Hvordan få tilgang til ID-porten

OBS! Ved nye integrasjoner mot id-porten ber vi om at det benyttes OpenID Connect. SAML vil på sikt 
fases ut.

Gå til OpenID Connect (OIDC)

Hvordan få tilgang til ID-porten

Det er rutinene for å etablere en ny integrasjon mot ID-porten.

Rutine for tilgang

Dette er svært individuelt hvor lang prosessen er fra første dialog med ny tjenesteeier til ny tjeneste er i produksjon.

Den første kontakten

Ta kontakt med idporten@difi.no med informasjon om prosjekt, kontaktpersoner og tidsplaner.

Tjenesteeiere og tjenesteleverandører må oppgi navn, epost-adresse og telefonnummer til en kontaktperson som er representant for integrering mot føderasjonen. Om denne personen byttes ut, for eksempel på grunn av bytte av jobb, er det deres ansvar å oppdatere Difi med korrekt kontaktinformasjon. Det henvises ellers til samarbeidsportalen for mer informasjon.

Akseptere bruksvilkår

Tjenesteeier må akseptere bruksvilkår. Dette gjøres på samarbeidsportalen.

Planlegging

Følgende punkter bør være en del av planleggingen.

  • Tidsplan
  • Produksjonsplan
  • Beskrivelse av tjenesten
  • Forventninger omkring volum og bruk, herunder eventuelle høy-trafikkperioder
  • Påvirkning på ID-porten sin brukerstøtte

Omfanget på planleggingsarbeidet er svært varierende og er påvirket av omfanget av tjenesten. Planleggingen gjøres i samarbeid med Difi.

Etablere integrasjon i verifikasjonsmiljø

Føderering i verifikasjonsmiljøet utføres på samme måte som i produksjon.

Se hvilken informasjon som må oversendes Difi for å etablere integrasjonen med ID-porten lenger nede under Informasjon som må utveksles. Se ellers Detaljert beskrivelse av teknisk løsning.

Utføre verifikasjonstest

Difi krever at tjenester som skal beskyttes av ID-porten må gjennom et verifikasjonsløp før tjenesten kan produksjonssettes. Det er derfor nødvendig at tjenesteleverandør fødererer en testbasert versjon av sin tjeneste med Difi sitt verifikasjonsmiljø. Her skal det kun benyttes fiktive data, og ikke reelle brukere. Ved test av varsling pr sms og/eller e-post må tjenesteleverandør passe på at en bruker egnet kontaktinformasjon da varslingen sender ut reelle meldinger til eieren av kontaktinformasjonen.

Difi har etablert et standardsett av tester for verifisering og godkjenning av integrasjon mot ID-porten. Tjenesteleverandør skal utføre denne og bekrefte til Difi at testing er utført ok. Les om verifikasjonstester

Produksjonssetting

Før produksjonssetting må bruksvilkår være akseptert.

Videre må tjenesteeier ha anskaffet et virksomhetssertifikat fra utsteder autorisert av Nasjonal kommunikasjonsmyndighet (NKOM). Les mer om virksomhetssertifikat her. I verifikasjonsmiljøet kan en bruke selv-signerte sertifikater.

Før produksjonssetting må teknisk informasjon være utvekslet, og en detaljert plan for produksjonssettingen må være levert Difi.

Informasjon som må utveksles

Tjenesteeier må utlevere følgende tekniske informasjon til ID-porten:

  • Metadatafil for SAML2-føderasjon
  • Logo

ID-porten vil utlevere følgende tekniske informasjon til tjenesteeier:

  • Metadatafiler for verifikasjons- og produksjonsmiljø, inkludert public-nøkler
  • Testbrukere til verifikasjonsmiljø

Metadata om SAML2-integrasjon

Informasjon om huben og nodene utveksles i form av XML-filer med metadata i henhold til SAML2-standarden. Dette er en toveis kommunikasjon, så tjenesteleverandør må konfigurere sin egen programvare med XML-fil fra ID-porten, og sende sin egen konfigurasjonsfil til ID-porten.

Disse filene inneholder alle detaljene om lokasjonen for SAML2 endepunktene, og hvilke bindinger som er tilgjengelige. Et eksempel på en slik metadatafil finner du her. Påse at følgende parametere er satt til TRUE:

Attributt og verdi Beskrivelse
AuthnRequestsSigned=”true” Dette vil si at tjenesteleverandør vil signere sine autentiseringsforespørsler. Signering av ArtifactResolve-forespørsel og SingleLogout må også håndteres av tjenesteleverandør.
WantAssertionsSigned=”true” Dette vil si at tjenesteleverandør krever å få Assertion signert. Kryptering vil bli håndtert av ID-porten.
   

Filene anbefales navngitt som følger: [EntityID]_[Meta].xml. EntityID er et attributt i rotelementet ”EntityDescriptor”, og brukes til å identifisere tjenesten som xml-filen beskriver.

Annen informasjon

Under er et eksempel på hvilken informasjon som trengs i tillegg til informasjonen i SAML2-integrasjonen

Parameter Eksempel verdi Beskrivelse
ENTITY_ID eksempel_101 Dette feltet være lik entityID i metadatafilen. Entity_ID kan bestemmes selv, men må være unik.
NAME Norsk data og eksempelforening Dette blir brukt av ID-porten under innlogging og beskriver tjenesteeier til innbyggeren i ulike sammenhenger.
URL https://www.eksempel.no Dette er URL til tjenesteleverandør som benyttes for å rute innbyggeren tilbake til tjenesteleverandør ved avbryting av innlogging eller feilsituasjoner.
REFERRING_SP Eksempel_202 Denne parameteren blir kun brukt ved bruk av onBehalfOf
DIGITALCONTACTINFO_NAME NorskDataForeningProd Denne parameteren blir kun brukt for tjenesteeiere som har tatt i bruk kontakt- og reservasjonsregisteret. Navnet er det unike navnet som tjenesteeier bruker for oppslag mot kontakt- og reservasjonsregisteret sin webservice.
     

Dette gjelder per integrasjon man har med ID-porten. Om man har flere integrasjoner, kan disse ha ulike verdier.

Logo-format

Logoen må oppfylle følgende krav:

Filformat .png .jpg eller .gif
Størrelse Maksimal høyre 90 pixel og en bredde som ikke bør overskride 135 pixel.
Farge Bakgrunnsfargen på ID-porten er #f3f4f4, så logoen bør enten ha denne bakgrunnsfargen eller eventuelt ha transparent bakgrunn.