E-legitimationsnämndens legitimeringstjänster för test 2015-11-11 Inledning E-legitimationsnämnden) tillhandahåller två legitimeringstjänster för test. Den första legitimeringstjänsten har endast gränssnitt för konventionella webbläsare i persondatorer, härefter benämnd Legitimeringstjänst. Den andra legitimeringstjänsten har både gränssnitt för webbläsare i persondatorer såväl som ett gränssnitt anpassat för mobila enheter, härefter benämnd Mobil Legitimeringstjänst. Dessa legitimeringstjänster tillhandahåller identitetsintyg i enlighet med attributsprofilen http://id.elegnamnden.se/ec/1.0/loa3-pnr samt med tillitsnivåerna (LoA) 2, 3 or 4 ( http://id.elegnamnden.se/loa/1.0/loa2, http://id.elegnamnden.se/loa/1.0/loa3 och http://id.elegnamnden.se/loa/1.0/loa4. Legitimeringstjänsterna är kan utfärda identitetsintyg för ett antal konfigurerade testanvändare som kan väljas i legitimeringstjänsternas gränssnitt. Legitimering med dessa testidentiteter kräver inget lösenord. Legitimeringstjänsterna kan dessutom utfärda identitetsintyg för andra identiteter genom angivande av ID
och lösenord. Sådana användare lagras i en separat databas som kan uppdateras vid behov. Gränssnitt Båda legitimeringstjänsterna har ett gränssnitt för webbläsare i persondator. Den mobila legitimeringstjänsten har dessutom et mobilanpassat gränssnitt: Bild 1 Gränssnitt för webbläsare i persondator
Bild 2 Mobilanpassat gränssnitt Den mobila legitimeringstjänsten väljer automatiskt gränssnitt beroende på vilken typ av enhet som används för legitimering. Om enheten identifieras som en mobiltelefon returneras ett mobilt gränssnitt. För persondatorer och surfplattor (typ ipad) returneras det vanliga gränssnittet.
Om tjänsten som begär legitimering är en underskriftstjänst, anpassas gränssnittet för underskrift enligt följande: Bild 3 - Gränssnitt för underskrift
Bild 4 - Mobilanpassat gränssnitt för underskrift Användning av legitimeringstjänster för test Legitimeringstjänsterna kan användas för test av e-tjänster under utveckling som är anslutna till E-legitimationsnämndens testfederation. Deltagande i testfederationen kräver att e-tjänsten är representerad i testfederationens metadata. Mer information om anslutning av e-tjänst i testfederationen finns här: https://www.sveleg.se Legitimeringstjänsterna finns representerade i testfederationens metadata under följande EntityID identifierare: IdP Legitimeringstjänst Mobil Legitimeringstjänst EntityID https://idp.svelegtest.se/idp https://midp.svelegtest.se/idp En websida med denna information samt en test-tjänst finns tillgängligt via: https://eid.svelegtest.se/info/refidp
Funktioner för test Legitimeringstjänsterna har utökats med ett antal specifika funktioner för test som inte förekommer i en legitimeringstjänst för skarp drift. Dessa är: En funktion för att radera session mot legitimeringstjänst En funktion för att konfigurera auto-legitimering Rensa session mot legitimeringstjänst Legitimeringstjänsterna bygger på en standard Shibboleth Identity Provider programvara. Detta borgar för att legitimeringstjänsten följer gällande standards och säkerhetsmodeller. Detta innebär även att en användare som har en aktiv session mot legitimeringstjänsten, d.v.s som nyligen legitimerats, inte kan legitimera sig igen med en helt ny identitet utan att sessionen avslutats. Session mot IdP avslutas ex. enkelt genom att stänga webbläsaren. Men för att förenkla test så har legitimeringstjänsterna försetts med en funktion som rensar eventuell session mot legitimeringstjänsten. Session mot legitimeringstjänst lagras i en cookie och rensningen av session innebär följaktligen endast att denna cookie raderas. Session mot legitimeringstjänst raderas genom att göra en http GET till följande URL för respektive tjänst: IdP Legitimeringstjänst Mobil Legitimeringstjänst URL för att rensa session mot legitimeringstjänst https://idp.svelegtest.se/idp/external?action=idplogout https://midp.svelegtest.se/idp/external?action=idplogout Auto-legitimering Konfigurering av auto-legitimering gör det möjligt att genomföra legitimering med en konfigurerad användare utan att legitimeringstjänstens gränssnitt kräver interaktion med användaren. Varje legitimeringstjänst har en sida för konfigurering av auto-legitimering: IdP URL för konfigurering av auto-legitimering Legitimeringstjänst https://idp.svelegtest.se/idp/autoauth Mobil legitimeringstjänst https://midp.svelegtest.se/idp/autoauth När en testanvändare väljs för auto-legitimering så sätts en cookie i webläsaren med testanvändarens identitet. Om legitimeringstjänsten tar emot denna cookie vid legitimering så utfärdas automatiskt ett identitetsintyg för denna användare. Cookie sättning sker uteslutande i webbläsaren och därför sättas utan interaktion med legitimeringstjänsten som ett alternativ till att använda tjänsten enligt länkarna ovan. Cookie för auto-legitimering är utformad enligt följande:
Parameter Cookie name Domain Path Value Värde autoauthuser {The domain of the IdP} /idp JSON string med the strukturen: {"index": selecteduser, "id": userid[selecteduser]} Där selecteduser är en integer för testanvändarens index I listan över testanvändare, där första användaren har index 0, och där userid[selecteduser] innehåller vald användares personnummer i stäng format. Test-tjänst Test-tjänst för att demonstrera legitimering med legitimeringstjänsterna finns här: https://eid.litsec.se/fedtest-sp/sp Tekniskt ramverk Tekniska specifikationer och SAML profiler för request, response, metadata mm finns på E-legitimationsnämndens hemsida: http://www.elegnamnden.se