerhet i Stockholm Skolwebb... 3 Roller i Stockholm Skolwebb... 3 Hur definieras rollerna

Läs mer

ekorren e-tjänst Teknisk målbild

ekorren e-tjänst Teknisk målbild e-tjänst Teknisk målbild Innehåll 1. OM DOKUMENTET... 3 1.1 BAKGRUND... 3 2. UTGÅNGSPUNKTER... 3 3. MÅLBILD... 3 3.1 SKALBARHET... 3 4. ARKITEKTUR... 5 4.1 DATALAGRING... 5 4.2 ÖVERSIKTSBILD FÖR ARKITEKTUR...

Läs mer

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort Mallar för kvittenser och e-post Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort 1. E-postutskick och kvittens... 2 1.1 E-postutskick... 2 1.1.1 Påminnelse av utgående

Läs mer

Hja lpdokument fo r IncertOnline

Hja lpdokument fo r IncertOnline Hja lpdokument fo r IncertOnline Introduktion IncertOnline är en webbportal till stöd för certifierade personer hos Installations Certifiering i Stockholm AB (INCERT). Som inloggad kan personen se sina

Läs mer

Guide för Innehållsleverantörer

Guide för Innehållsleverantörer Library of Labs Content Provider s Guide Guide för Innehållsleverantörer Inom LiLa ramverket är innehållsleverantörer ansvariga för att skapa experiment som "LiLa Learning Objects", att ladda upp dessa

Läs mer

Nyregistrering och Ändring av Tjänst Testfederationen

Nyregistrering och Ändring av Tjänst Testfederationen Nyregistrering och Ändring av Tjänst Testfederationen Nyregistrering av tjänst får göras av personer som har rättighet [A2] Rätt att anmäla ny Tjänst för Aktören till Kundtjänst (se blankett för Nyregistrering

Läs mer

Startguide för Administratör Kom igång med Microsoft Office 365

Startguide för Administratör Kom igång med Microsoft Office 365 Startguide för Administratör Kom igång med Microsoft Office 365 Version 1.0 Introduktion Skapa ett MSPA-konto Aktivera Office 365 i Telia Business Apps Verifiera företagets domännamn Lägg till användare

Läs mer

Version 1.0 Januari 2011. Xerox Phaser 3635MFP Extensible Interface Platform

Version 1.0 Januari 2011. Xerox Phaser 3635MFP Extensible Interface Platform Version 1.0 Januari 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX och XEROX and Design är varumärken som tillhör Xerox Corporation i USA och/eller andra länder. Detta dokuments innehåll ändras

Läs mer

Bilaga 1. Teknisk kravspecifikation

Bilaga 1. Teknisk kravspecifikation Bilaga 1 Teknisk kravspecifikation 5.5.2014 Webbplatsen 1. Allmänt Korsholms kommun arbetar aktivt för att vara en ledande tvåspråkig landskommun i Österbotten och har drygt 19 100 invånare varav 68,9

Läs mer

Konfigurering av inloggning via Active Directory

Konfigurering av inloggning via Active Directory Konfigurering av inloggning via Active Directory Här följer en konfigureringsanvisning för inloggning via Active Directory i Hogia Personal Business Manager. Innehåll Systemkrav... 2 Operativsystem...

Läs mer

Säker e-kommunikation 2009-04-22

Säker e-kommunikation 2009-04-22 Säker e-kommunikation 2009-04-22 Leif Forsman Logica 2008. All rights reserved Agenda - Inledning - Bakgrund och historik - Vilka risker och hot finns? - Vilka säkerhetslösningar finns det för att skydda

Läs mer

Krav på identifiering för åtkomst till konfidentiell information

Krav på identifiering för åtkomst till konfidentiell information Krav på identifiering för åtkomst till konfidentiell information Apotekens Service tillämpning av tillitsnivå tre, baserat på Kantara Identity Assurance Framework, för åtkomst till känsliga personuppgifter.

Läs mer

Compose Connect. Hosted Exchange

Compose Connect. Hosted Exchange Sida 1 av 15 Compose Connect Hosted Exchange Presentation av lösningen: Compose Hosted Exchange Följande möjligheter finns för hantering av e-post 1. Lokalinstallerad Outlook-klient För att kunna använda

Läs mer

Dok nr OSF/AV-15:003, ver E Inloggning till Treserva via extern dator

Dok nr OSF/AV-15:003, ver E Inloggning till Treserva via extern dator Inloggning till Treserva via extern dator Innehåll 1 Inloggningsalternativ... 2 1.1 Inloggning via SMS... 2 1.2 Inloggning via E-legitimation... 4 2 Utloggning... 5 3 Helskärmsläge... 6 4 Bläddra mellan

Läs mer

EyeNet Sweden stark autentisering i kvalitetsregister

EyeNet Sweden stark autentisering i kvalitetsregister EyeNet Sweden stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) EyeNet Sweden Kontaktinformation till RC: eyenetsweden@ltblekinge.se INNEHÅLLSFÖRTECKNING Bakgrund om SITHS 3 Instruktion

Läs mer

skicka sms enkelt från din e-post

skicka sms enkelt från din e-post skicka sms enkelt från din e-post Användarmanual version 1.7 Innehållsförteckning Skicka sms från din e-post med messa.mobi 1 Inloggningssidan 2 Meddelanden 3 Konto 4 Admin 5 loggar 5 Inställningar 7 behörigheter

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

Ariba Network Förenklad konfigureringsguide för konto

Ariba Network Förenklad konfigureringsguide för konto Ariba Network Förenklad konfigureringsguide för konto Ariba stödjer följande webbläsare Microsoft Internet Explorer 9 (32-bit) Microsoft Internet Explorer 8 (32-bit) Microsoft Internet Explorer 7 (32-bit)

Läs mer